Mit ‘Facebook’ getaggte Beiträge

„◾Aber ich muß es einmal sagen: dieser Kampf scheint aussichtslos . . . Ich resigniere, ich kämpfe weiter, aber ich resigniere.“ – Kurt Tucholsky

Vor kurzem wurde ich gefragt, ob ich es wirklich so „bedenklich“ finde in sozialen Netzwerken aktiv zu sein und sein Leben dort zu dokumentieren. Die Frage musste früher oder später hoch kommen, da ich immer und immer wieder Freunden und Bekannten dazu rate nicht jeden Mist zu Facebook,  Twitter & Co. hoch zu laden.
Man möchte meinen die Menschen haben aus den Informationen der letzten Zeit (NSA, Greenwald, Snowden…) absolut nichts gelernt. Oder, noch viel schlimmer: es scheint ihnen egal zu sein, was mit den eigenen Daten passiert!

Meine Antwort war und ist „JA“. Auf die weitergehend Frage, was denn so schlimm sei, habe ich meinem Gegenüber (IT-Administrator in einer relativ großen Firma) erklärt warum ich es nicht nur für „bedenklich“, sondern sogar fahrlässig halte, wenn man seine Daten ins Netz schleudert.

Fast jeder große Anbieter, der eine entsprechend große Plattform (oder auch „soziales Netzwerk“ genannt) betreibt, hat auch ein angebundenes API für Entwickler in der Hinterhand. Und genau über dieses API ist es quasi jedermann (der etwas programmieren kann) möglich, sich ein mehr oder weniger mächtiges Tool zur Datenauswertung zu programmieren.

Facebook-API: persönliche Daten im gezielten Abruf

Facebook-API: persönliche Daten im gezielten Abruf

Im Falle der NSA kann ich mir neben speziellen Zugriffsrechten, die dem Normalentwickler vorenthalten werden, aber auch vorstellen, dass von der frei zugänglichen API genauso ergiebig gebrauch gemacht wird. So ein API bietet schließlich nahezu alles was man braucht, um einen Schnappschuss von einem User-Profil zu erstellen.

Nehmen wir als erstes Beispiel doch einfach Facebook und das Facebook-API. Hier kann man im Bildschirmfoto schön sehen, wie beschrieben wird, wie auf das Userprofil und persönliche Daten zugegriffen werden kann. Nun ist es immer auch von dem API abhängig, aber meist ist die Abfragemöglichkeit nicht auf das eigene Profil begrenzt, sondern mindestens doch auf den Bereich der „Freunde“, „Follower“ oder „Kontakte“ ausgedehnt.

Die Daten die in einem Profil auf „Public“ (also „Öffentlich“) stehen sind natürlich ebenso abrufbar und könnten als zeitlicher Schnappschuss in einer eigenen Datenbank gespeichert werden. So schreibt sich im einfachsten Fall der Freizeitspion von heute seine eigenen Tools, um ein „Ziel“ über längere Zeit im Auge zu behalten und etwas über dessen Gewohnheiten, Vorlieben oder sonstige Verhaltensweisen in Erfahrung zu bringen.

Bist du auf Facebook aktiv? Wie viele deiner Facebook-„Freunde“ kennst du wirklich im wahren Leben? Würdest du einem Fremden auf der Straße einfach so ein Bild deiner letzten privaten Party zeigen? Würdest du eine fremde Person auf der Straße einfach so in dein Leben „integrieren“? Vermutlich nicht.

Warum machst du es dann auf Facebook oder anderen sozialen Netzwerken?

Was auch immer jemanden dazu bewegt seine Erlebnisse mit fremden Menschen zu teilen. Man darf nie vergessen, dass es sich hierbei um Informationen handelt.
Informationen sind Geld wert. Informationen über real existierende Personen lassen es zu diese Person zu analysieren. Das muss nicht der NSA-Mitarbeiter sein, der „ausgerechnet DICH“ ganz gezielt auswertet. Nein! Es sind Computer, die aus diesen Informationen und Metadaten ein Profil erstellen.
Vollautomatisch. Jeden Tag erneut. Und wenn du dann wirklich irgendwann interessant werden solltest (für eine Regierung oder andere Stellen, mit denen man lieber keinen Kontakt haben möchte), dann werden diese Daten u.U. gesichtet, ausgewertet und dein Leben mit ein paar Klicks durchleuchtet.

Ich male hier ein Horroszenario? Utopie? Ganz sicher nicht….

Die technischen Möglichkeiten sind schon lange vorhanden. Wertet man nun nicht nur das Facebook-Profil aus (was vermutlich eher private Inhalte zum Thema hat), sondern auch das Profil auf der Business-Plattform Xing, oder LinkedIn, so können die auswertenden Personen das User-Profil noch weiter abrunden und weiter gehende Rückschlüsse daraus ziehen.

Auch LinkedIn und Xing bieten natürlich hierfür schon ein API an, das uns Daten liefert. Aber seht selbst:

Xing-API: "Shows a particular user's Profile..."

Xing-API: „Shows a particular user’s Profile…“

Wer es ausprobieren möchte kann sich hier schon ein schönes Beispielscript beschaffen KLICK bzw. HIER  und HIER etwas einlesen.

LinkedIn steht all dem natürlich in nichts nach und liefert uns auch auf Anfrage reichlich auswertbare Daten:

LinkedIn-API

LinkedIn-API

Fehlt als letztes natürlich noch Twitter im Bund der auswertbaren Daten:

Twitter-API

Twitter-API

Die Gefahr besteht darin all diese Daten aus verschiedenen Plattformen für eine einzelne Person zusammen zu führen und dann auswertbar zu machen. Am besten kombiniert mit einem Web-Intelligence-Tool wie Recorded Future.

Und ich zitiere von deren Seite:

We constantly scan hundreds of thousands of quality public web sources, including news publications, high-caliber blogs, social media platforms, financial databases, government websites, and much more. From these open sources, we identify text references to entities and events. Then we detect time periods: when the events are predicted or reported to occur. Each reference links back to the original source. You can explore the past, present, and predicted future of almost anything in a matter of seconds. Our analysis tools facilitate deep investigation to better understand complex relationships, resulting in actionable insights.

Nutzt nun jemand auch noch ein und den selben „Nickname“ im Internet immer wieder für unterschiedliche Plattformen, so macht derjenige es potentiellen Verfolgen sogar noch wesentlich einfacher. Denn auch hierzu gibt es Tools (wie z.B. namechk.com) um sich eine Übersicht zu einem Nickname zu verschaffen und zu schauen wo dieser überall schon registriert wurde.

Für mich ist es inzwischen bereits zur festen Gewohnheit geworden mir über diese und weitere Wege Informationen zu Personen zu beschaffen.
Und das gar nicht mal in böser Absicht. Die Informationen sind da draußen. Sie wurden von den Usern dieser Dienste selbst und absichtlich ins Netz gestellt. Egal ob via Facebook, Twitter, Xing oder eine andere Plattform.

Und dass nun Geheimdienste oder clevere Firmen diese Daten abgreifen ist daher eigentlich selbst verständlich! Was erwartet man denn bitte von einem Geheimdienst? Er sammelt nun mal auch Daten. Es ist ja in diesem Fall nicht mal so, dass diese Daten irgendwo illegal erworben oder gar von der heimischen Festplatte oder vielleicht dem Einwohnermeldeamt geklaut wurden!

Aus vielen kleinen Bausteinen fügt sich also – unter den für den User denkbar schlechtesten Bedingungen – unter Umständen ein großes Ganzes, welches einem unbekannten Dritten ungeahnte Einblicke ermöglicht.

Immer wieder hört man den Satz „Aber ich habe doch nichts zu verbergen“. Ist das wirklich so? Gab es da vielleicht irgendwann nicht doch mal eine abfällige Bemerkung über einen Freund, den Chef oder die Schwiegermutter in einem der sozialen Netzwerke? Und was ist mit dem peinlichen Bild vom Partybesäufnis von vor 4 Jahren, dass der damals beste Freund auf Facebook hochgeladen hatte?

Manche Dinge und Informationen über einen selbst entziehen sich bereits dadurch, dass andere Personen sie online stellen (und wenn auch nur in einem vermeintlich eingeschränkten Userkreis), dem eigenen Einflussbereich.

An dieser Stelle kann ich nur zum Abschluss den Slogan vom Netwars-Project als dringenden Aufruf hier in leicht veränderter Form wiedergeben “ Start now to gain back CTRL!„.

Warum sollte ein Angreifer also neue Waffen erfinden, wenn er bereits mit den von uns freiwillig geteilten Daten die mächtigste Waffe gegen uns in Händen hält?

„Wenn du noch nicht zu Tode erschreckt bist, hast du noch nicht genug Informationen gesammelt“ – Quelle unbekannt

„Die größte Leistung besteht darin, den Widerstand des Feindes ohne einen Kampf zu brechen“ – Sunzi

Viele Internetnutzer sind so leichtgläubig, dass man nur vor Ehrfrucht erstarren kann. Zuletzt wurde ich vor
etwa zwei Wochen gefragt, warum ich nicht bei Facebook wäre. Das wäre doch alles so toll und klicki bunt!
Man könne in jeder Lebenslage sofort Bilder hochladen und teilen, sowie seinen Senf ungefiltert zu jeder Kleinigkeit
dazugeben…

Aber wer kann diese Daten einsehen? Nur Freunde? Wen haben Sie in den Freunden einsortiert? Und dürfen diese
evtl. Inhalte wiederum mit deren Freunden teilen? Woher wissen sie, dass Ihre Informationen nicht zu Dritten gelangen?
Und weiter: wissen Sie, was besagte Dritte damit alles anstellen können?

Ich wette nicht!

Ein Angreifer könnte in etwa nach folgendem Schema vorgehen, um seine Zielperson in die Mangel zu nehmen:

1. Informationsbeschaffung durch Auswertung von:

1.1 – Twitter (Statusmeldungen, Retweets, Favoriten, Follower/ Follows, Bilder+Links, Standorte)
1.2 – Facebook (Statusmeldungen, Likes, Freunde, Bilder, Verwandschaftsgrade, Bilder+Links, Standorte)
1.3 – Google (cross-Nicknamecheck, Homepages auswerten, Forenbeiträge analysieren…)

2. Kontaktanbahnung zur weiteren (direkten) Informationsgewinnung über:

2.1 – Anfreundung via soziale Netzwerke (Verbindung über gleiche Interessen)
2.2 – gezielter Einkauf bei Ebayangeboten der Zielperson (bei Abholung von Waren -> Informationsgewinnung
ggf. sogar flüchtig in der Wohnung der Zielperson….)
2.3 – Hilfe bei Fragen in Foren (bei IT-Fragen kompetent helfen erhöht spätere Reputation bei Aufforderung von
Klick auf externe Links -> Ausspähen von Daten)

3. Verwendung der beschafften Informationen via:

3.1 – Vertrauensstellung nutzen um Zielperson auf preparierte Seiten zu locken
3.2 – Versand von Dateien an Zielperson mit persönlichen Aufforderungen und Themenbezug
(z.B. im Text einer gespooften EMail: „Schau mal was Tante Anni beim Geburtstag von Onkel Kurt passiert ist! Bilderordner im Anhang…“)

Insbesondere auf Punkt 3.1 möchte ich an dieser Stelle näher eingehen.
Ist jemandem bekannt, dass Sie gerne und oft bei z.B. Ebay einkaufen, so könnte ihnen eine Person mit entsprechender
Reputation bzw. Vertrauensstellung auch den einen oder anderen Phishing-Link unterjubeln, der Ihre Logindaten
an den Angreifer überträgt und parallel tatsächlich einen Login auf Ebay vornimmt. Sie bekommen von dem Vorgang
praktisch gar nichts mit und schauen sich lediglich ein empfohlenes Objekt auf Ebay an…

So bietet beispielsweise das Social Engineering Toolkit genau solche Funktionen um gezielt Webseiten zu klonen und die dort eingegebenen Daten an den Angreifer zu übertragen. Mit den erbeuteten Zugangsdaten können weitere Informationen über die Zielperson beschafft werden und ggf. im Namen der Zielperson agiert werden.

In diesen ersten Schritten legt der Angreifer großen Wert darauf verdeckt zu operieren und so präziese Informationen wie möglich zu erhalten. Die Zielperson darf weder erkennen, dass der Angreifer gezielt Informationen beschaffen möchte, noch darf die eigentliche Intention des Angreifers erkennbar sein.

Es braucht Zeit und Ausdauer, sich als Angreifer durch diverse Seiten auf Google & Co. zu wühlen, erhöht aber die Erfolgschancen deutlich. Informationsbeschaffung bedarf einer genauen Planung, Nachforschung und natürlich der Gabe
strategisch aus der Sicht eines Angreifers heraus zu denken.

Open Source Intelligence (OSINT) ist eine Hauptquelle für (indirekte) Informationsbeschaffung. Unten stehendes Diagramm veranschaulicht beispielhaft die Aufbereitung gewonnener Daten zur weiteren strategischen Planung.
Es werden Beziehungen aufgezeigt, die teilweise automatisiert gewonnen wurden (OSINT-Tools).

Abbildung: Beispielfall Max Miller. Information beschafft über OSINT-Tools und manuelle Recherchen:

Von unserer Zielperson „Max Miller“ wissen wir am Anfang nur den Namen und haben eine EMailadresse gefunden. Zudem haben wir ein auf die Person lautendes Facebookprofil gefunden. Nun wertet unser Tool anhand unterschiedlicher öffentlich zugänglicher Quellen aus, wo die Zielperson mit diesen Daten Spuren im Internet hinterlassen hat. Max Emailadresse wird über Google mit einer Datingseite und seiner Firmenwebsite in Verbindung gebracht. Eine genauere Recherche auf der Datingseite zeigt, dass Max mit einer anderen Person im Datingnetzwerk kommuniziert hat (Kommentare auf deren Profilseite -> Kristin Flopp).

Da Max auf Facebook Freunde sammelt wie andere Menschen Muscheln am Strand, fällt es uns leicht mit ihm über einen Fakeaccount auf Facebook schnell befreundet zu sein. Um seine Aufmerksamkeit und sein Vertrauen über die Zeit zu gewinnen kommentieren wir wohlwollend seine für uns freigegebenen Beiträge, Bilder etc. Über die Zeit gewinnen wir nicht nur aus privaten Facebooknachrichten Informationen, sondern schaffen es u.U sogar in den engeren Freundeskreis. Mit noch mehr Berechtigungen, um gepostete Inhalte von Max einzusehen. Der Beziehungsstatus von Max auf Facebook zeigt uns, dass er mit Franzi Miller verheiratet ist. Was Franzi wohl zu Max Bekanntschaft auf der Datingseite (Kristin Flopp) sagen würde?

Wir lernen aufgrund der Einträge auf Facebook eine Menge über Max. Z.B., dass er gern mit Dingen angibt, die er bei EBay gekauft hat. So, wie sein nagelneu erstandenes Smartphone Samsung Galaxy S3, für das es einen schönen Exploit gibt, mit dem wir sein Gerät (wann immer wir wollen) zurücksetzen können. Dazu muss Max nur einem unserer Links auf seinem Handy folgen…

Die planlose Verknüpfung sozialer Netzwerke von Max führt uns zu seinem Twitteraccount mit dem Accountnamen „Virenschreiber“. Die Tweets von Max werten wir natürlich ebenfalls aus, folgen ihm auf Twitter und stellen fest, dass er gelegentlich sogar seinen Standort in den Tweets mit sendet. Am 12.12.2012 ist Max in Berlin. Das ist komisch, da er doch auf Facebook geschrieben hat, dass er für 3 Tage nach Dortmund muss, um von seiner Arbeit aus bei einem Kunden einen Auftrag abzuwickeln?! Ist es nur ein kurioser Zufall, dass unsere Recherchen ergeben haben, dass Kristin Flopp ebenfalls in Berlin wohnt?!

Jetzt, wo wir wissen, dass Max sich offenbar in Berlin vergnügt wird es Zeit die Remotelöschung auf seinem Smartphone zu forcieren…

Ob das wohl seinen Stressfaktor in die Höhe treibt? Zeitgleich nehmen wir seine Homepage unter heftiges Denial of Service-Feuer, damit auch bei ihm im Büro Alarmstufe Rot ausgerufen wird. Ob die Mitarbeiter von Max wohl versuchen werden ihn zu erreichen? ;) Unter der IP die zum Mailserver von Max gehört loggen wir uns außerdem kurzerhand via Telnet auf Port 25 ein und nutzen den schlecht konfigurierten Server (Open Relay), um in seinem Namen noch eine EMail an seine „Noch-Frau“ zu senden, in der wir ihr schreiben, dass es „aus“ ist.

Zugegeben, das Szenario ist konstruriert und böse, aber es ist nicht unmöglich. Nein, es ist sogar sehr wahrscheinlich, dass über längere Zeit observierte Personen früher oder später in die eine oder andere Falle tappen werden. Ein geschulter Angreifer mit entsprechend hoher Motivation kann durchaus mehr als nur Kollateralschaden anrichten!

Um auf das eingangs erwähnte Social Engineering Toolkit zurück zu kommen: mit einer sorgfältigen Zielanalyse und den richtigen Softskills muss die Zielperson am Ende nur noch zum passenden Exploit gelockt werden (Website die unseren Code ausführt).

Doch dazu im nächsten Blogbeitrag mehr….

Be careful who you open up to. Only a few people actually care, the rest just want information to infiltrate and benefit.

Wer ungesicherte Browsersitzungen nutzt, wie beispielsweise unter http://facebook.com oder http://twitter.com ,
der hat unter Umständen ein ernst zu nehmendes Sicherheitsproblem im eigenen Netzwerk. Denn durch
ARP-Spoofing ist es somit möglich die o.g. Sitzungen mit einem Man-in-the-middle Angriff auszuspionieren.

Dabei täuscht praktisch ein Rechner in eurem Netzwerk vor, dass zu seiner MAC-Adresse alle anderen IP-Adressen
im Netzwerk gehören. Somit schickt euer Rechner z.B. nicht mehr die Verbindungsanfragen an euren Router, sondern
an den Angreifer-PC. Dieser leitet im besten Fall eure eigentlich für den Router vorgesehenen Anfragen an den Router durch.

Wie einfach das ist, zeigt ein von mir eingesetztes Tool unter Android (auf meinem Mobiltelefon).
Hier sehen wir ettliche unverschlüsselte Sitzungen, die man hätte übernehmen können.

Ich habe mich dazu lediglich in ein offenes WLAN eingewählt und diese Anwendung suchen lassen.
Merke: !!Man sollte generell offene Netze meiden!!

Das Prinzip ist nicht nur simpel, sondern auch hoch effektiv! Mit einem Klick auf den Eintrag zu Facebook,
Youtube oder Twitter etc. ist man sofort in der Sitzung der fremden Person angemeldet.

Wie umgeht man dies nun? Die Antwort ist ebenso simpel, wie leicht umzusetzen:

SSL (Secure Socket Layer) verwenden! SSL verwendet ihr immer automatisch dann, wenn ihr in der Adresszeile eures
Browsers https:// seht. Transport Layer Security (TLS) ist übrigens die Erweiterung von SSL.

In Facebook könnt ihr diese sichere Verbindung erzwingen, indem ihr in den Kontoeinstellungen auf „Sicherheit“ geht
und das „Sichere Durchstöbern“ aktiviert. Bei Twitter erreicht ihr selbiges unter den Einstellungen und dann unter
„Nur HTTPS“ zu aktivieren.