Footprinting – in des Hackers Fußstapfen

Sensible Unternehmensdaten zählen zu den bevorzugten Angriffszielen eines Hackers. Nicht wahllos, sondern äußerst strategisch gehen Cyber-Kriminelle dabei vor.

Zunächst steht das Beschaffen von grundlegenden Informationen über das Zielobjekt auf dem Plan. Dabei greifen Hacker auf verschiedene Ressourcen und Methoden zurück.

Footprinting – die Angriffsbasis

Sammeln Hacker Informationen über eine spezifische Netzwerkumgebung, spricht man vom Footprinting – ein häufig ebenso mühsames wie lukratives Verfahren: Bis zu 90 Prozent der gesamten Zeit eines Angriffs auf Unternehmensrechner fällt für gewöhnlich auf diese Phase. Nicht selten dauert das Sammeln der Daten mehrere Monate, wohingegen die eigentliche Attacke oft nur einige Stunden in Anspruch nehmen kann. Grundsätzlich gilt: Je mehr ein Hacker über das Netzwerk weiß, desto einfacher und wirkungsvoller kann er eindringen, weil somit die effizienteste Art des Angriffs erfolgen kann. Nach dem Sammeln der Basisinformationen konzentrieren sich Hacker in der Regel auf offene, nicht gesicherte Ports oder Dienste der Zielrechner. Ports sind Adresskomponenten, die in Netzwerkprotokollen eingesetzt werden, um Datensegmente den richtigen Diensten (Protokollen) zuzuordnen.

Passives Ausspionieren

Konkret lässt sich die Informationsbeschaffung in zwei Phasen einteilen.
Beim passiven Ausspionieren sammelt der Angreifer Informationen über ein Netzwerk, ohne tatsächlich Kontakt mit dem Ziel aufzunehmen. Dabei zapft er verschiedene öffentlich zugängliche Quellen an – und dies teilweise sogar völlig legal. Denn manche Internet-Netzwerke machen bestimmte Zugriffe erforderlich, um Netzwerkkonflikte zu verhindern.

Typische Quellen für öffentlich zugängliche Informationen sind unter anderem:

• Website des Unternehmens
• Suchmaschinen wie Google
• Newsgroups und Foren
• Stellenangebote
• Interne Dokumente – Angreifer setzen auf physische Informationen und wühlen im Müll (Dumpster Diving)
• Der Mensch – Hacker nutzen menschliche Schwächen aus, um an Informationen zu kommen (Social Engineering)

Häufig gilt die Unternehmens-Website als erste Anlaufstelle für einen Angriff: Statt sich die Website online anzusehen, agieren Hacker dabei oft mit Tools, wie etwa httrack. Damit lässt sich die komplette Website herunterladen und offline analysieren. Ein offenes Buch für Störenfriede: Der Quellcode der Webseite enthält Informationen über Betriebssysteme und verwendete Applikationen.

Google und Co.

Doch auch Google wissen Kriminelle zu schätzen. So lassen sich mit Hilfe der Suchmaschine Angaben über die Ziel-Website, aber auch Links mit Informationen über das Zielunternehmen finden. Da Google komplette Websites indexiert, können Angreifer Informationen oder Seiten entdecken, die auf der öffentlichen Website nicht ohne weiteres verfügbar sind. Das Problem: Google scannt die komplette Website, also auch private oder interne Verzeichnisse. Die Google-Funktion 'Erweiterte Suche' spuckt solche - auf den ersten Blick versteckten -Verzeichnisse und Dateien aus. Der Suchbegriff 'nur für den internen Gebrauch' etwa  liefert wertvolle Informationen, von denen der Besitzer gar nicht weiß, dass sie indexiert wurden.

Newsgroups und Foren: Aus dem Nähkästchen

Auch Newsgroups und Foren bilden ein gefundenes Fressen für manchen Angreifer. In der Regel existieren in Diskussionsgruppen stets Personen, die etwas über ein Unternehmen zu sagen haben. Hacker nutzen diese für technische Fragen. Beispiel: In einem Fall stellte ein Systemadministrator auf der Suche nach einer Lösung die Konfiguration eines Routers ins Web. Auch hinterlassen Personen, die einen Eintrag in Newsgroups platzieren, häufig ihre reale E-Mail-Adresse und das E-Mail-Adressformat des Unternehmens.

Stellenangebote und Müllkörbe

Ebenso verraten Stellenangebote oftmals zu viel über das Unternehmen. Angebote technischer Positionen beschreiben etwa die dafür erforderlichen Kenntnisse, zum Beispiel 'Systemadministrator mit guten Solaris-10-Kenntnissen gesucht'. Dies ist ein wertvoller Hinweis für Angreifer, erhalten sie so doch die benötigen Informationen über Betriebssysteme, Datenbanken, Netzwerkgeräte und Applikationen. Ebenso können weggeworfene Notizen, Dokumente oder Handbücher eines Unternehmens eine wahre Goldgrube für Angreifer darstellen. Der Begriff  'Dumpster Diving' ('im Müll tauchen') bezeichnet die Beschaffung physischer Informationen, die möglicherweise in Papierkörben entsorgt wurden. Dort lassen sich häufig Rechnernamen, Kontoinformationen, Netzwerkinformationen und vielleicht sogar Passwörter finden.