Das Paket „Open Source Intelligence“ bezeichnet einen passiven bzw. aktiven Scan einer Zieldomain. Die beiden Scans geben eine erste Einschätzung der öffentlichen Angriffsfläche eines Unternehmens bzw. einer Domain. Die kaskadierende Anwendung von Werkzeugen – zusammengefasst und automatisiert im mgm-Tool „recon me“ – identifiziert u.a. erreichbare Dienste, verwendete Software und verfügbare Daten. Die Gesamtheit der Funde erlaubt einem erfahrenen Sicherheitsexperten, Rückschlüsse auf den zum Durchführungszeitpunkt vorherrschenden Stand der technischen IT- Sicherheit des Ziels zu ziehen.
Passiver Scan
Ein passiver Scan fragt im Internet erreichbare Verzeichnisdienste ab, um Informationen über das Ziel zu erfahren. Diese Dienste generieren die angebotenen Informationen in der Regel durch die Anwendung eigener aktiver Scanner, d.h. sie untersuchen große Teile des Internets automatisiert. Die gesammelten Informationen werden gespeichert und als Service anderen Kunden zur Abfrage angeboten.
Der Vorteil für abfragende Kunden liegt in der Tatsache, dass sie für das Ziel nicht erkennbar werden, da sie zu keinem Zeitpunkt direkt mit ihm interagieren. Deswegen wird dieser Scan passiv genannt. Nachteilig an dieser Vorgehensweise ist, dass die Aktualität der Informationen oder die Verfügbarkeit von Informationen über das zu diesem Zeitpunkt angefragte Ziel nicht garantiert werden können.
Zu den mit einem passiven Scan ermittelbaren Informationen gehören die Inhaberdaten des Ziels (whois), einige Server wie DNS und E-Mail, E-Mail- Adressen, zum Ziel gehörende Subdomains (z.B. subdomain1.example.com, subdomain2.example.com, …), sowie für die meisten Server den Standort, den Betreiber (insb. bei Fremdbetreibern wie Amazon und Akamai) und die verfügbaren Standarddienste (z.B. http/https/ssh). Sofern eine Webpräsenz vorhanden ist, werden meist auch die verwendeten Technologien ermittelt.
Das Ergebnis ist ein Report, welcher alle gefundenen Daten enthält und in diesen Daten identifizierte Probleme aufzeigt.
Aktiver Scan
Der aktive Scan unterscheidet sich vom passiven Scan dadurch, dass Werkzeuge zum Einsatz kommen, die das Ziel direkt aktiv untersuchen. Zu diesem Zweck werden Kommunikationsverbindungen zwischen dem Analysesystem und dem Ziel aufgebaut.
Die Anfragen erzeugen eine gewisse Last, die jedoch so gering wie möglich gehalten wird und keine Auswirkungen auf die Reaktionsfähigkeit des Ziels haben sollte. Insbesondere werden keine Angriffe auf das Ziel durchgeführt. Nichtsdestotrotz erfordert die Durchführung eines aktiven Scans aufgrund der vorherrschenden Rechtslage in Deutschland (siehe auch § 202c StGB Vorbereiten des Ausspähens und Abfangens von Daten) eine Zustimmung des Ziels.
Die Qualität sowie der Umfang der mit einem aktiven Scan generierten Daten kann sich u.U. erheblich von denen eines passiven Scans unterscheiden. Die Unterschiede ergeben sich sowohl im Bereich der Vollständigkeit der Daten (u.a. Server, Subdomains, Dienste, verwendete Technologien) als auch in deren Art. So kann ein aktiver Scan auch unbeabsichtigt öffentlich verfügbare Dateien identifizieren.
Das Ergebnis ist analog zum passiven Scan ein entsprechender Report mit den gefundenen Daten und darin identifizierten Problemen.
Wir unterstützen Sie:
- Aktive und/oder passive Überprüfung einer Zieldomain mit Hilfe des mgm-eigenen Tools „recon me“
- öffentliche Angriffsfläche
- Strukturierte Aufbereitung der Ergebnisse mit konkreten Empfehlungen
- Ausführliche Beratung hinsichtlich der Folgemaßnahmen
Ihr Ansprechpartner:
Thomas Schönrich
Nehmen Sie Kontakt per Email auf.
Oder rufen Sie uns an oder nutzen Sie unser Kontaktformular.
