Schutz vor Angriffen
Intelligente Datenkorrelation aus Clear- und Darknet stärkt die Angriffsprävention
Darknet – Clearnet – Deep Web – Dark Web
Das Darknet hat sich in den 70er Jahren aus dem ARPANET entwickelt und ist im Wesentlichen ein Overlay-Netzwerk, das starke Datenschutz- und Verschlüsselungspraktiken anwendet.
Was sind die Unterschiede zwischen Surface-, Deep- und Dark Web?
Surface Web
Das Surface Web (oder Clearnet) enthält Websites und Dienste, die wir alle über Standard-Webbrowser (z.B. Chrome, Firefox, etc.) verwenden und die auch über Suchmaschinen (z.B. Google oder Bing) gefunden werden können. Dies bedeutet, dass solche Websites fortlaufend indiziert werden und von den Besuchern, anhand der IP-Adresse erkannt werden können. Verschiedene Quellen behaupten, dass das Surface Web nur 4% -10% (abhängig von der Quelle) der gesamten Internetdatenmenge enthält.
Deep Web
Das Deep Web enthält Daten, die nicht für den öffentlichen Gebrauch bestimmt sind – daher kann es als eine Art „Grauzone" betrachtet werden. Das Deep Web beinhaltet meist geheime und wissenschaftliche Berichte, Aufzeichnungen (medizinischer, politischer oder finanzieller Art), akademische oder geschäftliche Datenbanken, Torrent-Seiten/Verzeichnisse und andere Inhalte. Auf die Inhalte kann man meist nur über geschlossene Foren, oder über spezielle Einladungen oder durch ein „tiefes Graben“ in bestimmten Verzeichnissen oder Wikis zugegriffen werden.
Dark Web
Das Dark Web (oder Darknet – im Gegensatz zu Clearnet) enthält verschiedene Arten von illegalen Daten und Diensten, auf die nur über spezielle Tools (hauptsächlich über den TOR-Browser – The Onion Router) zugegriffen werden kann, da hier nicht-standardisierte Protokolle, Ports und Kryptographien verwendet werden. Ziel ist dabei, die Anonymität eines Nutzers zu wahren. Wie man aus Medienberichten immer wieder hört, ist das Darknet ein fruchtbarer Boden für illegale Handelsgeschäfte und Marktplätze für z.B. Drogen, Schusswaffen, gestohlene Ausweise, Kinderpornographie, etc. Auch wenn einige bekannte Marktplätze (z.B. Alphabay, TheRealDeal oder Walhalla) ab und zu ausgehebelt werden, sprießen sehr schnell wieder neue aus dem Boden.
DDoS-Angriffskampagnen
Wenn man die Cyber-Angriffslandschaft ansieht, werden wir Zeuge von vielen organisierten und fokussierten DDoS-Angriffskampagnen, die sich auf einer völlig anderen Ebene befinden. Die zwei wichtigsten zu beachtenden Faktoren sind dabei:
Faktor 1: Angriffsfläche ist schwer vorherzusagen
Die Entwicklung von DDoS-Angriffen der letzten Zeit hat keinen klaren, vorhersehbaren Footprint. Die Angriffe dauern länger an, während die Intensität und die Volumenänderungen dynamischer werden und sich nicht immer gleich wiederholen. Angriffe kommen meist von verschiedenen (oft gespooften) Quellen, die aus verschiedenen C&C`s stammen und mehrere Vektoren verwenden – mit dem Effekt, dass sie starten, verschwinden und in einer größeren Intensität wieder zurückkehren.
Faktor 2: Angriffe sind gezielter
Während viele Angriffs-Tools und fertige Angriffspakete bereits im Dark Web zur Verfügung stehen, nehmen trotzdem die Kampagnen mit gezielten Angriffen auf bestimmte vertikale Märkte zu. Dabei werden meist privilegierte Unternehmensmitarbeiter gezielt ausgesucht und angegriffen (z.B. Admins oder Führungskräfte).
Intelligente Datenkorrelation aus Clear- und Darknet erhöht die Angriffsprävention
Bei Dragonfly , einer Cyber-Angriffsgruppe, die sich auf den Energiesektor, vor allem in Europa und Nordamerika konzentrierte, bestand das Ziel der Angriffskampagne darin, Unternehmensinformationen zu sammeln und den Zugang zu den Netzwerken der Zielorganisationen zu kapern, so dass die Gruppe bei Bedarf Sabotageoperationen durchführen konnte. Diese Kampagne zeigte zuvor viele Spear Phishing E-Mail-Angriffe auf, die mithilfe eines infizierten Dokuments versuchten die Anmeldeinformationen des Opfers zu entlocken und an einen Server außerhalb der Organisation weiterzuleiten. Bei Erfolg wurden dann die sensiblen Daten für Folgeangriffe auf die Zielorganisationen verwendet.
Angriffskampagnen und das Darknet
Die Frage ist also, spielt das Darknet eine Rolle bei der Unterstützung der Täter? – Die Antwort: Absolut.
Gerade für Organisationen im Finanzwesen wäre ein Diebstahl oder Missbrauch von sensiblen Daten wie, z.B. der Kreditkarteninformationen oder Online Bankunterlagen, der Super-Gau.
Angreifer dagegen beziehen überwiegend ihre Ideen, relevante Trainings oder sogar die fertigen Script-Codes, von Deep-Websites oder Darknet-Foren wie z.B. Evilzone, Hackaday, Hell, Exodus, Exploit, RuTOR usw. Insbesondere gibt es viele Websites, die zusätzlich einen erfolgreichen Handel mit DDoS-Angriffswerkzeugen und -diensten anbieten ("DDoS for Hire"). Zudem ermöglicht das Darknet auch gesicherte Kommunikationskanäle und Foren, in denen Angreifer ihre komplexen Angriffskampagnen planen, koordinieren und ausführen können – und nicht nur auf DDoS beschränkt sind.
Scientia potentia est – Intelligente Nutzung des Darknets
Der von Sir Francis Bacon geprägte Ausdruck: "Scientia potentia est", was so viel heißt wie: "Wissen ist Macht", dürfte in unserer heutigen Zeit wichtiger denn je sein. Umso überraschender ist dabei, dass mehr als die Hälfte der Unternehmen, das Darknet nicht für die Suche von beispielsweise geleakten Unternehmensinformationen nutzen.
Offensichtlich ist das Extrahieren von verwertbaren Informationen aus dem Darknet nicht immer einfach. Warum? – Um die Darknet-Daten im Auge zu behalten, bedarf es Ressourcen, Know-how und Tools.
Erstens benötigen die Unternehmen mehr Sichtbarkeit und bessere Einblicke in die Rohdaten, die für sie von Bedeutung sein können. Dies ist im Darknet aber viel schwieriger als bei dem Zugriff auf das Clearnet, bei dem die Websites und Webinhalte frei zugänglich und durchsuchbar sind.
Ja, im Darknet gibt es Suchmaschinen, die Ergebnisse für Darknet-Sites anzeigen können, aber sie sind von Natur aus begrenzt. Um zu den richtigen Daten zu gelangen, müssen Sie möglicherweise ein Sensornetzwerk, Honeypots oder Decoys installieren und gefälschte Social Accounts verwenden. Um zum Beispiel Rohdaten aus dem Darknet zu bekommen, muss man oft ein Mitglied in bestimmten Foren sein. Keine einfache Aufgabe, da meistens Inhalte verborgen sind und nur durch das Posten einer Nachricht angezeigt werden können. Dabei steigt natürlich das Risiko selbst entlarvt zu werden.
Zweitens sollte man in der Lage sein, die Spreu vom Weizen zu trennen. Mit anderen Worten, man braucht die Kapazitäten (in Form von Sicherheitsanalysten oder automatisierten Tools), um dies in großem Umfang tun zu können. Ohne diese Unterstützung würden Unternehmen wertvolle Zeit und Energie darauf verwenden, unstrukturierte Daten ohne klaren Kontext zu analysieren, was letztendlich zu völliger Ineffizienz führen würde.
Drittens müssen die Daten korreliert werden – Daten sollten aus dem Clearnet und aus dem Darknet geholt werden und die fehlenden Verbindungen zwischen ihnen gefunden werden. Im Grunde genommen kann es genauso wichtig sein, Informationen aus Quellen wie Facebook, Twitter usw. zu untersuchen – z.B. sind viele anonyme Hacker auf Facebook umgezogen. Andere Beispiele wären Pastebin, wo Benutzer Texte online hochladen/speichern können (z. B. verschiedene Benutzeranmeldeinformationen usw.) oder Ghostbin, das von Hacktivisten verwendet wird und andere.
Letztendlich ist es entscheidend, die verarbeitete Intelligenz zu nutzen und diese in vorhandene Angriffspräventionstools – DDoS-Mitigation , WAF oder Anti-Malware – einzubinden, unabhängig davon, ob sie sich in der Cloud befinden oder nicht.
Wohin geht es?
Der weit verbreitete Einsatz von mobilen Apps wie Secret, Signal, Telegram etc. ermöglicht den vertraulichen Austausch von Ideen und Daten. Diese Art von Anwendungen speichert keine Nachrichtenmetadaten, daher können Nachrichten nicht zurückverfolgt werden. Darüber hinaus können Angreifer eigene APK-Dateien (Android Package Kit) schreiben – ein Dateiformat, das vom Android-Betriebssystem für die Verteilung und Installation von mobilen Apps verwendet wird – und dann einen Link an die Gruppenmitglieder senden, damit die App nicht in mobilen App-Stores (z. B. Google Play oder ähnlichem) aufgeführt werden muss.
Laut Radware wird es nicht einfacher … Angreifer werden weniger auf das Darknet angewiesen sein, um Exploit-Packs und DDoS-Tools zu erhalten und noch weniger für die Kommunikation und Koordination ihrer Angriffspläne. Für sie bedeutet Kommunikation und Planung in der Cyber-Welt, über gesicherte Kanäle nicht unbedingt der Einsatz des Darknets.