Unternehmen unterstützen Hacker 

aktiv beim Überfall auf die eigene Infrastruktur


Picture Gerd Altmann auf Pixabay 

Man stelle sich vor, dass Hausbesitzer allen Vorbeigehenden eine Einbruchs Anleitung für ihr Eigenheim zur Verfügung stellen und Straßenkarten mit idealen Opferadressen anzeigen.

Genau dies tun Unternehmen in Deutschland. 

Die Gründe dafür liegen in der Geschichte des Internets.

Wie sehen diese Einbruchs Anleitungen aus?

Das Inhaltsverzeichnis für diese Einbruchs Anleitung nennt sich Domain Name System, kurz DNS. DNS stammt aus den Anfangsjahren des Internet und wurde 1983 von Paul Mockapetris entworfen und gehört seitdem zu den unverzichtbaren Bestandteilen des Internets. Das DNS ist ein weltweit auf Tausenden von Servern verteilter hierarchischer Verzeichnisdienst, der den Namensraum des Internets verwaltet.

Genau wie Straßenverzeichnisse, die Einbrechern den Weg zu ihrem Opfer anzeigen, zeigen DNS nicht nur an, welche IP Adresse zu einem Domainnamen gehört, sondern sie weisen auch den digitalen Einbrechern den Weg.

Mit Hilfe von DNS erfahren Hacker enorm viele Details über die Organisation ihrer Opfer.
Ohne das DNS müssten Hacker alle IP-Adressen immerhin 4.294.967.296 (!!) IPv4 Adressen und 340 Sextillionen (!!) IPv6 Adressen besuchen und analysieren. Auch für moderne Datenverarbeitungssysteme eine kostspielige Angelegenheit.

Mit Hilfe der Abkürzung DNS erhält ein Angreifer enorm viele Anhaltspunkte über die in einem Unternehmen verwendeten IP-Adressen. Genau genommen sind diese Adressen dort mit weiteren Informationen wie z.B. Internet- Domainnamen aber auch sprechende Namen (von z.B. Testsystemen oder Servern, die Informationen über die Autorisierung von Mitarbeitern enthalten), werden für jedermann sichtbar verzeichnet. Diese Informationen sind für einen normalen Benutzer in der Regel nicht sichtbar und für die Nutzung der bereitgestellten Dienste normalerweise irrelevant. 

Das ist eine Einladung für die bösen Jungs!

Für Hacker klingen diese Informationen wie persönliche Einladungen zu einer Geburtstagsparty. Sind die Gäste auf der Party erst einmal gesprächig, geben sie den Angreifern weitere Informationen über potentielle Schwachpunkte in der Wohnung des Gastgebers.

Dazu gehören Angaben über API’s Schnittstellen zu Systemen Dritter aber auch Informationen über Produktiv- und Testsystemen zu den Themenbereichen Umsätze, Sales- und Budgetinformationen, Investitionen, Verzeichnissen mit Bilddaten und vieles, vieles mehr. 

Ausgehend von diesem Inhaltsverzeichnis scannen Angreifer die angebotenen IP-Adressen. Die Scans können von einfachen Pings (ICMP-Anfragen und -Antworten) bis hin zu differenzierteren Scans reichen, bei denen Host-Software/Versionen und Netzwerk-Artefakte aufgedeckt werden können. Die Informationen aus diesen Scans können Möglichkeiten für andere Formen der Aufklärung (z. B. Durchsuchen offener Websites/Domänen oder Durchsuchen offener technischer Datenbanken), den Aufbau operativer Ressourcen (z. B. Entwickeln von Fähigkeiten oder Erhalten von Fähigkeiten) und/oder den Erstzugang (z. B. Externe Remote-Dienste) aufzeigen.

Was können Unternehmen dagegen tun?

JOUO zeigt in einem ersten Schritt, wie umfangreich die Informationen sind, die von Ihrem Unternehmen leichtfertig zur Verfügung gestellt werden und wie hoch das Risikopotenzial im einzelnen sein kann. JOUO zeigt auch potentielle Sicherheitslücken der Server, die in den DNS verzeichnet sind.

Mit Hilfe von JOUO erarbeiten wir ein Konzept mit ihnen, wie sie diese Daten in Zukunft vor den neugierigen Augen von Angreifern, aber auch ihrem Wettbewerb verstecken können.