Footprinting - oder wie Hacker Unternehmensnetzwerke ausspionieren

Transkript

1 Firebrand Training Was unser Name bedeutet: fi-re-brand (Nomen): Eine Idee oder Person, die Aufregung entfacht und eine Handlung oder Veränderung verursacht, indem sie veraltete Methoden und Überzeugungen herausfordert. Wir haben uns für den Namen Firebrand Training entschieden, um unsere Position als das etwas andere Weiterbildungsunternehmen zu unterstreichen. Unser Name widerspiegelt, was wir verwirklichen den Anstoß für die IT-Branche. Wir vermitteln Wissen und Zertifizierung durch unsere einzigartige, preisgekrönte Methode des Beschleunigten Lernens. Das Ziel der Kurse bei Firebrand Training ist es, Wissen an Kursteilnehmer in kürzester Zeit zu vermitteln und diese zu qualifizieren. Die Lehr- /Lernmethode des Beschleunigten Lernens ermöglicht es, mehr Informationen in kürzerer Zeit aufzunehmen und erfolgreich zu verarbeiten. Ausgewiesene Experten aus der Praxis vermitteln das Wissen, indem sie visuelle, auditive und kinästhetische Lernmethoden zu unterschiedlichen Tageszeiten anwenden. Das Prinzip des "Beschleunigtes Lernens" unterscheidet sich grundlegend von traditionellen Lehr-/Lernmethoden. Studenten bleiben während des ganzen Kurses im Camp (Hotel in natureller Umgebung) welches eine innovative und erstklassige Lernumgebung bietet, frei von jeglichen Ablenkungen geschaffen, um somit den Erfolg zu gewährleisten. Das Erlernte wird in Prüfungen abgefragt und die Teilnehmer erwerben bei Erfolg branchenweit anerkannte Zertifizierungen. Auch in diesem Punkt unterscheidet sich Firebrand Training von anderen Anbietern. IT-Experten und Unternehmen aus sämtlichen Wirtschaftsbereichen sparen durch das intensive Lernen wertvolle Zeit und Geld, da sie von einem geringeren Arbeitsausfall profitieren. Mit einer überdurchschnittlichen Rate von über 85 % bestehen Studenten Ihre Zertifizierungskurse auf Anhieb.Firebrand Training vermittelt dabei Inhalte, die sich sonst über Monate erstrecken, in Kursen von drei bis 14 Tagen. Inhalt :. Footprinting :. Passives Ausspionieren :. Website des Unternehmens :. Suchmaschinen wie Google :. Newsgroups und Foren :. Stellenangebote :. Interne Dokumente :. Der Mensch :. Aktives Ausspionieren :. DNS Lookup :. Zone transfer :. Ping sweep :. Traceroute :. Port Scanning :. Fingerprinting :. Mission erfolgreich Unsere Partner Visuell: Taktil: Auditiv: Vorlesung und Lehrmaterialien (Bücher, Informationsmaterial) Praktische Übungen im Labor Revision mit Referaten durch die Studenten Rufen Sie an unter: (kostenlos) an: info@firebrandtraining.de Besuchen Sie uns unter:

2 Hacker haben es auf sensible Unternehmensdaten abgesehen. Dabei gehen sie strategisch vor: An erster Stelle steht das Beschaffen von Informationen über das Zielobjekt. Dabei können sie auf verschiedene Ressourcen zurückgreifen, denn Unternehmensinformationen liegen in vielfältiger Form vor und Hacker nutzen diese Verfügbarkeit für ihre gefährlichen Ziele. Doch wie gehen die Angreifer genau vor? Welche Tricks wenden sie an? Footprinting was verbirgt sich dahinter? Sammeln Hacker Informationen über eine spezifische Computer-Netzwerkumgebung, meist zum Zweck eines Einbruchsversuchs, spricht man von Footprinting. Dies kann ein mühsames Verfahren sein, das sich jedoch lohnt. Böswillige Hacker betrachten das Ausspähen als ersten Schritt eines echten Angriffs und verwenden bei typischen Attacken bis zu 90 Prozent ihrer Zeit auf die Footprinting-Phase. Das Sammeln der Informationen kann also Monate dauern, wohingegen der eigentliche Angriff nur einige Stunden in Anspruch nimmt. Grundsätzlich gilt: Je mehr die Hacker über das Unternehmen oder das Netzwerk wissen, desto leichter oder wirkungsvoller ist die Attacke. Außerdem können sie auf Basis dieser Kenntnisse die effizienteste oder einfachste Art der Attacke ausarbeiten. Denn nutzen Cyber-Kriminelle zum Beispiel Microsoft-Sicherheitslücken beim Angriff auf einen Linux-Server, führen diese nicht zum Erfolg. Footprinting besteht aus folgenden Schritten: Zunächst sammeln die Angreifer Basisinformationen, dann bestimmen sie das Zielnetzwerk, das sie attackieren wollen. Anschließend definieren sie aktive Rechner im Zielnetzwerk und versuchen, offene, nicht gesicherte Ports oder Dienste auf den Zielrechnern zu finden. Ports sind Adresskomponenten, die in Netzwerkprotokollen eingesetzt werden, um Datensegmente den richtigen Diensten (Protokollen) zuzuordnen. Der letzte Schritt ist das Fingerprinting, bei dem herausgefunden wird, um welches Betriebssystem es sich handelt. Passives Ausspionieren Die Informationsbeschaffung selbst lässt sich in zwei Phasen einteilen. Beim passiven Ausspionieren sammelt der Angreifer Informationen über ein Unternehmen oder ein Netzwerk, ohne Kontakt mit dem Ziel aufzunehmen. Dabei zapft er verschiedene öffentlich zugängliche Quellen an, ohne dass der Ausgespähte in irgendeiner Weise alarmiert wird. Denn es ist völlig legal, diese Informationen anzusehen. Außerdem kann das Unternehmen bei den meisten dieser Angaben nicht verhindern, dass sie öffentlich zugänglich sind. Denn Internet-Netzwerke machen zum Beispiel bestimmte Zugriffe erforderlich, um Netzwerkkonflikte zu verhindern. Typische Quellen für öffentlich zugängliche Informationen sind unter anderem: Website des Unternehmens Suchmaschinen wie Google Newsgroups und Foren Stellenangebote Interne Dokumente Angreifer setzen auf physische Informationen und wühlen im Müll (Dumpster Diving) Der Mensch Hacker nutzen menschliche Schwächen aus, um an Informationen zu kommen (Social Engineering)

3 Website des Unternehmens Die Unternehmens-Website wird immer die erste Anlaufstelle sein, um an Informationen zu kommen. Hier können Angreifer Details über die Firma erfahren oder Kontaktnamen und -Adress-Strukturen finden. Statt sich die Website online anzusehen, verwenden sie dabei ein Tool wie httrack. Denn so sind sie in der Lage, die komplette Website herunter zu laden und dann offline zu lesen. Die Vorteile dieses Verfahrens liegen darin, dass Zeit oder Bandbreite kein Thema sind und sich der Web-Quellcode ansehen lässt, um etwas über die Website und ihren Aufbau zu erfahren. Der Quellcode kann auch Informationen über Betriebssysteme und verwendete Applikationen enthalten. Websites ändern sich ständig und es gibt Informationen, die von aktuellen Sites entfernt wurden. Deshalb nehmen Angreifer auch die Website archive.org ins Visier. Denn dort finden sich kontinuierliche Momentaufnahmen von Websites. So können die Hacker Versionen der Ziel-Website sehen, die bereits mehrere Jahre zurückliegen. Suchmaschinen wie Google Google ist ein nützliches Tool, das auch Kriminelle zu schätzen wissen. Sie können mit Hilfe der Suchmaschine Angaben über die Ziel-Website, aber auch Links mit Informationen über das Zielunternehmen finden. Da Google ganze Websites indexiert, ist es möglich, dass die Angreifer Informationen oder Seiten entdeckt, die auf der öffentlichen Website nicht ohne weiteres verfügbar sind. Viele Unternehmen sind sich nicht darüber im Klaren, dass Google die ganze Website scannt, so dass sie unwissentlich private oder interne Verzeichnisse in den Google-Index aufnehmen lassen. Das Tool Erweiterte Suche findet solche auf den ersten Blick versteckten Verzeichnisse und Dateien. Hacker geben dafür zum Beispiel nur für den internen Gebrauch in die erweiterte Suche ein und können dann wertvolle Informationen erhalten, von denen der Besitzer gar nicht weiß, dass sie indexiert sind. Die Verwendung einer anderen Suchmaschine kann weitere Ergebnisse bringen, weil sie andere Indexierungsverfahren einsetzen. Newsgroups und Foren In der Regel gibt es immer Personen in Diskussionsgruppen, die etwas über ein Unternehmen oder eine Person zu sagen haben. Für Hacker sind Foren besonders nützlich, wenn es um technische Fragen geht. Es gab sogar einen Fall, bei dem ein Systemadministrator auf der Suche nach der Lösung für ein Problem die Konfiguration eines Unternehmensrouters ins Web stellte ein echter Glücksfall für einen potenziellen Angreifer. Personen, die einen Eintrag in Newsgroups platzieren, hinterlassen auch ihre -Adressen. Sie bieten somit gleich zwei Informationen: erstens eine reale -Adresse und zweitens das -Adressformat des Unternehmens. Stellenangebote Unternehmen geben beispielsweise im Internet, in der lokalen Presse oder in Fachzeitschriften Stellenanzeigen auf, wenn sie neue Mitarbeiter suchen. Angebote technischer Positionen beschreiben häufig die dafür erforderlichen Kenntnisse, zum Beispiel Systemadministrator mit guten Solaris-10-Kenntnissen gesucht. Dies ist ein wertvoller Hinweis für Angreifer, denn sie benötigen Informationen über Betriebssysteme, Datenbanken, Netzwerkgeräte und Applikationen.

4 Interne Dokumente Beschaffen physischer Informationen Weggeworfene Notizen, Dokumente oder Handbücher eines Unternehmens können eine wahre Goldgrube für Angreifer sein. Der Begriff Dumpster Diving ( im Müll tauchen ) bezeichnet die Beschaffung physischer Informationen, die möglicherweise in Papierkörben entsorgt wurden. Zu diesem Zweck nehmen die Kriminellen nach Büroschluss die Müllcontainer in Augenschein, um nachzusehen, was das Reinigungspersonal nach dem Leeren der Papierkörbe hinterlassen hat. Sie können dort beispielsweise Rechnernamen, Kontoinformationen, Netzwerkinformationen und vielleicht sogar Passwörter finden. Ein Papierschnipsel, den ein Angestellter achtlos weggeworfen hat, kann einem böswilligen Hacker Zugang verschaffen. Der Mensch Social Engineering Social Engineering ist die einfachste Art, sich Informationen über ein Unternehmen zu beschaffen. Denn der Mensch ist wahrscheinlich das schwächste Glied in jedem Sicherheitsmodell. Hacker nutzen dies und manipulieren Mitarbeiter entsprechend, so dass diese entweder unabsichtlich oder bewusst Informationen preisgeben. Die Angreifer missbrauchen dabei menschliche Eigenschaften wie Vertrauen, Hilfsbereitschaft, Dankbarkeit und Neugier (Neuigkeiten gibt es nur, wenn Informationen geliefert werden) oder machen sich die Rache eines verärgerten Angestellten zu Nutze. Es ist sehr schwer, geeignete Abwehrmittel gegen Social Engineering zu finden, weil es keine Hardware oder Software gibt, die den Unsicherheitsfaktor Mensch abdeckt. Beim passiven Ausspionieren interessieren sich Cyber-Kriminelle für alle Aspekte der Zielorganisation. Erfahren sie Kontaktdetails von Mitarbeitern, können sie diese anrufen, um Informationen zu überprüfen und weitere Details auszuhorchen. Namen, Telefonnummern, -Adressen, Fusionen und Übernahmen, Unternehmenspartner alle diese Informationen können den entscheidenden Hinweis liefern, der das Puzzle vervollständigt. Angreifer nutzen beispielsweise Websites, auf denen sich Einzelheiten zu Personen finden lassen, wie etwa people.yahoo.com in den USA oder Soziale Netzwerke wie Xing, um sich eine fremden Identität zu verschaffen und so weitere Angaben auszuspionieren.

5 Aktives Ausspionieren Die andere Phase der Informationsbeschaffung ist das aktive Ausspionieren. Das heißt, hier können die Schritte zur Informationsbeschaffung bemerkt oder protokolliert werden, sprich es entsteht ein Datensatz über den Versuch des Ausspähens. Die Grenze zwischen aktiv und passiv ist manchmal nicht ganz eindeutig: Wenn ein Angreifer etwa eine einfache Domain-Name-System-Abfrage (DNS) macht, um die zur Internet-Seite gehörige IP-Adresse herauszufinden, wird diese zwar irgendwo protokolliert, aber es ist unwahrscheinlich, dass dies von der Zielorganisation bemerkt wird. Schickt der Hacker beispielsweise eine an einen fiktiven Angestellten des Zielunternehmens, erhält er vermutlich eine Fehlermeldung. Daraus kann er das -Format und die Server, die die passiert hat, herauslesen. So ist der Angreifer in der Lage, die Namen und Adressen des Mailservers abzuleiten. Auch wenn diese Aktion auf einem Mailserver protokolliert wird, ist es ein Ereignis, das häufig vorkommt und deshalb offenbar unbemerkt bleibt. Beim aktiven Ausspionieren sammeln und verwenden die Hacker Netzwerkinformationen, um ein Bild des Zielnetzwerks anzulegen, aus dem die schwächsten Glieder hervorgehen. Folgende Schritte zählen zum aktiven Ausspionieren: DNS-Lookup Zone Transfer Ping Sweep Traceroute Port-Scan Fingerprinting DNS-Lookup Es gibt mehrere Befehlszeilen-Tools in Betriebssystemen, mit denen sich Domain-Name-System-Abfragen durchführen lassen: NSLookup/Whois/Dig können Angreifer verwenden, um Namen und Adressinformationen eines Ziels zu ermitteln. Durch einfaches Abfragen lässt sich die IP-Adresse erfahren, die zu einem bestimmten Domainnamen gehört. Mit Hilfe detaillierter Abfragen können Hacker Adressen wie etwa die des Mailserver herausfinden. Ermitteln die Angreifer Whois-Informationen, finden sie Namen und Kontaktdaten der Personen heraus, die einen bestimmten Domainnamen registriert haben. Anstelle der Befehlszeilen-Tools ist es auch möglich, Dienstprogramme oder Websites zu nutzen, bei denen alle diese Informationen auf einmal verfügbar sind. Beispiele sind SamSpade, ein Programm, bei dem sämtliche dieser Abfragen unter einer grafischen Oberfläche zusammengefasst sind, oder die Website dnsstuff.com.

6 Zone Transfer Die Namen- und IP-Adressdatensätze des Zielobjekts sind für gewöhnlich in Zonen zusammengefasst, und diese Informationen sind in Zonendateien auf DNS-Servern hinterlegt. DNS-Server halten sich gegenseitig aktuell, indem sie Daten zwischen Zonendateien übertragen. Wenn Angreifer eine komplette Zonendatei von einem DNS-Server anfordern könnten, bekämen sie alle Informationen auf einmal statt mehrere Abfragen durchführen zu müssen. Bei vielen Servern werden Sicherheitsvorkehrungen eingesetzt, die einen unauthorisierten Zugriff auf diese Dateien verhindern. Doch es besteht die Möglichkeit, dass es funktioniert, und dann halten die Hacker eine komplette Liste mit den Namen und IP-Adressen des Zielobjekts in Händen. Warum benötigen Angreifer diese Informationen überhaupt? Indem sie die verschiedenen Registrierungsdienste abfragen, können sie einzelne IP-Adressen und -Adressblöcke, die dem Zielnetzwerk zugeordnet sind, entdecken. Da die Rechner nun Identitäten haben, sind sie in der Lage, diese für ihre kriminellen Aktivitäten ins Visier zu nehmen. Ping Sweep Das Ping-Dienstprogramm ist ein Diagnose-Tool. Hacker nutzen es, um Datenpakete an einen Zielrechner zu senden. Bekommen sie eine Antwort, wissen sie, dass der Rechner existiert, er am Netzwerk hängt und sie mit ihm kommunizieren können. Ein Ping Sweep beginnt am Anfang des Adressbereichs und sendet dann Datenpakete an die folgenden Adressen, bis die letzte Adresse erreicht ist. Auch hierfür gibt es Scan-Tools, die das Verfahren automatisieren. Traceroute Traceroute ist ein Dienstprogramm, das den Verbindungspfad zwischen Quelle und Ziel anzeigt. Denn der verwendete Pfad und seine Hops ein Hop ist der Weg von einem Netzknoten zum nächsten sind für Hacker relevante Aspekte. Die letzten Hops können innerhalb des Zielnetzwerks liegen, was zusätzliche Informationen über das Netzwerk und seine Subnetzwerke liefert. Darüber hinaus identifizieren sich viele der Zwischen-Hops selbst, so dass Angreifer weitere Angaben über geografische Daten und den Service-Provider des Ziels gewinnen können. Hacker, die bildliche Darstellungen bevorzugen, greifen auf grafische Versionen wie etwa Visual Route zurück. Dieses Dienstprogramm stellt die Ergebnisse auf einer Weltkarte dar und zeigt Einzelheiten der Hops und ihrer jeweiligen Standorte. Port-Scan Wenn Angreifer mit Hilfe von Ping festgestellt haben, welche Zielrechner aktiv sind, benötigen sie Details über diese. Sie wollen wissen, welche Ports nicht gesperrt sind. Mit einem Port-Scan lässt sich überprüfen, welche Transmission Control Protocol-Ports (TCP) und verbindungslosen User Datagram Protocol-Ports (UDP) eines Hosts offen sind. So erfahren sie erstens, welche Türen es gibt die sie dann ausprobieren, um Zugang zu erhalten und zweitens haben sie dadurch einen Hinweis auf die Funktion des jeweiligen Hosts, also den Computer, auf dem die Server betrieben werden, und möglicherweise auf sein Betriebssystem. Entdecken Hacker zum Beispiel, dass die Ports 80 und 443 offen sind, können sie davon ausgehen, dass das Ziel ein Webserver ist. Ist Port 25 offen, handelt es sich vermutlich um einen Mailserver. Port-Scanning ist ein ziemlich kompliziertes Verfahren. Es gibt Port-Nummern von 0 bis Jeder Port muss abgefragt werden, um herauszufinden, ob er offen ist und auf eine Anfrage antwortet. Es gibt einige Anomalien, weil verschiedene Betriebssysteme unterschiedlich auf manche Port-Scans antworten, doch können Angreifer auf der Grundlage der positiven und negativen Ergebnisse von Port-Scans ein recht genaues Bild des Zielrechners zeichnen.

7 Wenn Hacker eine Verbindung zwischen zwei Hosts herstellen, verwenden sie üblicherweise TCP oder UDP. Setzen sie auf TCP, enthält der Header jedes von einem Rechner versandte Datenpaket verfügt über einen Header, der Daten über den Absender, Empfänger, Typ und Lebensdauer des Datenpakets beinhaltet eine Reihe von Flags. Ein Flag ist eine binäre Variable im Arbeitsspeicher (Random Access Memory), die zum Handshaking-Prozess gehört, sprich der Dekodierung von GCR Daten Group Coded Recording, das heißt gruppenkodierte Aufzeichnung. Wenn Angreifer also ein Paket mit einem speziell gesetzten Flag senden, erwarten sie eine bestimmte Antwort. Indem sie definierte Pakete an das Ziel senden, können sie bestimmte Antworten provozieren, die Informationen über den Status des Ports und des Hosts liefern. Es gibt verschiedene Arten von Port-Scans, wie zum Beispiel Connect Scan, SYN Scan, NULL Scan, ACK Scan, Xmas-Tree Scan oder Idle Scan. Eines der Ziele von Footprinting ist, sich ein Bild vom Zielnetzwerk zu machen, ohne Alarm auszulösen. Der Connect Scan stellt eine vollständige Verbindung mit dem Zielhost her, genauso wie bei einer Datenübertragung. Dies sagt den Angreifern, dass der Port offen und bereit ist. Gleichzeitig aber erfährt das Zielobjekt, dass sich ein entfernter Host mit ihm verbunden hat. Außerdem kann das Opfer dessen Identität erfahren, das heißt die IP-Adresse. Eine zufällige Host-Verbindung löst keinen Alarm aus, aber es wird auffallen, wenn ein entfernter Host versucht, eine Verbindung mit aufeinanderfolgenden Ports aufzunehmen. Firewalls und Intrusion Detection Systeme (IDS) entdecken diese Art von Scan, weshalb Hacker getarnte Scans verwenden. Die anderen oben aufgeführten Scans, abgesehen vom Idle Scan, senden Pakete mit verschiedenen Flagkombinationen an das Ziel. Wenn ein Zielport geschlossen ist, sendet das Zielobjekt ein Paket mit einem RST-(Reset-)Flag zurück. Das sagt den Angreifern, dass der Port nicht verfügbar ist. Sendet das Zielobjekt nichts zurück, ist der Port dagegen verfügbar, weil er die Flag-Sequenz nicht versteht. Erhalten Hacker keine Antwort, wissen sie also, dass der Port offen ist und der Versuch eines Verbindungsaufbaus sich lohnen kann. Weil diese verschiedenen Scans keine vollständige Verbindung mit dem Ziel herstellen, werden sie auch nicht so leicht erkannt. IDS-Systeme und Firewalls sind jedoch grundsätzlich in der Lage, diese Art von Traffic in einem Netzwerk zu erkennen. Beim letzten Scan auf der Liste, dem Idle Scan, wird ein dritter Rechner, ein so genannter Zombie -Rechner, beteiligt. Angreifer richten eine Anfrage an das Ziel und die Antwort wird an den Zombie-Rechner geschickt, wo die Hacker dann das Ergebnis abrufen. So lässt sich der Ursprung einer Attacke verschleiern, weil es so aussieht, als kämen die Scans von dem Zombie-Rechner. Das Haupt-Tool für Portscans ist NMap, das für Linux- und Windows-Plattformen verfügbar ist. Mit NMap lassen sich verschiedene Arten von Portscans mit unterschiedlichen Parametern durchführen. Fingerprinting Die oben genannten Verfahren werden allesamt im Rahmen des Footprinting eingesetzt. Beim Fingerprinting versucht der Angreifer zu entdecken, welches Betriebssystem auf einem bestimmten Host verwendet wird. Wenn die Hacker wissen, welches Betriebssystem auf dem Ziel läuft, dann kennen sie auch die Schwachstellen und wissen, welche Tricks sich gegen diesen Host einsetzen lassen. Hacker nutzen beim Fingerprinting häufig NMap. Verschiedene Betriebssysteme reagieren unterschiedlich auf Scans, weil die Netzwerkfunktionalität nicht immer gleich implementiert ist. NMap stellt daher Vermutungen bezüglich des Betriebssystems an. Auch offenen Ports liefern Hinweise, weil bestimmte Ports für bestimmte Dienste reserviert sind. So werden bei einer Microsoft-Plattform bestimmte Ports offen sein, die bei einer Linux-Plattform wahrscheinlich geschlossen sind. Fingerprinting ist das letzte Teil im Footprinting-Puzzle.

8 Mission erfolgreich: Zielnetzwerk exakt ausspioniert Wenn das Footprinting abgeschlossen ist, haben Hacker ein genaues Bild des Zielnetzwerks inklusive Hostnamen, IP-Adressen, Nummern offener Ports, Betriebssysteme und Funktionen bestimmter Hosts. Um diese Informationen zu erhalten, können die Angreifer auf eine Vielzahl von Dienstprogrammen zurückgreifen. Diese reichen von einfachen kostenlosen Open-Source-Paketen bis hin zu umfangreichen kostenpflichtigen Scan-Suites. Tools wie Sensepost, Spiderfoot oder Wikto sind Footprinting-Tools, die in einem einzigen Durchgang viele Informationen erzeugen können. Dies sind legale Tools, weil sie auch verwendet werden können, um die Integrität eines Netzwerks zu überprüfen. Nach der Informationsbeschaffung geht es ans Eingemachte: Die Cyber-Kriminellen entscheiden sich für eine Angriffsstrategie. Dazu nutzen sie häufig öffentlich zugängliche Datenbanken, die Aufschluss über Sicherheitslücken geben, um die schwächsten Hosts herauszufinden und bekannte Exploits auszuprobieren. Ein Exploit ist ein Computerprogramm oder Script, das spezifische Fehlfunktionen eines anderen Computerprogramms ausnutzt, um Privilegien zu erlangen oder um eine Denial of Service-Attacke durchzuführen. Ist dieses Stadium erreicht, wird es für Unternehmen sehr schwer, eine Attacke erfolgreich abzuwehren.