Footprinting

Aus IT-Forensik Wiki

Footprinting (Fingerprinting), ist ein aus der IT-Sicherheit stammender Begriff, der die Vorstufe zum eigentlichen Angriff auf ein Informationssystem darstellt. Das Lexikon der Informatik [1] beschreibt dies folgender Maßen:

"... Erkunden des Betriebssystems und/oder Sicherheitsprofils (durch Hacker oder Knacker) auf einem Host, dann gelegentlich auch als 'Fingerprinting' bezeichnet; siehe z. B. Banner Grabbing ..."

Der Angreifer benutzt ausgewählte Tools, um Informationen zur Konfiguration, Zusammensetzung und den Sicherheitsmechanismen der genutzten Applikationen, des eigentlichen Systems und des zugrundeliegenden Netzwerkes zu erfahren. Im Detail können das sein, offene Ports, Anwendungen der Organisation mit entsprechenden Versionen und die Netzwerktopologie der Zielstruktur.

Arten dieser Informationen können, aus einem vorab definierten Zielbereich, gewonnen werden, welcher über einen IP-Adressbereich definiert ist oder der ganzheitlichen Infrastruktur einer bestimmten Organisation entspricht. [3] Der Angreifer möchte eine grobe Skalierung über besonders interessante oder etwa ungesicherte Systeme vornehmen, um daraus sein weiteres Vorgehen planen zu können.

Wichtig an dieser Stelle zu erwähnen ist, dass das Footprinting nicht zur Beschädigung der Zielinformationstechnik führen soll, sondern nur die Grundlage für einen erfolgreichen Systemangriff darstellt. Der größte Teil, dieser Recherchen wird im Grundrauschen des Internetverkehrs der Organisation untergehen, wobei man sich im Klaren darüber sein muss, dass diese Informationen als Planungsgrundlage dienen.

Footprint wird nach der Art der Informationsbeschaffung in zwei Bereiche unterschieden, den aktiven Anteil, welcher alle öffentlich zugänglichen Informationen beinhalten (Homepages zur Organisation, Stellenausschreibungen) und den passiven Anteil, welcher aus den Systemantworten generiert wird. (Fehlerbasierte SQL-Injektion).

Aktivitäten im Bereich Footprinting:

- Suche im Whois nach der E-Mail Adresse der Organisation

- Netzwerksuche DNS (Namenskonventionen und TXT-Einträge)

- Abfrage des IP-Adressbereiches, welcher vom DNS-Server bereit gestellt wird

- Erkunden der Netzarchitektur (Subnetze (VLAN), Up-Stream und Down-Stream Routen in der Organisation)

- Verifikation mit Ping bzw. Traceroute (z.B. icmp-Discovery)

- Analyse der aktiven Hosts mit Ping-Sweeps über den gesamten IP-Adressbereich

Gewonnen Ergebnisse aus dem Footprinting können z.B. eine Liste von IP-Adressen mit zugehörigen Hosts in der Zielumgebung sein. Weiterführende Informationen im Zusammenhang mit Footprint, wie Abwehrmaßnahmen, Verbindungen zu anderen informationstechnischen Aspekten, einem beispielhaftem Vorgehen und weiterer Lektüre, ist in der Wissensdatenbank CAPEC (Common Attack Pattern and Enumeration and Classification) [2] zu finden.


Einzelnachweise

[1] Peter Fischer, Peter Hofer, Lexikon der Informatik, 15. überarbeitete Auflage, Springer Verlag, 2011, S. 337 - 338

[2] https://capec.mitre.org/data/definitions/169.html , abgerufen am 23.07.2021)

[3] Alexander Geschonneck, Computer Forensik, 6. aktualisierte und erweiterte Auflage, dpunkt.verlag, 2014, S. 33 - 34