Informationsgewinnung im Deep Web und Darknet

Von: Stefan Hager

Erfolgreiche Angriffe haben mehrere Dinge gemeinsam; eines davon ist, dass sich die Angreifer vorher gut vertraut gemacht haben mit ihrem Ziel. Vom Webauftritt bis hin zur Suche von Informationsschnippseln in obskuren Ecken des Internets, keine Quelle bleibt unangetastet. Das gilt vor allem für gezielte Angriffe, also immer dann, wenn das eigene Unternehmen speziell im Fokus des Angriffs steht, und es sich nicht um einen großflächigen Angriff z.B. auf eine neu bekannt gewordene Lücke handelt.​
Diese Phase namens “Reconnaissance” — Aufklärung — geht üblicherweise recht still über die Bühne. Wenn über das eigene Unternehmen Informationen bekannt sind, die auf einer unabhängigen Webseite von Dritten zur Verfügung gestellt werden, wie kann man dann schon wissen, wer diese ausnutzt?
Schließlich interagieren die Angreifer hier ja nicht mit den eigenen Servern. Sichtbarkeit ist also gleich null.

Genau deswegen ist es wichtig, die Position der Angreifer einzunehmen und sich aus deren Sicht zu betrachten; dann sieht man die gleichen Lücken, Unregelmäßigkeiten, vielleicht Fehlkonfigurationen, offenen Ports etc., die auch Andere entdecken können, und kann handeln, bevor das geschieht.
In dem Zusammenhang fallen häufig die Begriffe Deep Web und Darknet, und Variationen davon wie “Deep Net” etc. Das “Deep Web” bezeichnet üblicherweise all die Informationsquellen, die nicht von Suchmaschinen wie Google oder Bing (oder anderen) indiziert werden. Das können Foren sein, deren Inhalte nur nach Login zu erreichen sind, oder Kataloge, die mit Schlüsselworten beauskunftet werden können. Auch Webseiten, die Suchmaschinen nicht erlauben, ihre Seiten zu indizieren, oder Archive mit alten Versionen von Webauftritten und zugehörigen Informationen — die Liste ist lang.
Tatsächlich können es durchaus auch Seiten sein, die zwar von Suchmaschinen aufgeführt werden, aber eben vielleicht erst auf Seite 71 — die Nadel im Nadelhaufen eben.

Ein Darknet hingegen ist ein Overlay-Netzwerk (ein übergelagertes Netzwerk) innerhalb des Internets, welches üblicherweise nur mit spezifischer Software, Konfiguration oder Autorisierung erreicht werden kann. Obwohl es mehr als ein Darknet gibt, wird der Begriff meistens für die Tor Onion Services verwendet.
Extrahierte Informationen aus offen verfügbaren Quellen nennt man im englischen Sprachgebrauch OSINT — Open Source INTelligence. Zahlreiche Plattformen und Webdienste bieten Hilfe bei der Auswertung von Social Media, Sharing-Plattformen, Blogs, Foren, etc.

Spannend wird das Ganze dann, wenn man das eigene Unternehmen betrachtet und beurteilen kann, ob versehentlich (oder wissentlich) veröffentlichte Informationen möglicherweise zu einem Security Incident führen könnten oder eher nicht.
Die Suche im Darknet hingegen erweist sich immer als schwierig — was so ein bisschen in der Natur der Sache liegt. Wie soll man die Informationen eines Servers auswerten, der unauffindbar ist? Glücklicherweise müssen auch hier die Personen, die Geld mit Informationshandel verdienen möchten, ein bisschen dafür werben. Geld ist schlecht verdient, wenn auch potentielle Kunden den Dienst nicht finden. So gibt es einige Foren und Marktplätze, auf denen zum Beispiel Logindaten (Username, Passwort und der zugehörige Dienst) zum Kauf angeboten werden, oder auch funktionierende Exploits gegen gängige oder spezialisierte Software, welche zum Eindringen in Unternehmensnetzwerke benutzt werden können.
In diesen meist von Kriminellen und Geheimdiensten frequentierten Foren gibt es ein interessantes Hindernis: wenn man nur von schlechten Menschen umgeben ist, wie soll man da noch irgendjemand vertrauen? Nur weil jemand behauptet, er zahlt 10000$ für ein Passwort, heißt das noch lange nichts; genauso wenig, wie wenn jemand anderes behauptet, er oder sie verfüge über so ein Passwort und würde das für schlappe 10000$ verkaufen.
Deswegen gibt es in den einschlägigen Foren häufig ein Reputationssystem, und Transaktionen werden auch bewertet. Gute Reputation macht es wahrscheinlicher, dass die Transaktion zustande kommt und die angebotenen Exploits auch funktionieren, bzw. dass auch gezahlt und nicht betrogen wird. “Ehre unter Dieben”, möchte man meinen, ist einer der wichtigeren Grundpfeiler. Das macht es aber für die Personen schwer, welche diese Foren frequentieren, um zu sehen, was über die eigene Firma gehandelt wird. Um solch eine gute Reputation zu bekommen, gibt es meist nur wenige Möglichkeiten:

a) man zahlt den Forenbetreibern Geld
b) man ist lange genug (häufig ein Jahr oder länger) im Forum und beteiligt sich ab und an aktiv oder
c) man hat selbst Exploits geschrieben und ist dafür bekannt

An der Stelle ist es zielführend, sich professionelle Hilfe zu holen. Firmen, die nach etwaigen Risiken und Schlüsselwörtern auch in diesen Ecken des Internets suchen können und die gewonnenen Informationen zusammengefasst für ihre Kunden zur Verfügung stellen. Perfekt, wenn diese Art Informationsgewinnung ein Baustein in einer weitergehenden Cyber Risk-Plattform vorhanden ist.

Ihr seid ebenso verrückt nach IT, Software und Tech-Themen und habt Lust, Teil unseres Entwickler-Teams zu werden, hier geht´s zu unseren offenen Stellen: https://www.datev.de/web/de/karriere/geschaeftsbereiche/it/.