Start Empfohlen Das Problem mit der Open-Source-Recherche im Web

Das Problem mit der Open-Source-Recherche im Web

14
0


Open-Source-Tastaturtaste

Jedes Open-Source-Forschungsprojekt – egal wie einfach oder komplex – beginnt mit dem Surfen im Internet. Forscher sollten jedoch wissen, dass ihre Identität durch eine Reihe grundlegender Techniken erlangt werden kann, die Folgen haben können, die von modifizierten Daten bis hin zu gezielten Cyberangriffen oder Schlimmerem reichen können.

Selbst der einfachste Website-Besuch wird wichtige Details zu Ihrem Standort und Ihrem Gerät preisgeben, und so ziemlich jede Website, die Sie besuchen, legt Code auf Ihrem Computer ab, um zu verfolgen, was Sie beim Durchsuchen des Internets tun. In den meisten Fällen ist dieser Austausch harmlos, aber es kann vorkommen, dass Inhalte geändert oder Angriffe basierend auf der Identität des Benutzers gestartet werden.

Als Tim Berners-Lee seine Bausteine ​​für das moderne Internet veröffentlichte, wurden sie für die akademische Forschungsgemeinschaft entwickelt. Wie andere Initiativen dieser Zeit wurden Webprotokolle (und die Browser, die sie unterstützen) entwickelt, um Informationen einfach auszutauschen, nicht um Datenschutz oder Sicherheit zu gewährleisten. Um die Gegenüberwachung bei der Durchführung von Open-Source-Recherchen zu minimieren oder sogar zu verhindern, ist es wichtig zu verstehen, wie die zugrunde liegenden Protokolle Informationen austauschen, wenn Sie eine Webseite besuchen.

So wird Ihre Identität für das Web übertragen

Webserver-Logs gibt es schon so lange wie das Web selbst. Serverprotokolle speichern Informationen, die Details über den Besucher preisgeben können. Dies kann über Befehlszeilentools zum Abfragen von DNS und anderen Ressourcen, über Websites mit Schwerpunkt auf Website-Analysen mit Point-and-Click-Tools oder sogar über Marketingtools von Drittanbietern erfolgen, die zur Umwandlung anonymer Website-Besucher in Verkaufs-Leads entwickelt wurden.

Wenn Ihr Browser eine Verbindung zu einer Website herstellt, wird Ihre Verbindung vom Webserver protokolliert, und die ursprüngliche IP-Adresse ist normalerweise Ihr ISP. In Organisationen, die eine „schmutzige Leitung“ verwenden, um Untersuchungen durchzuführen, kann zu viel Verkehr über diese gemeinsam genutzte Ressource an sich schon genug Informationen sein, um ein Projekt zu gefährden. Diese IP-Adresse kann auch ein Ausgangspunkt für Reverse-DNS-Abfragen sein, um die Identität Ihrer Organisation zu enthüllen.

Nachdem Ihre IP-Adresse protokolliert wurde, kann die grundlegende IP-Analyse Folgendes anzeigen:

  • Ihr ISP
  • Ihr geografischer Standort
  • Alle Empfehlungsserver
  • Verschiedene administrative Kontakte im Zusammenhang mit dem Datensatz

Je nachdem, wie der ISP seine Datensätze konfiguriert hat und wie er Kundeninformationen in seinen DNS-Daten darstellt, könnte Ihr Domainname offengelegt werden. Dies kann die E-Mail-Adresse und Telefonnummer eines Administrators sein, eine Adresse zum Senden von Kontakten zum Netzwerkmissbrauch oder ein anderer technischer Kontakt in Ihrer Organisation.

Sobald Ihr Domänenname identifiziert wurde, können umfangreichere Abfragen für die DNS-Informationen Ihrer Organisation ausgeführt werden. Diese können über Befehlszeilenabfragen oder über eine beliebige Anzahl von Penetrationstester-Toolkits ausgeführt werden. Mit diesen Informationen können zusätzliche Tools weitere Merkmale Ihres Netzwerks aufdecken.

Neben der ursprünglichen IP-Adresse der Anfrage enthält jede Webseitenanfrage bestimmte Maschineninformationen. Der Webserver muss die Fähigkeiten Ihres Browsers kennen, um Inhalte bereitzustellen, die für Ihren Computer richtig formatiert werden können. Jede Anfrage beinhaltet:

  • Maschinentyp und Betriebssystemversion (zB Windows 8.1)
  • Verwendeter Browser und Versionsnummer (z. B. Chrome 49)
  • Verfügbare Plugins (zB Flash, Java vx)
  • Sprache und installierte Schriftarten
  • Zeitzone Ihres Rechners (zB JST UTC/GMT+9:00)
  • Ebene der in der Sitzung aktivierten Cookies

Inhaltsanfragen werden möglicherweise nur berücksichtigt, wenn sie mit bestimmten Geräten übereinstimmen oder von einem bestimmten Standort stammen. Ein Fingerabdruckelement oder eine Anforderung von Inhalten, die auf eine bestimmte Weise formatiert sind – beispielsweise in einer anderen Sprache oder für eine bestimmte Anzeige –, die nicht den Erwartungen des Webdienstes entsprechen, können blockiert oder vergiftet werden. Diese potenzielle Trennung zwischen dem digitalen Fingerabdruck und dem beanspruchten Standort ist eine der häufigsten Methoden zur Identifizierung von Forschern, insbesondere bei Verwendung eines Proxys. Es muss lediglich ein einzelner Schritt übersprungen oder das Werkzeug falsch konfiguriert werden, um die Identität des Forschers preiszugeben.

Durch die Kombination der Domäneninformationen aus der IP-Adresse und den Computerinformationen aus der Abfrage kann ein Analyst auf der anderen Seite damit beginnen, ein äußerst detailliertes und genaues Profil über Sie zu erstellen. Und sobald Ihre Identität bekannt wurde, sind die Open-Source-Inhalte, die Sie suchen, möglicherweise nicht mehr verfügbar. Wie ein Guckloch in einer Tür: Wenn der Host das Aussehen des Benutzers, der die Anfrage stellt, nicht mag, kann er das Öffnen der Tür verweigern und den Zugriff auf den Inhalt blockieren.

Wie laxe Sicherheit zu kompromittierten Daten führen kann

Neben der standardmäßigen Weitergabe von Informationen weisen Browser auch Architekturfehler auf, die Benutzer potenziell bösartigem Code aussetzen. Wenn der Browser eine Verbindung zu einem Webserver herstellt, lädt er einen Code-Blob herunter, um die Seitenelemente zu erstellen. Die Rendering-Engine des Browsers führt diesen Code dann gewissenhaft aus, um dem Benutzer die interaktive Anzeige der Seite zu präsentieren.

Diese Nutzlast enthält statische Elemente, die harmlos sind, wie Text und Bilder, aber sie kann auch Folgendes enthalten:

  • Aktiver Code wie JavaScript oder HTML5
  • Flash- oder andere formatcodierte Audio-/Videoinhalte
  • Cookies und andere Tracker
  • Inhalt im lokalen Dateisystem zwischengespeichert
  • Ausführbarer Code im Header von gerenderten Objekten wie PDF-Dateien

Diese Elemente können harmlos sein und werden nur verwendet, um Informationen anzuzeigen oder das beste Web-Erlebnis zu präsentieren. In der heutigen Welt der ausgeklügelten Webanalyse und Neuwerbung können sie jedoch auf Ihrem Computer verbleiben, damit Online-Eigenschaften Profile von Ihnen als Benutzer erstellen können. Aktive Skripte auf einer Webseite können eine tiefere Analyse Ihres Geräts durchführen und sogar Ihren Computernamen an die Website zurückgeben. Damit benötigt Ihr Gegner nicht einmal Ihre IP-Adresse, um Ihre Organisation zu ermitteln. Tracking-Cookies können in den Browser-Cache geschrieben werden, die Such- und Browsing-Aktivitäten teilen; Beispiel: Wenn Sie eine Finanzwebsite prüfen, um Informationen zu sammeln, aber auch auf einer anderen Registerkarte nach Ressourcen der Strafverfolgungsbehörden zum Thema Geldwäsche suchen, ist dies ein Hinweis darauf, dass jemand Nachforschungen anstellt. Diese Arten von Nutzlasten können die Mission gefährden.

Oder schlimmer. Schädlicher Code kann von einer Website an Ihr Gerät weitergegeben werden und über Standardbrowser-APIs in andere Teile Ihres Computers und über Ihr Netzwerk gelangen. Von Ransomware bis hin zur Remote-Ausführung haben diese von Browsern bereitgestellten Exploits den Zugang zum Internet verändert.

Für die überwiegende Mehrheit der Benutzer verbessern Plugins, Browser-Fingerabdrücke, Cookies und aktiver Code die Benutzererfahrung im Web. Aber die Motivation des Open-Source-Forschers besteht nicht darin, eine gute Web-Erfahrung zu haben; es ist, genaue und unverfälschte Daten zu sammeln. Die Integrität eines Forschungsprojekts kann davon abhängen, ob es sich um eine strafrechtliche Untersuchung oder um eine wissenschaftliche Studie handelt, anonym zu bleiben.

Die Katz-und-Maus-Aktivitäten zwischen Forschern und Zielen können durch die Protokolle untergraben werden, die den Zugang überhaupt erst ermöglichen. Für Forscher ist es wichtig zu verstehen, wie sie exponiert werden können, und geeignete Maßnahmen zu ergreifen, um dies zu kompensieren.

Bildnachweis: rvlsoft/Shutterstock

Petry-Scott_3058x2447Scott Petry ist Mitbegründer und CEO von Authentisch8. Vor Authentic8 gründete Scott Postini und hatte bis zur Übernahme durch Google im Jahr 2007 verschiedene C-Level-Positionen inne. Er war bis 2009 Director of Product Management bei Google. Vor Postini war Scott General Manager und Vice President von Cygnus Solutions (übernommen von Redhat), Director of Advanced Messaging Products bei SkyTel und Produktmanager bei Apple Computer. Er absolvierte die San Diego State University und war Mitglied des US-amerikanischen Ruderteams, wo er eine Bronzemedaille bei den Weltmeisterschaften gewann.



Vorheriger ArtikelKönnte Google Google Groups immer wieder töten?
Nächster ArtikelWie nützlich ist „Ähnliche Bilder“ von Google?

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein