061: Was bedeutet OSINT?

Shownotes

In der heutigen Folge des BlueScreen Wissen-Podcasts spreche ich über das wichtige Thema Sicherheit. Es ist sehr wichtig, genau zu wissen, welche Systeme und Geräte in einem Unternehmen im Einsatz sind, um entsprechende Schutzmaßnahmen ergreifen zu können. Dabei können wir uns an den fünf Säulen aus dem CISO-Handbuch orientieren: Benutzer, Geräte, Daten, Infrastruktur und Netzwerke sowie externe Identitäten.

Im Verlauf dieser Episode werde ich auf jede dieser Säulen eingehen und aufzeigen, dass auch Informationen, die von außen zugänglich sind, eine potenzielle Schwachstelle darstellen. Es ist daher sehr wichtig, die Informationen, die über die Unternehmenswebsite oder andere Plattformen zugänglich sind, immer im Auge zu behalten und keine sensiblen Daten unwissentlich zu veröffentlichen. Auch Suchmaschinen können von Angreifern genutzt werden, um Informationen zu finden und die Sicherheit zu bewerten.

Ich diskutiere auch, wie Schwachstellenbewertungen durchgeführt werden können. Die Nutzung von Open Source Intelligence (OSINT) ermöglicht es einem Angreifer, bereits im Vorfeld umfangreiche Informationen zu sammeln. Dabei handelt es sich um öffentlich bekannte Schwachstellen und Informationen aus veröffentlichten und öffentlich zugänglichen Quellen. Ein Angreifer kann diese Informationen nutzen, um entweder über Social Engineering in ein Unternehmen einzudringen oder Schwachstellendatenbanken für einen Angriff zu nutzen.

Dabei ist zu beachten, dass sich Unternehmen oft nicht bewusst sind, wie viele Informationen sie nach außen tragen und wie viele Schwachstellen bereits bekannt sind. Die passive Informationsbeschaffung im Rahmen von OSINT erfolgt diskret und hinterlässt keine Spuren in den Protokollen. Ich erwähne auch den Security Quick-Check, bei dem öffentliche DNS-Informationen, Tools wie Robtex und Schwachstellendatenbanken zur Informationsbeschaffung genutzt werden. Auch Shodan wird als bekannte Datenbank genannt, die Informationen über Unternehmen und deren Systeme liefert. Es wird empfohlen, bestimmte Informationen wie TXT-Einträge aus dem DNS zu entfernen, um zu verhindern, dass zu viele Rückschlüsse gezogen werden können. Ich erwähne auch, dass Shodan unauffällig Informationen sammelt und Netzwerke scannt, um Informationen über Unternehmen, IPs und Domains zu erhalten.

Schließlich erkläre ich, wie wir überprüfen können, ob SSL-Zertifikate noch gültig sind und woher sie stammen. Außerdem prüfen wir, ob es Schwachstellen in Systemen gibt, die mit dem Internet verbunden sind, wie zum Beispiel ein Webserver oder ein E-Mail-System, die von Angreifern ausgenutzt werden könnten. Mit Hilfe von Shodan können wir all diese Informationen sammeln, ohne auf dem Radar des Unternehmens aufzutauchen. Wir erhalten eine Fülle von Informationen, wie zum Beispiel die Betriebszeit eines Systems. Wenn wir zum Beispiel bei einem Unternehmen Schwachstellen aus dem Jahr 2009 finden, die immer noch nicht behoben sind, und dazu noch abgelaufene SSL-Zertifikate, dann deutet das auf mangelnde Aufmerksamkeit in Sachen IT-Sicherheit hin.

Shownotes:

Transkript anzeigen

00:00:00: Hallo und herzlich willkommen zur ersten Folge von Blue Screen Wissen im neuen Jahr.

00:00:11: Ich hoffe, ihr seid gut rübergekommen, ich für meinen Teil bin es auf jeden Fall.

00:00:14: Ja, wir haben das letzte Jahr beendet mit Reiseaktivitäten und auf was man da so achten

00:00:20: sollte und ich habe mir gedacht, wir gehen direkt weiter im neuen Jahr mit dem Thema

00:00:25: Security und wer den Podcast schon länger hört und wer auch vielleicht mich auf einer der Veranstaltungen von uns letztes Jahr gesehen hat, der weiß, das Thema kommt immer wieder hoch,

00:00:37: dass ich sage, ihr müsst wissen, was ihr eigentlich für Systeme verwendet, ihr müsst wissen, was im Einsatz ist, also auf Englisch know your assets,

00:00:45: Ihr müsst wirklich verstehen und auch wissen, welche Systeme, welche Geräte und so weiter

00:00:51: sind denn eigentlich bei euch im Unternehmen im Einsatz, um hier auch adäquat ranzugehen,

00:00:57: um einen adäquaten Schutzwallen, um diese Systeme zu ziehen auf der einen Seite, aber

00:01:02: auf der anderen Seite natürlich auch, um zu wissen, in welche Protokolle, in welche

00:01:06: Logs müsst ihr denn reingucken, was müsst ihr auf dem Schirm haben, um zu verstehen

00:01:10: und auch zu bewerten, was denn da eigentlich Tag für Tag in eurem System so los ist.

00:01:16: Das ganze kann man relativ schön an die fünf Säulen anlehnen aus dem klassischen CISO-Handbuch.

00:01:24: Die erste Säule, die wir haben, sind unsere Benutzer.

00:01:27: Um die müssen wir uns natürlich kümmern. Wir müssen gucken, was machen die jeden Tag und von wo aus tun die das.

00:01:32: Die nächste Säule von den fünf sind dann eben die Geräte. Wir müssen also auch alle Geräte auf dem Schirm haben.

00:01:39: Und da rede ich nicht nur von unseren PCs und Laptops und Smartphones,

00:01:43: sondern natürlich je nachdem wie ihr aufgestellt seid auch um andere Geräte

00:01:48: zum Beispiel eben Drucker, IP-fähige Systeme für die Klimatisierung oder

00:01:53: gerade auch in der Produktion natürlich dann die verschiedenen Sensoren in der

00:01:57: Produktion. Diese ganzen Dinge also IT und OT-Devices muss man tatsächlich auch

00:02:04: auf den Plan haben. Man muss wissen was gibt es denn da so alles um hier auch

00:02:08: wirklich einen holistischen Blick auf diese Sachen zu bekommen.

00:02:12: Die dritte Säule, die wir haben, sind dann unsere Daten. Natürlich auch das spielt eine ganz große Rolle.

00:02:18: Welche Art von Daten sind denn im Unternehmen im Einsatz? Wie sind die klassifiziert? Sind sie denn überhaupt schon klassifiziert?

00:02:25: Es gibt hier gute Möglichkeiten einfach auch eine Klassifizierung in Form von automatischen Möglichkeiten zu platzieren oder man macht es von Hand.

00:02:35: Aber dann ist es natürlich auch wiederum sehr wichtig, dass man sagt, okay, diese Information, die darf nach außen geteilt werden und dann das Ganze auch zu forcieren, dass nur diese Informationen nach außen geteilt werden dürfen, beispielsweise in der Website oder über einen OneDrive Link oder über SharePoint oder per E-Mail oder per Teams.

00:02:53: Also es gibt ja ganz viele Möglichkeiten, wie man Daten nach außen teilen kann.

00:02:58: Das heißt, das ist natürlich auch ein wichtiges Thema. Das heißt, Daten müssten auch auf dem Plan sein.

00:03:04: Da kann man dann auch mit verschiedenen Werkzeugen entsprechend rangehen.

00:03:08: Dann die vierte Säule, die wir in dieser ganzen Geschichte haben, sind dann entsprechend Infrastrukturen und Netze, auch die muss man auf dem Plan haben, man sollte also auch wirklich nicht irgendwo einen Switch vergessen oder einen Access Point oder

00:03:24: weitverkehrsstrecken vpn und so weiter und so fort und da sollte man natürlich auch bevor man sich oder nicht bevor man sich aber wenn man sich mit diesem ganzen thema systeme und so weiter entsprechend beschäftigt dann sollte das halt auch auf dem plan sein.

00:03:42: Ja und zu guter letzt wir haben jetzt gesagt wir haben geräte wir haben die benutzer wir haben die daten die da sind.

00:03:50: Wir haben zusätzlich noch die Informationen bzw. das Netzwerk und zu guter Letzt geht es natürlich dann auch darum, externe Identitäten, mit denen man zusammenarbeitet und alles andere, was halt noch ansonsten fehlt, auch in die Waagschale zu werfen, um diese ganzen Sachen zu bewerten.

00:04:09: Es gibt ganz viele mögliche Schwachstellen im Unternehmen und ja, ich habe mir gedacht,

00:04:14: wir fangen jetzt einfach mal damit an, dass wir von außen mal auf ein Unternehmen drauf gucken

00:04:20: und uns überlegen, was habe ich denn hier an Informationen, die ich sammeln kann, die ich

00:04:26: eventuell auch schon von außen sehen kann. Das ist eine Sache, die auch Angreifer tun und dafür

00:04:32: gibt es verschiedene Werkzeuge. Diese Informationsbeschaffungsphase, die ist eigentlich.

00:04:37: Immer vor einem Angriff, bevor ein Angriff stattfindet, mit dabei. Das heißt, ein Angreifer

00:04:43: wird sich auch von außen erstmal damit beschäftigen, welche Informationen bekomme ich denn zum

00:04:47: Unternehmen überhaupt raus. Das geht zum Beispiel über die Website, das geht aber

00:04:52: auch beispielsweise über die Wayback-Machine vom Internetarchiv. Das heißt, manche Sachen,

00:04:58: die vielleicht irgendwann mal auf der Internetseite gestanden haben, aber nicht mehr dort sind,

00:05:03: kann ich über die Wayback-Maschine von Internetarchiv auch immer noch durchsuchen.

00:05:08: Das heißt, nur weil es gelöscht ist, auf der Website, ist das noch lange nicht vergessen.

00:05:13: Und da passt der Spruch eigentlich ganz gut. Das Internet vergisst nie. Das sind Sachen,

00:05:18: da muss man schon aufpassen, dass man hier auch sich nicht für die Zukunft ein Problem baut,

00:05:22: weil man heute etwas vielleicht nicht mal absichtlich auf seiner Unternehmenswebsite

00:05:27: veröffentlicht hat. Zusätzlich sind Unternehmen auf verschiedensten Plattformen,

00:05:32: Das heißt, vielleicht habe ich auch noch ein Profil mit meiner Firma bei X oder bei LinkedIn oder bei Facebook.

00:05:39: Auch hier steckt immer eine Menge Informationsgehalt drin. Ich kann Namen von Mitarbeitern rausfinden.

00:05:46: Ich kann vielleicht auch Telefonnummern und E-Mail-Adressen oder zumindest oder vor allem das Schema.

00:05:50: Wie sieht eine gültige E-Mail-Adresse in dem Unternehmen aus?

00:05:54: Und zu guter Letzt gibt es auch noch Suchmaschinen, die genau nach solchen Informationen suchen

00:06:00: und zusätzlich aber auch gleich.

00:06:03: Schwachstellenbewertung machen. Das heißt, ich kann als Angreifer relativ schnell hergehen und gucken, hat dieses Unternehmen denn aktuell irgendwelche Systeme im Einsatz,

00:06:12: die vielleicht eine öffentlich bekannte Schwachstelle haben. Hat der Web-Server

00:06:17: oder die darauf installierte Version vom Content-Management-System irgendwo eine Schwachstelle?

00:06:23: Und da kann ich mir natürlich auch wieder ein gutes Bild machen und ich kann viele Informationen schon ableiten.

00:06:28: Diese ganzen Informationen, die ich jetzt so aufgezählt habe, sind sogenannte Open Source Intelligence-Informationen oder kurz OSINT.

00:06:37: Und mit diesen OSINT-Informationen bekomme ich schon ein tatsächlich sehr schlagkräftiges Informationsset.

00:06:45: Und auf dieser Basis ist es dann natürlich auch gut möglich, dass ein Angreifer hergehen kann und entweder sagt,

00:06:51: Ich versuche mal, mich dort in dieses Unternehmen hineinzudiskutieren.

00:06:57: Ich bequatsche die Mitarbeiter, ich rufe mal da an und gebe mich als jemand aus, der ich nicht bin.

00:07:02: Wirklich Social Engineering hatten wir schon als Thema, weil ich so viele Informationen aus den veröffentlichten und öffentlichen Informationen herauslesen kann.

00:07:12: Oder aber ich gehe her und benutze einfach diese Informationen, die in sogenannten Schwachstellendatenbanken hinterlegt sind.

00:07:19: Und guck mal, ob ich hier vielleicht schon mit einem ersten Angriff erfolgreich sein kann.

00:07:24: Der perfide Teil dabei ist, wenn ich mit Suchmaschinen arbeite und mit öffentlich verfügbaren Informationen, ist das komplett leise.

00:07:32: Das heißt, ein Angriff findet an der Stelle noch gar nicht statt.

00:07:36: Und da sind sich viele Unternehmen einfach gar nicht bewusst darüber, wie viel sie nach außen erzählen, wie viel sie nach außen auch schon zeigen.

00:07:44: Und wie viele Schwachstellen, welche Schwachstellen vielleicht auch tatsächlich für die Allgemeinheit schon bekannt sind.

00:07:50: Und da ist natürlich ein riesengroßes Problem drin, da ist ein großes Risiko dabei.

00:07:55: Das heißt, mit diesen passiven Informationen werde ich als Angreifer oder die Person, die

00:08:00: sammelt auch niemals in irgendwelchen Protokollen auftauchen, weil ich ja nicht aktiv scanne.

00:08:06: Diese Form der Informationsbeschaffung ist bei uns zum Beispiel auch Bestandteil unseres Security Quick Checks.

00:08:13: Das ist ein Produkt, das wir letztes Jahr eingeführt haben.

00:08:16: Und hier gucken wir auch tatsächlich drauf, was ist denn frei verfügbar an Informationen.

00:08:21: Wir wühlen uns dabei unter anderem durch die öffentlichen DNS-Informationen zum Unternehmen.

00:08:26: Wir verwenden auch Tools wie zum Beispiel Robtex, um uns verschiedene Informationen zusammenzutragen.

00:08:32: Wir benutzen aber auch eben diese Datenbanken, die Schwachstellen auflisten.

00:08:37: Und eine der bekanntesten Datenbanken, die sowas tut, ist Shodan.

00:08:42: Ich werde alles, was ich da so jetzt erzähle in der heutigen Folge,

00:08:45: auch nachher unten in die Shownotes rein verlinken.

00:08:47: Dann könnt ihr euch das mal angucken. Und daraus ergibt sich dann ein Datensatz.

00:08:52: Und ich kann anhand dieses Datensatzes schon sehr viel rauslesen,

00:08:56: weil zum Beispiel gibt es im DNS vielleicht einen TXT-Eintrag,

00:09:00: der mit MS-IST gleich beginnt.

00:09:02: MS ist gleich ist immer ein Zeichen dafür, dass das Unternehmen irgendwann mal aktiv oder vielleicht auch nur zu einem Test Microsoft 365 eingerichtet hat.

00:09:12: Ich brauche diesen Texteintrag, um meine Domäne bei Microsoft zu validieren.

00:09:16: Ich muss den dann aber nicht da drin stehen lassen. Ich kann den wieder rauslöschen.

00:09:20: Und da geht's dann nämlich schon damit los, weil vielleicht guckt ja das E-Mail System nicht zu Microsoft, weil was anderes davorsteht.

00:09:28: Das heißt, möglicherweise steht in dem MX-DNS-Eintrag irgendwas anderes drin, wie ein MX von Hornet Security.

00:09:36: Das heißt, hier kann ich erst mal nicht ablesen, was dahinter läuft.

00:09:39: Ich sehe nur, das System wird geschützt durch eine Lösung, in dem Fall Hornet Security oder, wenn es von uns kommt, die CNP Mail Security.

00:09:48: Wenn aber der TXT Eintrag da ist mit Microsoft MS ist gleich,

00:09:52: dann ist es für mich schon mal ein sehr gutes Zeichen, dass ich von außen sehen

00:09:55: kann Aha, die benutzen Microsoft 365.

00:09:58: Das heißt, solche Infos, die gehören eigentlich raus.

00:10:01: Die gehören bereinigt, weil man sonst schon zu viel ableiten könnte.

00:10:06: Das gilt jetzt aber nicht nur für Microsoft. Es gibt auch die Google Site Verification.

00:10:09: Es gibt Freischalt Codes für andere Systeme.

00:10:13: Für Barracuda zum Beispiel gibt es auch einen eigenen Eintrag.

00:10:16: Und diese ganzen TXT-Einträge, diese sogenannten Qwerty-Challenges, die sollte man auch aus dem DNS wieder entfernen.

00:10:24: Ja gut, zusätzlich gibt es natürlich dann auch eben diese Informationen aus Shodan.

00:10:30: Und hier habe ich ebenfalls einen sehr leisen Informationsbeschaffungsweg,

00:10:35: weil Shodan von sich aus diese ganzen Netze, alle Netze, die es eigentlich gibt, durchscannt

00:10:41: und dann dort auf dieser Basis nachguckt, was

00:10:44: Gibt es denn zu diesem Unternehmen oder dieser IP oder dieser Domain für Systeme?

00:10:50: Da wird auch gleich ausgewertet, wie schaut es aus mit den SSL-Zertifikaten, sind die noch gültig, woher kommen diese SSL-Zertifikate denn?

00:10:57: Sind dort vielleicht Wildcard-SSL-Zertifikate im Einsatz?

00:11:02: Und gibt es an dem System, was, wie man heutzutage sagen würde, Internet-facing ist, weil es halt ein Web-Server ist oder ein E-Mail-System,

00:11:09: gibt es da Schwachstellen, die ja ausgenutzt werden könnten, für die es vielleicht auch einen Patch

00:11:15: gibt. Und diese ganzen Infos kriege ich mit Shodan komplett, ohne irgendwie auf dem Radar

00:11:20: des Unternehmens aufzutauchen, um welches ich in dem Moment halt einfach dreht. Und da gibt es eine,

00:11:26: ganze große Menge an Informationen, die man sammeln kann. Und da steckt auch schon richtig

00:11:30: viel Potenzial drin. Das heißt, diese ganze Open-Source-Intelligence-Phase während der

00:11:36: ersten Datensammlungsphase vor einem Angriff. Da kann man schon unglaublich viel rauslesen.

00:11:42: Man kann zum Beispiel manchmal auch schon die Uptime rauslesen. Wie lange ist denn ein System

00:11:47: schon da? Wie lange läuft das schon? Und da kann man viel einfach auch an Infos sich rausziehen.

00:11:52: Ja, wenn ich jetzt zum Beispiel sehe, das Unternehmen hat einen Webserver, da sind

00:11:56: Schwachstellen von 2009 drin und das ist keine Seltenheit, das sehe ich regelmäßig. Der Server

00:12:01: läuft auch schon ewig und die SSL-Zertifikate sind zum Teil vielleicht auch schon abgelaufen,

00:12:05: dann spricht es schon eine Sprache. Das heißt jetzt nicht, dass die Admins dieses Unternehmens sich nicht darum kümmern.

00:12:12: Aber es liegt nahe, dass man diese Vermutung einfach anstellt und sagt,

00:12:16: ich glaube, hier sollte auf jeden Fall mal jemand drüber gucken, weil hier ist einfach vielleicht.

00:12:22: Nicht genügend Augenmerk auf der ganzen Thematik rund um IT-Security.

00:12:27: Ja, das soll es für die erste Folge dieses Jahr tatsächlich schon gewesen sein. Das ganze Thema rund um Open-Source-Intelligence

00:12:33: Intelligence werde ich in der nächsten Folge noch ein bisschen anreichern.

00:12:37: Bisher haben wir über passives Scanning gesprochen und in der nächsten Folge werden wir uns dann mal mit aktivem Scanning beschäftigen.

00:12:45: Ich hoffe, ihr konntet was mitnehmen. Falls ihr Fragen habt, ihr könnt unten in den Show Notes meine E-Mail Adresse finden.

00:12:51: Ihr findet aber auch die Möglichkeit zur Terminbuchung.

00:12:53: Nutzt diese Möglichkeit, stellt mir Fragen und wenn ihr Interesse habt an zum Beispiel unserem QuickCheck, dann meldet euch.

00:13:00: Auch dazu gibt es den Link unten in den Show Notes.

00:13:02: Macht's gut, einen schönen Januar noch und bis bald. Ciao.

00:13:15: Music.

Neuer Kommentar

Dein Name oder Pseudonym (wird öffentlich angezeigt)
Mindestens 10 Zeichen
Durch das Abschicken des Formulars stimmst du zu, dass der Wert unter "Name oder Pseudonym" gespeichert wird und öffentlich angezeigt werden kann. Wir speichern keine IP-Adressen oder andere personenbezogene Daten. Die Nutzung deines echten Namens ist freiwillig.