Bist du ein Fan von fitnessorientierten Social-Networking-Apps wie Strava? Du bist nicht allein. Sogar Militärangehörige genießen es, ihre Läufe zu verfolgen und zu teilen. Es klingt großartig, außer dass alle Aktivitäts- und GPS-Daten, die die Strava-App sammelt und veröffentlicht, ausnahmslos den genauen Standort von Militärbasen preisgeben.
Sie werden überrascht sein, welche Art von Informationen heute öffentlich im Internet verfügbar sind. Aber es sollte keine Überraschung sein, wenn man bedenkt, wie wir in den Tagen des Überteilens leben. Wir kündigen auf Twitter und per E-Mail automatische Antworten über unsere Urlaubspläne an und laden im Wesentlichen Räuber ein. Sicherheitsexperten nennen es OSINT (Open-Source-Intelligenz), und Angreifer verwenden es ständig, um Schwachstellen in Prozessen, Technologien und Personen zu identifizieren und auszunutzen. OSINT-Daten sind normalerweise einfach zu sammeln, und der Prozess ist für das Ziel unsichtbar. (Deshalb verwendet der militärische Geheimdienst es zusammen mit anderen OSINT-Tools wie HUMIT, ELINT und SATINT.)
Die guten Nachrichten? Sie können auf OSINT tippen, um Ihre Benutzer zu schützen. Aber zuerst müssen Sie verstehen, wie Angreifer OSINT ausnutzen, um den Umfang Ihrer Angriffsfläche ausreichend auszuwerten und Ihre Verteidigung entsprechend zu stärken.
OSINT ist ein uraltes Konzept. Traditionell wurden Open-Source-Informationen über Fernsehen, Radio und Zeitungen gesammelt. Heutzutage gibt es solche Informationen überall im Internet, einschließlich:
· Soziale und berufliche Netzwerke wie Facebook, Instagram und LinkedIn
· Öffentliche Profile auf Dating-Apps
· Interaktive Karten
· Gesundheits- und Fitness-Tracker
· OSINT-Tools wie Censys und Shodan
All diese öffentlich zugänglichen Informationen helfen Menschen, Abenteuer mit Freunden zu teilen, obskure Orte zu finden, Medikamente im Auge zu behalten und Traumjobs und sogar Seelenverwandte zu finden. Aber es gibt auch eine andere Seite. Unbemerkt von potenziellen Zielen sind diese Informationen genauso bequem für Betrüger und Cyberkriminelle verfügbar.
Beispielsweise kann dieselbe ADS-B Exchange-App, mit der Sie die Flüge Ihrer Liebsten in Echtzeit verfolgen, von böswilligen Akteuren ausgenutzt werden, um ihre Ziele zu lokalisieren und schändliche Pläne zu schmieden.
Verständnis der verschiedenen Anwendungen von OSINT
Open-Source-Informationen stehen nicht nur denjenigen zur Verfügung, für die sie bestimmt sind. Jeder kann darauf zugreifen und es nutzen, einschließlich Regierungs- und Strafverfolgungsbehörden. Obwohl es billig und leicht zugänglich ist, verwenden Nationalstaaten und ihre Geheimdienste OSINT, weil es gute Informationen liefert, wenn es richtig gemacht wird. Und da es sich um frei verfügbare Informationen handelt, ist es sehr schwierig, Zugriff und Nutzung einer einzelnen Entität zuzuordnen.
Extremistische Organisationen und Terroristen können dieselben Open-Source-Informationen nutzen, um so viele Daten wie möglich über ihre Ziele zu sammeln. Cyberkriminelle verwenden OSINT auch, um hochgradig zielgerichtete Social-Engineering- und Spear-Phishing-Angriffe durchzuführen.
Unternehmen nutzen Open-Source-Informationen, um den Wettbewerb zu analysieren, Markttrends vorherzusagen und neue Möglichkeiten zu identifizieren. Aber auch Einzelpersonen führen OSINT irgendwann und aus verschiedenen Gründen durch. Ob es darum geht, einen alten Freund oder einen Lieblingsstar zu googeln, es ist alles OSINT.
So verwenden Sie mehrere OSINT-Techniken
Die Umstellung auf Heimarbeit war unvermeidlich, aber der gesamte Prozess musste beschleunigt werden, als COVID-19 zuschlug. Das Auffinden von Schwachstellen und Daten gegen Personen, die von zu Hause aus außerhalb des traditionellen Sicherheitsperimeters von Unternehmen arbeiten, ist manchmal nur eine schnelle Online-Suche entfernt.
Soziale Netzwerke: Cyberkriminelle können Daten wie persönliche Interessen, vergangene Erfolge, Familiendaten und aktuelle und sogar zukünftige Standorte von Mitarbeitern, Vizepräsidenten und Führungskräften ihrer Zielorganisationen sammeln. Sie können dies später verwenden, um Spear-Phishing-Nachrichten, Anrufe und E-Mails zu erstellen.
Google: Böswillige Benutzer können Informationen wie die Standardkennwörter für bestimmte Marken und Modelle von IT-Geräten und IoT-Geräten wie Routern, Sicherheitskameras und Heimthermostaten googeln.
GitHub: Ein paar naive Suchen auf GitHub können Anmeldeinformationen, Hauptschlüssel, Verschlüsselungsschlüssel und Authentifizierungstoken für Apps, Dienste und Cloud-Ressourcen in freigegebenem Open-Source-Code aufdecken. Die berüchtigte Verletzung von Capital One ist ein Paradebeispiel für einen solchen Angriff.
Google-Hacking: Diese OSINT-Technik, die auch als Google Dorking bekannt ist, ermöglicht es Cyberkriminellen, fortschrittliche Google-Suchtechniken zu verwenden, um Sicherheitslücken in Apps, spezifische Informationen über Einzelpersonen, Dateien mit Benutzeranmeldeinformationen und mehr zu finden.
Shodan und Censys: Shodan und Censys sind Suchplattformen für mit dem Internet verbundene Geräte und industrielle Steuerungssysteme und -plattformen. Suchanfragen können verfeinert werden, um bestimmte Geräte mit bekannten Schwachstellen, zugängliche elastische Suchdatenbanken und mehr zu finden.
Anwendungen von OSINT für Verteidigungspraktiken
Unternehmen, die OSINT bereits verwenden, um Chancen zu identifizieren und Wettbewerber zu untersuchen, müssen ihre Anwendung von OSINT auf die Cybersicherheit ausweiten.
OSINT Framework, eine Sammlung von OSINT-Tools, ist ein guter Ausgangspunkt für Unternehmen, um die Leistungsfähigkeit von OSINT zu nutzen. Es hilft Penetrationstestern und Sicherheitsforschern, frei verfügbare und potenziell ausnutzbare Daten zu entdecken und zu sammeln.
Tools wie Censys und Shodan sind ebenfalls in erster Linie für Penetrationstests konzipiert. Sie ermöglichen Unternehmen, ihre mit dem Internet verbundenen Vermögenswerte zu identifizieren und zu sichern.
Die übermäßige Weitergabe personenbezogener Daten ist für Einzelpersonen und die Organisationen, für die sie arbeiten, problematisch. Unternehmen sollten ihre Mitarbeiter über die sichere und verantwortungsvolle Nutzung sozialer Medien aufklären.
Sensibilisierungsschulungen für die Cybersicherheit der Mitarbeiter sollten mindestens halbjährlich durchgeführt werden. Unangekündigte Cyberangriffe und Phishing-Simulationen müssen Teil dieser Trainingsworkshops sein.
