Footprinting – in des Hackers Fußstapfen

Sensible Unternehmensdaten zählen zu den bevorzugten Angriffszielen eines Hackers. Nicht wahllos, sondern äußerst strategisch gehen Cyber-Kriminelle dabei vor.

Der Mensch – Social Engineering

Zur einfachsten Art, sich Informationen zu beschaffen, gehört das Social Engineering. Hacker nutzen dies und manipulieren Mitarbeiter entsprechend, so dass diese – entweder unabsichtlich oder bewusst -Informationen preisgeben. Die Angreifer missbrauchen dabei menschliche Eigenschaften wie Vertrauen, Hilfsbereitschaft, Dankbarkeit und Neugierde oder machen sich die Rache eines verärgerten Angestellten zu Nutze.

Bei allen Formen des passiven Ausspionierens interessieren sich Cyber-Kriminelle hauptsächlich für Namen, Telefonnummern, E-Mail-Adressen, Fusionen und Übernahmen oder aber Unternehmenspartner. Hacker nutzen zudem auch Websites, auf denen sich Einzelheiten zu Personen finden lassen, wie etwa people.yahoo.com in den USA oder soziale Netzwerke wie Xing.

Aktives Ausspionieren

Darüber hinaus gehört das aktive Ausspionieren zu den Tricks der Cyber-Kriminellen. Hier können die Schritte zur Informationsbeschaffung jedoch nicht selten bemerkt beziehungsweise protokolliert werden; es entsteht ein Datensatz über den Versuch des Ausspähens. Die Grenze zwischen aktiv und passiv verschwimmt zuweilen: Macht ein Angreifer etwa eine einfache Domain-Name-System-Abfrage (DNS), um die zur ‘Internet-Seite’ gehörige IP-Adresse herauszufinden, wird diese zwar irgendwo protokolliert – es ist jedoch unwahrscheinlich, dass dies von der Zielorganisation bemerkt wird.

Das Prinzip: Das Schicken einer E-Mail an einen fiktiven Angestellten des Zielunternehmens, resultiert vermutlich in einer Fehlermeldung. Damit lassen sich das E-Mail-Format und Informationen über die E-Mail-Server herauslesen. Auch wenn diese Aktion auf einem Mailserver aufgezeichnet wird – sie bleibt oft unbemerkt.

Folgende Schritte zählen zum aktiven Ausspionieren:


  • DNS-Lookup

  • Zone Transfer

  • Ping Sweep

  • Traceroute

  • Port-Scan

  • Fingerprinting

DNS-Lookup

Häufig nutzen Hacker Befehlszeilen-Tools von Betriebssystemen, mit denen sich Domain-Name-System-Abfragen durchführen lassen: Mit NSLookup/Whois/Dig können Namen und Adressinformationen eines Ziels ermittelt werden. Durch einfaches Abfragen lässt sich so etwa die IP-Adresse erfahren, die zu einem bestimmten Domainnamen gehört. Auch ist es möglich Adressen, wie etwa die des Mailservers, herauszufinden. Whois-Informationen wiederum übermitteln Namen und Kontaktdaten der Personen, die einen bestimmten Domainnamen registriert haben. Programme wie SamSpade erlauben es zusätzlich, alle diese Abfragen unter einer grafischen Oberfläche zusammengefasst anzuzeigen.

Zone Transfer

Namen- und IP-Adressdatensätze des Zielobjekts sind für gewöhnlich in ‘Zonen’ zusammengefasst. Diese Informationen werden in Zonendateien auf DNS-Servern hinterlegt. DNS-Server halten sich gegenseitig aktuell, indem sie Daten zwischen Zonendateien übertragen. Angreifer, die eine komplette Zonendatei von einem DNS-Server anfordern, bekommen alle diese Informationen auf dem Silbertablett serviert. Häufig werden zwar Sicherheitsvorkehrungen eingesetzt, die einen unauthorisierten Zugriff auf diese Dateien verhindern. Schlimmstenfalls aber halten Hacker eine komplette Liste mit den Namen und IP-Adressen des Zielobjekts in Händen. Das Problem: Indem Angreifer verschiedene Registrierungsdienste abfragen, können sie einzelne IP-Adressen und -Adressblöcke, die dem Zielnetzwerk zugeordnet sind, entdecken.

Ping Sweep

Das Ping-Dienstprogramm ist ein Diagnose-Tool. Hacker nutzen es, um Datenpakete an einen Zielrechner zu senden. Bekommen sie eine Antwort, ist klar: Der Rechner existiert, er hängt am Netzwerk und man kann mit ihm kommunizieren. Ein so genannter Ping Sweep beginnt am Anfang des Adressbereichs und sendet Datenpakete an die folgenden Adressen, bis die letzte Adresse erreicht ist. Auch hierfür existieren Scan-Tools.

Traceroute

Auch Traceroute gehört zu den standardmäßigen Dienstprogrammen. Es zeigt den Verbindungspfad zwischen Quelle und Ziel an. Denn der verwendete Pfad und seine Hops – ein Hop ist der Weg von einem Netzknoten zum nächsten – sind für Hacker relevante Aspekte. Die letzten Hops können innerhalb des Zielnetzwerks liegen, was zusätzliche Informationen über das Netzwerk und seine Subnetzwerke liefert. Darüber hinaus identifizieren sich viele der Zwischen-Hops selbst, so dass Angreifer weitere Angaben über geografische Daten und den Service-Provider des Ziels gewinnen können. Hacker, die bildliche Darstellungen bevorzugen, greifen auf grafische Versionen wie etwa Visual Route zurück.