Header IT Sicherheit 01

Darknet – die dunkle Seite des Internets

  • IT-Sicherheit

Das Darknet ist für die meisten Medien ein dunkler Platz im Internet, in dem es überwiegend Waren gibt, die man im Handel so nicht bekommt. Häufig kann man Waffen und Drogen kaufen, aber auch Auftragsmorde werden dort angeboten.

Darknet
Darknet-Monitoring für Unternehmen

Das aber allein macht das Darknet nicht aus. Im Darknet werden häufig auch Zugangsdaten von Unternehmensmitarbeitern angeboten, gefälschte Tickets für Flüge oder Bahnfahrten und vieles mehr. Häufig ist den Unternehmen nicht bekannt, dass sie selbst betroffen sind und daraus resultierend ist den Unternehmen auch nicht bekannt, dass ihnen daraus ein Schaden entstanden ist.

Für gewöhnlich kann eine manuelle Recherche, nach bestimmten Services, Nachrichten- Seiten, Shopping-Portalen oder Dienstleistungen im Darknet, sehr aufwendig und zeitintensiv sein. Um im Darknet schneller zu Ergebnissen zu gelangen, kann die Suche jedoch auch automatisiert ablaufen und somit wertvolle Zeit gespart werden. Dabei können so genannte Onion-Scanner innerhalb des TOR-Netzwerks genutzt werden, um versteckte Dienste mit potentiellen Schwachstellen zu ermitteln.

Es ist möglich, spezielle Skripte zu erstellen, welche die einzelnen Knoten innerhalb des Netzwerkes automatisch scannen können. Gefundene Knoten lassen sich visualisieren, um mögliche Zusammenhänge zwischen einzelnen Seiten erkennen zu können. Zusätzlich lassen sich Informationen über die Zeit, wie lange Seiten im Darknet bereits online sind, welche Seite neu dazugekommen ist und ob eine Seite noch verfügbar ist, auslesen. Werden bei der Suche relevante Seiten gefunden, wird ein Account erstellt, um den Zugang zu einer Seite zu ermöglichen, denn in der Regel muss man einen Account besitzen, um Zugang zu Seiten im Darknet zu erhalten.

Auf der Basis der erworbenen Login Daten, ist es dann möglich einen Crawler (Datensammel- Programm) zu erstellen, der die Seite nach generischen Schlüsselwörtern durchsucht. Neben den Inhalten sind auch die Metadaten von hoher Relevanz: Land, Region, Login-Daten, Domain-Adressen, Email-Adressen, Sprache, Kreditkarten-Daten, http-Header, IPs oder URLs. Was spricht also für ein Darknet-Monitoring? Für ein Darknet-Monitoring gibt es eine Vielzahl von Anwendungsfällen.

Oft sind dubiose Seiten nur solange online, wie sie gebraucht werden. Ist eine Ware verkauft oder eine Dienstleistung abgeschlossen, kann die Seite geschlossen werden und ist dann nicht mehr auffindbar. Um die Informationen einer solchen Seite im Nachhinein noch nutzen zu können, bietet sich der Einsatz von Onlinescannern und Crawlern an. Mit Hilfe dieser Werkzeuge lassen sich Inhalte indexieren, beziehungsweise die so erhaltenen Informationen speichern.

Dadurch ist es auch später noch möglich, im Rahmen eines Ermittlungsverfahrens oder einer internen Ermittlung, auf die benötigten Daten zuzugreifen, auch wenn die betroffene Webseite bereits einige Zeit nicht mehr existiert. Ein weiterer guter Grund ist das Aufdecken von Sicherheitsvorfällen, durch die möglicherweise sensible Unternehmensdaten ins Darknet geraten sind und dort bereits zum Verkauf stehen.

Wie zum Beispiel: Login-Daten, Code-Schnipsel, Konstruktionszeichnungen etc. Durch ein gezieltes Monitoring nach spezifischen Schlüsselwörtern ist es meistens überhaupt erst möglich, solche Vorkommnisse zu entdecken und Schaden zu begrenzen. Ebenso ist es möglich, geplante DDoS-Attacken gegebenenfalls bereits im Vorfeld zu erkennen, denn diese werden inzwischen, neben Waffen, Drogen, pornographischen Schriften und Malware, als Dienstleistungen zum Verkauf angeboten. Es werden sogar Rabatt- und Schnäppchenpreise beworben, um dem Käufer ein attraktiveres Geschäft zu gestalten.

Zum Autor: Marko Rogge kam aus dem Umfeld der Computer-Hacker in die Security Branche und war dort viele Jahre als Berater tätig. Ab 2006 wechselte er in Ermittlungstätigkeiten und arbeitete dort im technischen Bereich für zahlreiche namhafte Konzerne. Teile seiner Ausbildungsinhalte erlangte er in Israel (Tel Aviv, Petach Tikwa) sowie von ehemaligen geheimdienstlichen Mitarbeitern und anderen Ermittlern. Seit Anfang 2016 arbeitet er als „Leiter IT-Forensics & Investigations Lab“ bei der Phalanx-IT GmbH in Heilbronn, ist zudem EnCase Certified Forensiker, Certified Cellebrite mobile Forensik Trainer & Certified Cellebrite mobile Forensiker. Marko Rogge arbeitet erfolgreich seit vielen Jahren für diverse Strafverfolgungs- und Ermittlungsbehörden im technischen Ermittlungsbereich und trainierte auch, fachspezifisch im Bereich mobile Forensik, Mitarbeiter von Geheimdiensten, Strafverfolgungs- und Ermittlungsbehörden sowie von Zoll- und Steuerfahndungseinheiten.