everythingpossible - stock.adobe
Open Source Intelligence: Anwendungsfälle und Techniken
Unternehmen nutzten Open Source Intelligence, um den Markt oder Wettbewerber zu beobachten. Die Ansätze und Tools spielen aber auch für die IT-Sicherheit eine wichtige Rolle.
Sie sind ein Fan von fitnessorientierten Social-Networking-Apps wie Strava? Damit sind Sie nicht allein. Selbst Militärangehörige lieben es, ihre Laufstrecken nachzuverfolgen und mit anderen zu teilen. Das klingt per se nicht schlecht. Nur, sämtliche Aktivitäts- und GPS-Daten, die Strava so fleißig sammelt und veröffentlicht, geben unweigerlich den genauen Standort von Militärbasen preis.
Sie wären vermutlich überrascht, welche Art von Informationen heute öffentlich im Internet verfügbar sind. Ganz so überraschend ist es allerdings nicht, und das Phänomen hat auch bereits einen Namen: Oversharing. Wir geben auf Netzwerken wie Twitter und per automatischer E-Mail-Antwort Urlaubspläne preis – kein Wunder, dass Kriminelle sich diese Informationen bei ihrer Einbruchsplanung zunutze machen.
Sicherheitsexperten bezeichnen das als OSINT (Open Source Intelligence). Open Source Intelligence erfreut sich bei Angreifern großer Beliebtheit und wird ständig verwendet, um Schwachstellen in Prozessen, Technologien und bei Individuen zu identifizieren und auszunutzen. OSINT-Daten sind normalerweise recht einfach zu sammeln, und der Prozess läuft für das anvisierte Ziel unsichtbar ab. Nicht zuletzt ist das einer der Gründe, warum der militärische Geheimdienst OSINT zusammen mit weiteren Tools wie HUMINT (Human Intelligence), ELINT (Electronic Intelligence) und SATINT (Satellite Intelligence) ebenfalls einsetzt.
Es gibt aber auch gute Nachrichten. OSINT lässt sich auch zu Ihren Gunsten und für den Schutz der Benutzer einsetzen. Dazu sollte man aber zunächst verstehen, wie genau Angreifer OSINT für sich nutzen. Erst dann lässt sich die Ausdehnung der Angriffsfläche hinreichend einschätzen und die Verteidigungsmaßnahmen verstärken.
OSINT selbst ist ein uraltes Konzept. Ursprünglich wurde Open Source Intelligence über Massenmedien wie Fernsehen, Radio und Zeitungen gesammelt. Heute findet man solche Informationen problemlos überall im Internet, beispielsweise in
- sozialen und geschäftlichen Netzwerken wie Facebook, Instagram, LinkedIn
- öffentlichen Profilen auf Dating-Apps
- interaktiven Karten
- Gesundheits- und Fitness-Trackern
- OSINT-Tools wie Censys und Shodan
All diese öffentlich zugänglichen Informationen helfen Menschen dabei, Erlebnisse und Erfahrungen mit Freunden zu teilen, geheimnisvolle Orte zu finden, den Überblick über Medikationen zu behalten oder um Traumjobs und sogar Seelenverwandte zu finden. Aber es gibt es natürlich noch eine andere Seite. Ohne dass potenzielle Zielpersonen sich darüber wirklich bewusst sind, stehen diese Informationen Betrügern und Cyberkriminellen gleichermaßen bequem zur Verfügung.
Beispielsweise kann dieselbe ADS-B Exchange-App, mit der Sie die Flüge Ihrer Liebsten in Echtzeit verfolgen, von böswilligen Akteuren ausgenutzt werden, um Ziele zu lokalisieren und für die potenziellen Opfer wenig erfreuliche Pläne zu schmieden.
Unterschiedliche OSINT-Anwendungen verstehen
Open-Source-Informationen stehen ihrer Natur nach nicht nur denjenigen zur Verfügung, für die sie bestimmt sind. Jeder kann darauf zugreifen und sie benutzen.
Regierungs- und Strafverfolgungsbehörden: Obwohl vergleichsweise billig und leicht zugänglich, verwenden selbst Nationalstaaten und deren Geheimdienste OSINT. Richtig eingesetzt, liefert OSINT nämlich sehr brauchbare Informationen und ist nur schwer nachzuverfolgen. Regierungen nutzten solche Informationen etwa für den verdeckten Landesschutz.
Extremistische Organisationen: Terroristen sind natürlich ebenso in der Lage, dieselben Open-Source-Informationen als Waffe zu verwenden und so viele Daten wie möglich über potenzielle Ziele zu sammeln.
Unternehmen: Unternehmen nutzen Open-Source-Informationen, um den Wettbewerb zu analysieren, Markttrends zu prognostizieren und neue Möglichkeiten auszuloten.
Cybercrime-Gruppen: Cyberkriminelle verwenden OSINT, um zielgenaue Social-Engineering- und Spear-Phishing-Angriffe zu entwickeln.
Privatpersonen: Jeder nutzt OSINT zu irgendeinem Zeitpunkt und aus irgendeinem Grund. Ganz gleich, ob Sie einen alten Freund oder Ihren Lieblings-Prominenten googeln - das alles ist OSINT.
„Firmen, die OSINT bereits nutzen, um Marktchancen auszuloten und Wettbewerber zu studieren, sollten OSINT auch im Bereich Cybersicherheit einsetzen.“
Etay Maor, Cato Networks
OSINT-Techniken einsetzen
Die Umstellung auf das Arbeiten von zu Hause aus war eine absehbare Entwicklung. Die COVID-19-Pandemie hat den gesamten Prozess aber deutlich beschleunigt. Schwachstellen und Daten von Mitarbeitern und Mitarbeiterinnen ausfindig zu machen, die vom heimischen Büro aus tätig sind – und damit außerhalb des traditionellen Sicherheitsperimeters, ist oftmals nur eine schnelle Online-Suche entfernt.
Websites sozialer Netzwerke: Cyberkriminelle können problemlos Daten sammeln. Dazu zählen persönliche Interessen, berufliche Stationen und Positionen, Details zur Familie sowie aktuelle und sogar zukünftige Standorte von Mitarbeitern, stellvertretenden Geschäftsführern und Führungskräften von Unternehmen. Im Nachgang lassen sich diese Daten für Spear-Phishing-Nachrichten, Anrufe oder E-Mails nutzen.
Google: Böswillige Nutzer können Informationen wie die Standardpasswörter bestimmter Marken und Modelle von IT- und IoT-Geräten googeln - wie Router, Sicherheitskameras, Heimthermostate und so weiter.
GitHub: Ein paar naive Suchanfragen auf GitHub reichen aus, um Anmeldeinformationen, Master-Schlüssel, Verschlüsselungs-Keys und Authentifizierungstoken für Apps, Dienste und Cloud-Ressourcen in freigegebenem Open Source Code offenzulegen. Der berüchtigte Hack bei Capital One ist ein Paradebeispiel für einen solchen Angriff.
Google-Hacking: Diese auch als „Google Dorking“ bekannte OSINT-Technik ermöglicht es Cyberkriminellen, mithilfe fortschrittlicher Google-Suchtechniken Sicherheitsschwachstellen in Apps, spezifische Informationen über Personen, Dateien mit Anmeldeinformationen und weitere mehr zu finden.
Shodan und Censys: Shodan und Censys sind Suchplattformen für mit dem Internet verbundene Geräte und industrielle Steuerungssysteme und Plattformen. Suchanfragen lassen sich verfeinern, um auch bestimmte Geräte mit bekannten Schwachstellen, zugängliche Elasticsearch-Databanken und mehr ausfindig zu machen.
OSINT zur Verteidigung einsetzen
Firmen, die OSINT bereits nutzen, um Marktchancen auszuloten und Wettbewerber zu studieren, sollten OSINT auch im Bereich Cybersicherheit einsetzen:
- Das OSINT Framework, eine Sammlung von OSINT-Tools, ist ein guter Ausgangspunkt für Unternehmen, sich die Leistungsfähigkeit von OSINT zunutze zu machen. Es hilft Penetrationstestern und Sicherheitsforschern, frei verfügbare und potenziell ausnutzbare Daten zu entdecken und zu zusammenzustellen.
- Tools wie Censys und Shodan sind ebenfalls in erster Linie für Penetrationstests konzipiert. Sie ermöglichen es Unternehmen, ihre mit dem Internet verbundenen Assets zu identifizieren und besser zu schützen.
- Die übermäßige Weitergabe personenbezogener Daten ist für Personen und die Organisationen, für die sie tätig sind, hoch problematisch. Unternehmen sollten deshalb ihre Mitarbeiter über die sichere und verantwortungsvolle Nutzung sozialer Medien aufklären.
- Mitarbeiter sollten kontinuierlich für Cybersicherheit sensibilisiert und zumindest halbjährlich geschult werden. Unangekündigte Cyberangriffe und Phishing-Simulationen sollten Teil der Workshops sein.
Über den Autor:
Etay Maor ist Senior Director of Security Strategy bei Cato Networks. Davor war Maor als Chief Security Officer für IntSights unterwegs und bekleidete leitende Sicherheitspositionen in den Cyber Threats Research Labs von IBM und RSA Security. Er ist außerordentlicher Professor am Boston College und hat einen BA-Titel in Informatik und einen MA in Terrorismusbekämpfung und Cyberterrorismus der Reichman Universität (IDC Herzliya), Tel Aviv.