Kapitel 7

Die Tools des Social Engineer

Der Mensch ist ein Tier, das Werkzeuge benutzt. Ohne Werkzeuge ist er nichts, mit Werkzeugen alles.

Thomas Carlyle

Ein anständiger „Werkzeugkasten“ sorgt dafür, ob ein Social Engineer-Auftrag erfolgreich durchgeführt werden kann oder nicht. Natürlich reicht es nicht, die Instrumente und Werkzeuge zu besitzen, sondern man muss auch damit umgehen können.

In diesem Kapitel werden verschiedene Tools vorgestellt – seien es materielle oder auf Software basierende Tools oder auch fürs Telefonieren einsetzbare Tools. Beachten Sie, dass es nicht ausreicht, die besten oder teuersten Tools zu besitzen, um ein Social Engineer zu werden. Mit diesen Instrumenten erweitern Sie vielmehr Ihre Sicherheitspraxis so, wie Sie mit den richtigen Gewürzen eine Speise aufpeppen: Zu wenig oder zu viel, und die Mahlzeit schmeckt fade oder ist überwürzt. Sie brauchen sich nicht wie Batman seinen Batgürtel anziehen, um in einen Social Engineering-Auftrag zu gehen, aber genauso wenig darf es Ihnen passieren, dass Ihnen vor der Tür der Zielperson die passenden Werkzeuge fehlen.

Tools für Social Engineers können potenziell sehr umfangreich, aber dieses Buch ist kein umfassendes Handbuch fürs Öffnen von Schlössern oder Spoofen von Telefonnummern. Sie sollen hier hingegen ausreichend informiert werden, um entscheiden zu können, mit welchen Tools Ihre Arbeit besser läuft.

Im ersten Abschnitt dieses Kapitels, „Werkzeuge und Instrumente“, beschäftigen wir uns mit Öffnungswerkzeugen, Shims und Kameras. Auf dem Markt gibt es neue und spannende Instrumente, mit denen sich ein durchschnittlicher Social Engineer wie James Bond fühlen darf. Einige davon stellen wir vor, zeigen deren Verwendung und manchmal auch Bilder davon. Außerdem liefert dieses Kapitel Informationen übers Spoofing am Telefon bei Social Engineering-Angriffen, geht über zu Erläuterungen besonders empfehlenswerter softwarebasierter Tools zur Informationssammlung und schließt dann mit der Vorstellung von Tools fürs Password-Profiling ab.

7.1   Werkzeuge und Instrumente

Die physische Sicherheit setzt sich zusammen aus allen Maßnahmen ohne Computer, die von Firmen oder Personen hinsichtlich ihrer Sicherheit unternommen werden. Dazu gehören u.a. Schlösser, Kameras mit Bewegungsmelder, Fenstersensoren u.ä. Als guter Social Engineer muss man die materielle Sicherheit kennen und wissen, wie sie funktioniert. Sie brauchen sich mit diesen Geräte nicht wie ein Ingenieur auskennen, aber wenn Sie die Sicherheitsmechanismen kennen, die an Ihrem Ziel eingesetzt werden, überwinden Sie alle einem erfolgreichen Social Engineering-Audit entgegenstehenden Hindernisse.

7.1.1   Öffnungswerkzeuge

Bevor wir uns daran machen, wie man Schlösser öffnet, müssen Sie erst einmal erfahren, wie Schlösser funktionieren.

Abbildung 7.1 zeigt eine schematische Darstellung eines einfachen Schlosses.

f0701.jpg 

Abb. 7.1: Eine einfache Ansicht eines Schlosses

Im Prinzip werden bei einem Schloss die Stifte durch den Schlüssel manipuliert. Der Schlüssel schiebt die Kern- und oberen Stifte hoch, und wenn sie aneinander ausgerichtet sind, kann man den Schlüssel drehen und die Tür, den Serverraum, den Schrank usw. aufschließen.

Ein Öffnungswerkzeug simuliert den Schlüssel, indem er nacheinander alle Stifte an die richtige Position bewegt, sodass sich der Riegel frei drehen kann und die Tür geöffnet wird. Sie brauchen zwei Werkzeuge, um ein Schloss zu öffnen: verschiedene Picks und einen Spanner.

Picks sind lange, am Ende gebogene Metallstücke, die ein bisschen wie Zahnarztinstrumente aussehen. Man schiebt sie in das Schloss und bewegt die Stifte nach oben und unten, bis sie sich in der richtigen Position befinden.

Spanner sind kleine, flache Metallgeräte, mit denen man Druck auf das Schloss ausüben kann, während man mit dem Pick arbeitet.

Sogenannte Schlangenspitzen sehen wie Picks aus. Damit „harkt“ man sozusagen über das Schloss und versucht dabei, alle Stifte zu erwischen. Es ist die schnelle Bewegung, die Schlangenspitze hineinzuschieben und wieder herauszuziehen, die viele Schlossöffner attraktiv finden, weil man damit mit den meisten Schlössern recht schnell fertig wird.

Um ein Schloss zu öffnen (auch Lockpicking genannt), gehen Sie wie folgt vor:

1.    Führen Sie den Spanner in das Schlüsselloch und drehen Sie es in die gleiche Richtung, wie Sie den Schlüssel drehen würden. Das Geschick hier besteht darin, genau zu wissen, wie viel Druck ausgeübt werden soll: Nimmt man zu viel oder zu wenig, werden die Stifte nicht an ihren Platz bewegt, und man kann den Riegel nicht umdrehen. Mit genau dem richtigen Druck schafft man einen kleinen Sims, durch den der Stecker genug Versatz bekommt, um den Stiftschaft zu erwischen.

2.    Führen Sie den Pick ein und heben Sie damit einen Stift nach dem anderen hoch, bis Sie fühlen, dass sie einrasten. Sie hören einen leichten Klick, wenn einer der oberen Stifte in Position fällt. Wenn alle Stifte in Position sind, kann sich der Riegel frei drehen, und Sie haben das Schloss geöffnet.

Das hier ist sozusagen nur Sparvariante des Schlösseröffnens – damit ist kaum gerade mal die Oberfläche angekratzt. Wenn Sie weitere Informationen wollen, besuchen Sie die folgenden Websites:

      http://toool.us/

       http://home.howstuffworks.com/home-improvement/household-safety/security/lock-picking.htm 

       http://www.ssdev.org/ (Sportfreunde der Sperrtechnik, Hamburg)

       http://www.lockpicking101.com/ 

Das sind nur einige der vielen Sites, die sich dem Training der Schlossöffnung widmen. Als Social Engineer sollten Sie diese Technik sehr gut üben. Wenn Sie einen kleinen Satz Öffnungswerkzeuge mit sich tragen, ist das vielleicht die letzte Rettung, wenn Sie vor einem verschlossenen Serverschrank, Schreibtisch oder einem anderen Hindernis mit Schloss stehen, in dem sich wichtige Infos befinden.

Diese Öffnungswerkzeuge können so klein sein wie die in Abbildung 7.2. Sie haben etwa die Größe einer Visitenkarte.

f0702.jpg 

Abb. 7.2: Dieser Satz Öffnungswerkzeuge ist etwa so groß wie eine Visitenkarte und passt gut in eine Handtasche oder Geldbörse.

Das Gerät kann auch etwas klobiger sein (siehe Abbildungen 7.3 und 7.4).

f0703.jpg 

Abb. 7.3: Dieses Set ist etwa so groß wie ein Taschenmesser.

f0704.jpg 

Abb. 7.4: Dieser Satz Öffnungswerkzeuge ist noch umfangreicher, aber dafür steckt auch alles drin, was das Herz begehrt.

Empfehlenswert ist sicher, nicht gerade in einer kritischen Situation erste Erfahrungen mit Öffnungswerkzeugen sammeln zu wollen. Ich selbst habe mir ein paar Master-Vorhängeschlösser in unterschiedlichen Größen gekauft. Nachdem ich sie alle erfolgreich geöffnet hatte, kaufte ich mir einen Satz Trainingsschlösser, die etwa so wie in Abbildung 7.5 aussehen. Diese bekommt man mit vielen unterschiedlichen Stifttypen. Die Schlösser enthalten verschiedene Stifttypen, die die Schwierigkeit Stück für Stück erhöhen. Wenn Sie verschiedene Stifttypen und Größen haben, maximieren Sie die Effektivität Ihrer Übungssessions.

f0705.jpg 

Abb. 7.5: In diese Schlössern kann man hineinsehen und erkennt, was man macht.

Ich habe bei verschiedenen Konferenzen auch schon ein paar sehr schöne Vorrichtungen gesehen, eine selbstgemachte Wand mit Schlössern, an denen sich auch hervorragend üben lässt. Wenn Sie sich verdeckt Informationen über Ihr Ziel besorgen, sollten Sie unbedingt daran denken, Fotos der Gerätetypen und Modelle der Schlösser, die Ihren Weg blockieren, aufzunehmen oder sich mentale Notizen zu machen. Mit dieser Information bereiten Sie sich ideal auf den Social Engineering-Einsatz vor.

Praktische Nutzung

In Film und Fernsehen wird das Öffnen von Schlössern so dargestellt, dass es reicht, einfach nur das Öffnungswerkzeug hineinzustecken, und wie von Zauberhand öffnet sich wenige Sekunden später die Tür. Sicher, einigen gelingt das auch wirklich so gut, aber die meisten müssen sich an einen langsamen Erfolg gewöhnen, nachdem sie unzählige Male zu sehr gedrückt haben, frustriert waren und dann irgendwann endlich gelernt haben, wie man in Schloss harkt und dann öffnet. Das sogenannte Harken ist an sich schon eine wertvolle Fähigkeit. Dabei machen Sie harkende Bewegungen mit dem Werkzeug und üben mit dem Spanner leichten Druck aus. Diese Technik funktioniert bei vielen Arten von Schlössern, die man mit dieser einfachen Methode öffnen kann. Ein effizientes Harken vermittelt einem Social Engineer eine Menge darüber, wie man mit dem Spanner arbeitet und wie es sich anfühlt, wenn das Schloss sich öffnet.

Viele Firmen setzen RFID-Chips, Magnetkarten oder andere Arten der elektronischen Zugangssteuerung ein. So ließe sich vermuten, dass Öffnungswerkzeuge aus der Mode kommen. Das stimmt aber nicht, und das Gleiche gilt für die Kunst des Schlösseröffnens. Es ist ein guter Skill, den man haben sollte und der einen im Pentest retten kann.

Hier ist ein Beispiel, welchen Vorteil es hat, immer ein paar Öffnungswerkzeuge dabei zu haben: Bei einem Auftrag traf ich auf ein Hindernis, bei dem ich mit Social Engineering nicht weiterkam: eine Tür. Mit meinem zuverlässigen Satz Öffnungswerkzeuge und der Harkenmethode war ich in etwa einer halben Minute drin. Viele Social Engineers können solche Storys erzählen, die schließlich erfolgreich ausgingen, weil sie sich ein bisschen bei Schlössern auskannten und die richtigen Werkzeuge dabei hatten. Nur zu oft geben Firmen Tausende oder gar Millionen Euro für Hardware, Firewalls, IDS-Systeme und andere Schutzmethoden aus, packen dann alles in einen Raum, den sie dann nur mit dünnem Glas und einem Schloss für 20 Euro schützen.

Übung ist hier unverzichtbar, weil das Öffnen eines Schlosses immer riskant ist und man gesehen oder erwischt werden kann. Sie müssen beim Schlossöffnen sehr flott sein, um dieses Risiko zu minimieren. An manchen Stellen sind Kameras installiert, um den Eindringling auf frischer Tat zu ertappen, doch wenn die Kamera nicht live von jemandem überwacht wird, zeichnet sie halt nur jemanden auf, der einbricht und die Server klaut.

Außerdem kann man viele Kameras ganz einfach unschädlich machen, indem man mit LED-Lampen in die Linse leuchtet oder das Gesicht mit Hut oder Kapuze verdeckt.

Magnetische und elektronische Schlösser öffnen

Magnetische Schlösser werden immer beliebter, weil sie sehr preisgünstig und dafür relativ sicher sind, da sie nicht wie traditionelle Schlösser aufzubrechen sind. Solche magnetischen Schlösser gibt es in allen Formen, Größen und Stärken. Doch ein gewisses Maß der Unsicherheit bleibt: Wenn der Strom unterbrochen wird, lösen sich die meisten Schlösser und öffnen die Tür. Das passiert natürlich nur dann, wenn das Schloss nicht an einem Notstromaggregat hängt.

Der weltbekannte Social Engineer und Hacker Johnny Long, der die Google Hacking Database aufbaute und das Buch No Tech Hacking schrieb, erzählt eine Geschichte, wie er ein magnetisches Schloss mit Kleiderbügel und Lappen aushebeln konnte. Er bemerkte, dass das Schloss sich aufgrund der Bewegung eines Mitarbeiters, der in Richtung Tür ging, entsperrte. Ihm fiel auch eine Lücke in der Tür auf, die groß genug war, einen Lappen hindurchzuschieben, der an einem Metallkleiderbügel hing. Durch Wedeln mit dem Lappen öffnet sich das Schloss, und er konnte hinein.

Ich hatte kürzlich ebenfalls die Chance, diese Technik mal zu testen. Mit ein wenig Mühe und weil ich verschieden lange Kleiderbügel ausprobierte, kam ich in weniger als zwei Minuten hinein. Am lustigsten fand ich, dass man zwar eine Menge Geld für das professionelle, industrietaugliche Schloss und Metalltüren mit kugelsicherem Glasfenstern, mit Notstrom für die Schlösser und einer automatischen Sperre bei Stromausfall ausgegeben hatte, aber das alles konnte man mit einem Drahtbügel und einem Lappen durchkreuzen.

Natürlich kann man Schlösser auch mit mehr Hightech öffnen. Es wurden z.B. RFID-Cloner gebaut, kleine Geräte, die den RFID-Code zum Entsperren der Türen aufzeichnen und wieder abspielen können. Auch gibt es Maschinen, mit denen man magnetische Schlüsselkarten kopieren kann.

Verschiedene Tools fürs Lockpicking

Neben Spannern und Picks kann man als Social Engineer auch andere Werkzeuge einsetzen, z.B. Shove Knives, Schlagschlüssel und Padlock Shims (Shims für Vorhängeschlösser). Wenn Sie diese Tools beherrschen, bekommen Sie bei Bedarf mühelos physischen Zugang.

Shove Knives

Vom in Abbildung 7.6 gezeigten Shove Knife sagt man, es sei die schnellste Möglichkeit, wie man durch Bürotüren oder jede andere Tür mit einem in den USA üblichen Drehknopfschloss kommt, z.B. für Serverräume. Im Prinzip kann man dieses Shove Knife so in Position schieben, dass der Schnappriegel aufgeht, ohne die Tür zu beschädigen.

f0706.jpg 

Abb. 7.6: Ein typisches Shove Knife

Schlagschlüssel

Schlagschlüssel gibt es schon ewig, aber ihr Medienecho ist eher negativ, weil sie auch bei Straftaten genutzt wurden. Dabei handelt es sich um speziell gefertigte Schlüssel, mit denen man den Schlüssel mit einem leichten Schlag ins Schloss einführen kann. Richtig gemacht, werden alle Stifte korrekt ausgerichtet, und ohne dass das Schloss beschädigt wird, kann der Riegel gedreht werden. Die Basistechnik ist, dass man diesen Schlüssel ins Schloss steckt und dann ein oder zwei Kerben weit wieder herauszieht. Dann übt man leichten Druck auf den Schlüssel aus, nimmt einen Schraubendreher oder ein anderes kleines Objekt und schlägt den Schlüssel vorsichtig ins Schloss. Dadurch werden die Stifte an die korrekte Position gebracht, und der Riegel kann gedreht werden. Abbildung 7.7 zeigt einen Schlagschlüssel.

f0707.jpg 

Abb. 7.7: Ein typischer Schlagschlüssel für eine Tür

Padlock Shims

Ein Shim ist ein kleines, dünnes Metallteil, das in die Basis eines Vorhängeschlosses geschoben wird, und damit entsperrt man den Schließmechanismus. Der Shim wird an der Basis des Riegelschafts hineingeschoben und trennt den Sperrmechanismus vom Schaft, wodurch das Vorhängeschloss geöffnet wird. Das sehen Sie in Abbildung 7.8.

f0708.jpg 

Abb. 7.8: So funktioniert ein Shim.

In Abbildung 7.9 sind professionelle Shims zu sehen, aber Sie können sich auch selbst eines herstellen, und zwar aus einer Aludose.

Wie man einfach eine Hoteltür oder eine andere Tür mit einer Sperrkette öffnet, schauen Sie sich auf YouTube an (www.youtube.com/watch?v=7INIRLe7x0Y). In diesem Video sehen wir den Angreifer, der ein Gummiband ums Schloss fummelt und durch die natürliche Spannung des Bandes die Kette herunterschiebt. Außerdem gibt es vom MIT eine frei erhältliche Anleitung übers Lockpicking, die sich eingehender mit diesem Thema beschäftig als diese kurze Einführung (www.lysator.liu.se/mit-guide/MITLockGuide.pdf).

f0709.jpg 

Abb. 7.9: Professionell gefertigte Shims

Sie fragen sich vielleicht, ob Schlösser existieren, die man unmöglich oder zumindest nur sehr schwer öffnen kann. Das Bump Proof BiLock ist ein solches Schloss (www.wholesalelocks.com/bump-proof-bilock-ult-360.html). Durch seine zwei Zylinder kann man es fast unmöglich mit Schlagschlüssel oder Pick öffnen.

Eines der Probleme, denen ich in meiner Karriere begegnet bin, ist nicht die Wahl des Schlosses, sondern vielmehr die Haltung zur Sicherheit. Sehr oft erlebe ich, dass eine Firma ein schweres Schloss anschafft, für das man sich biometrisch identifizieren muss und einen Schlüssel braucht, um in den Serverraum zu kommen. Und dann ist direkt neben der Tür ein kleines Glasfenster. Wer braucht dann noch das Schloss zu öffnen? Ein Dieb zerschlägt die Scheibe und kommt ohne große Mühe hinein.

Und die Moral von der Geschicht’? Ein Schloss alleine sichert nicht! Sicherheit ist eine innere Haltung, nicht einfach ein Stück Hardware.

Nicht jeder Social Engineer muss ein exzellenter Lockpicker sein, aber wenn man ein paar Grundkenntnisse hat, wie Schlösser funktionieren, und etwas Erfahrung mitbringt, kann das über Erfolg und Fehlschlag entscheiden.

Mit diesen Ausführungen haben wir gerade mal die Oberfläche des Themas Öffnungswerkzeuge angekratzt, die ein Social Engineer nutzen kann. Eine weitere Werkzeuggruppe, die für einen Social Engineer unschätzbare Dienste leistet, sind Aufzeichnungsgeräte – dazu jetzt mehr.

7.1.2   Kameras und Aufzeichnungsgeräte

Kameras und andere Aufzeichnungsgeräte lassen derart den Verdacht auf Spannertum aufkommen, dass sich oft die Frage stellt: „Warum? Wozu sollte man bei einem SE-Auftrag versteckte Kameras und geheime Aufnahmegeräte nutzen?“ Gute Frage. Die Antwort darauf besteht einfach aus zwei Teilen: als Beweis und zum Schutz.

Schauen wir uns zuerst das Konzept des Beweises an. Wie bereits erwähnt, geht es bei einem Social Engineering-Audit darum, dass Menschen getestet werden. Dabei helfen Sie einer Firma, die menschliche Infrastruktur so zu „patchen“, dass sie sicherer wird. Leider gelangen die gleichen Prinzipien auch zum Einsatz, wenn sich Social Engineers der bösen Sorte an die Arbeit machen. Viele Leute geben nur ungern zu, dass man sie hereinlegen kann, außer sie sehen einen Beweis dafür oder wie einer ihrer Kollegen ausgetrickst wurde. Die Peinlichkeit, durch einen einfachen Social Engineering-Angriff hereingelegt worden zu sein, oder die Auswirkungen beim Arbeitgeber können dafür sorgen, dass man behauptet, so etwas sei nie geschehen. Mit einem Aufzeichnungsgerät liefert man einen Beleg, aber gleichzeitig schult es Sie als Auditor ebenso wie Ihre Kunden darin, worauf zu achten ist.

Sie dürfen diese Geräte niemals in der Absicht einsetzen, einem Angestellten Schwierigkeiten zu bereiten oder ihn vorzuführen. Doch die durch diese Geräte möglichen Informationen liefern hinterher hervorragendes Lehrmaterial, um dem Personal zu zeigen, wer wie auf den Pretext des Social Engineer hereingefallen ist. Wenn man einen erfolgreichen Hack belegen kann, sorgt das für große Bereitschaft bei Firma und Personal, sich darin zu schulen, wie sie auf böswillige Social Engineer-Versuche reagieren sollen – anders gesagt: Wie man solche Angriffe erkennt und dann entweder vermeidet oder den Schaden mindert.

Der zweite Grund, solche Aufzeichnungsgeräte in einem SE-Auftrag zu verwenden, ist der Schutz – vor allem bei professionellen Social Engineers. Warum? Sich jede Mikroexpression, jede Gesichtsregung und all kleinen Details zu merken, die man hinterher nutzen kann, ist unmöglich. Wenn Sie diese Informationen auf Kamera festgehalten haben, können Sie die Aufzeichnungen anschließend analysieren, damit Sie alle für den Angriff nötigen Details bekommen. Weil Ihnen so Beweise zur Verfügung stehen, was geschehen ist und was nicht, sind Sie geschützt, aber vor allem müssen Sie sich auch nicht alles komplett einprägen. Außerdem kann man es gut für Schulungszwecke nutzen, um erfolgreiche oder misslungene Social Engineering-Versuche zu analysieren.

Dieses Prinzip wird auch bei der polizeilichen Ermittlung eingesetzt. Polizeibeamte und Agenten zeichnen Fahrzeugkontrollen, Befragungen und Verhöre auf, um sie zum eigenen Schutz sowie für Schulungszwecke und als Beweis vor Gericht einzusetzen.

Das gleiche Prinzip gilt für Audioaufzeichnungen. Die Aufnahme eines Telefonats oder eines Gesprächs dient dem gleichen Zweck wie Videoaufzeichnungen. Wichtig ist hier noch anzumerken, dass in vielen Gegenden der Welt Aufnahmen von Personen ohne deren Zustimmung als illegal betrachtet werden. Achten Sie darauf, dass Sie sich bei der Auftraggeberfirma vertraglich absichern, bei einem Social Engineering-Einsatz auch Aufzeichnungsgeräte nutzen zu können.

Audioaufzeichnungsgeräte gibt es in allen Formen und Größen. Ich besitze einen kleinen Stimmrekorder in Form eines echten, funktionierenden Kulis. Dieses Gerät stecke ich schön in meine Brusttasche, und die akustischen Aufnahmen sind bis zu einem Abstand von ca. sechs Metern klar und deutlich. Mit seinen 2 GB Speicher kann ich leicht ein paar Stunden Gespräch aufnehmen und später analysieren.

Kameras

Heutzutage gibt es Kameras, die wie Knöpfe oder Kulis aussehen. Sie verstecken sich in der Spitze von Stiften, in Uhren, Teddybären, falschen Schraubenköpfen, Brandmeldern und praktisch in jedem vorstellbaren Gerät. Es ist ganz schön schwer, eine solche Kamera wie in Abbildung 7.10 zu entdecken.

f0710.jpg 

Abb. 7.10: Die Kamera ist im Krawattenknoten versteckt.

Ja, ob Sie’s glauben oder nicht, diese Krawatte versteckt eine Farbkamera, die mit einer 12-Volt-Batterie betrieben wird und mit einem Miniaufzeichnungsgerät verbunden ist. Wenn Sie diese Krawatte bei einem Social Engineering-Auftrag umbinden, nehmen Sie mit Sicherheit alles innerhalb von 70 Grad auf.

Der Vorteil eines solchen Geräts liegt darin, dass der Social Engineer sich auf den Pretext oder das Elizitieren konzentrieren kann, das er im Vorfeld geübt hat, ohne sich anstrengen zu müssen, sich jedes kleine Detail zu merken.

Ich erzähle gerne die Geschichte, wie ich mal einen Audiorekorder bei einem Audit eingesetzt habe. Ich sollte einen Vergnügungspark testen, der seine Tickets online verkauft. Bei dieser Firma gibt es ein kleines Fenster, an dem die Eintrittskarten verkauft werden. Dort sitzt eine Frau an einem Windows-Computer. Der Pretext war, dass ich Tickets online im Hotel gekauft hatte, sie aber nicht ausdrucken konnte. Als Unterstützung habe ich sie in ein PDF umgewandelt und mir das Dokument selbst zugemailt. Der Dame am Schalter habe ich in etwa Folgendes gesagt: „Ich weiß, das hört sich vielleicht komisch an, aber meine Tochter hat Ihre Werbung in einem Restaurant gesehen. Wir sind zurück zum Hotel und haben dort online die Tickets mit dem Rabattcode gekauft, aber dann merkte ich, dass ich die gar nicht ausdrucken konnte. Der Drucker im Hotel war kaputt, aber ich wollte die Tickets nicht verlieren. Also habe ich daraus ein PDF gemacht und das an mein E-Mail-Konto geschickt. Darf ich mich hier bei Ihnen da mal einloggen oder Sie bitten, dass Sie sich einloggen, um das Dokument herunterzuladen?“ Meine „Kinder“ warteten natürlich weiter hinten, und als Papa wollte ich sie nicht enttäuschen. Freilich bekam die Angestellte nicht unsere Tickets zu sehen, als sie auf das PDF klickte, sondern ein böswilliger Code kam zum Einsatz, der so geskriptet war, dass ich Zugriff auf ihren Computer bekam und automatisch Daten sammeln konnte. Durch Aufzeichnen des Gesprächs, die eingesetzte Methode und meinem „Drücken auf die Tränendrüse“ half ich, diese Firma zu schulen, damit ein solcher Angriff nicht noch einmal vorkommt, und das hat Tausende von Dollar eingespart.

Ein käuflich erhältliches Gerät arbeitet mit einer Prepaid-Karte, um Audioinhalte über ein Handysignal zu einer beliebig programmierbaren Nummer zu senden. Oder der Social Engineer kann anrufen und hören, was gerade vor Ort geschieht. Dieses Gerät kann dem Social Engineer viele, viele Stunden der Jagd nach Passwörtern oder persönlichen Informationen ersparen, die er dann in einem Social Engineering-Angriff nutzen kann.

Man kann wirklich stundenlang über all die tollen und coolen Kameras sprechen, die erhältlich sind (ich könnte auch Dutzende von Seiten in diesem Buch damit füllen). In den Abbildungen 7.11 und 7.12 sehen Sie einige Bilder eines bekannten Anbieters für Ermittlungsgeräte, sozusagen „Spionageausrüstung“ (www.spyassociates.com). Die gezeigten Gegenstände sind – ob Sie es glauben oder nicht – alles versteckte Kameras oder Audiorekorder. Sie können mit jedem dieser Geräte heimlich die Zielperson aufnehmen und hinterher alles inspizieren.

f0711.jpg 

Abb. 7.11: Alle diese Geräte (außer dem Stift, das ist ein Audiorekorder) nehmen Audio und Videos in Farbe mit einer versteckten Kamera auf.

f0712.jpg 

Abb. 7.12: Auch diese Geräte zeichnen Audio und Video mit versteckten Kameras auf.

Die Werkzeuge eines Social Engineers

In vorigen Abschnitt wurden die unterschiedlichen Arten von verfügbaren Aufzeichnungsgeräten vorgestellt, aber zu klären bleibt, wie man damit arbeitet. So erstaunlich diese Technik auch sein mag, folgt ihre Verwendung doch den gleichen Prinzipien wie jedes andere Tool des Social Engineer, z.B. Pretexting oder Elizitieren. 

Die Grundbedingung ist Üben. Wenn Sie keine Ahnung haben, wo genau eine Kamera oder ein Audiorekorder am Körper getragen werden muss, dann filmen Sie möglicherweise die Decke oder nehmen Stimmen nur dumpf auf. Sorgen Sie dafür, dass Sie mit dem richtigen Outfit und der passenden Ausrüstung losziehen und Kamera oder Audiorekorder auch an der richtigen Stelle anbringen. Probieren Sie, wie diese Geräte im Sitzen, Stehen oder Gehen funktionieren und wie dies die Klang- und Videoqualität beeinflusst.

Vom Standpunkt eines professionellen Social Engineers muss ich noch einmal ganz deutlich betonen, wie wichtig es ist, sich vorab vertraglich eine Erlaubnis für Aufzeichnungen zu besorgen. Macht man das ohne Kontrakt, führt das eventuell zu einem juristischen Alptraum. Ebenfalls sehr empfehlenswert ist, die Gesetzeslage vor Ort zu erkunden, damit man wegen Nutzung solcher Geräte keinen Ärger bekommt.

Niemals würde ein Social Engineer mit solchen Apparaturen Personen in peinlichen Situationen aufnehmen oder deren persönliche Lebensumstände festhalten.

Die Diskussion über dieses Thema könnte man noch endlos fortsetzen, doch hoffentlich werden die dem Social Engineer möglichen Optionen auch in diesem kurzen Überblick deutlich.

Im nächsten Abschnitt gebe ich einige Beispiele, wie man bestimmte Werkzeuge einsetzt.

7.1.3   Der GPS-Tracker

Social Engineers müssen des Öfteren ihre Zielpersonen beschatten, bevor sie ins Büro kommen oder es verlassen. Wo die Zielperson ihren Weg zur Arbeit oder nach Hause unterbricht, kann eine Menge über sie aussagen. Stellt man dann diese Informationen zusammen und analysiert sie, ist das die Grundlage für die Entwicklung eines passenden Pretext oder für gute Fragen, mit denen man der Zielperson die richtigen Antworten entlockt. Wenn man die zeitlichen Eckpunkte des Tages kennt, ist das auch wertvoll für einen Angriff eines Red Teams (eine verdeckt arbeitende Gruppe Pentester, von deren Existenz die auftraggebende Firma nichts weiß). Das Ziel des Teams ist, tatsächlich einzubrechen und wertvolle Güter zu entwenden, um der Firma die Schwächen ihrer örtlichen Gegebenheiten aufzuzeigen.

Man kann Personen auf verschiedene Weise verfolgen oder „tracken“, z.B. mit einem Gerät. Ein solches Gerät ist ein GPS-Tracker, z.B. der bekannte „SpyHawk SuperTrak GPS Worldwide Super TrackStick USB Data Logger“, erhältlich von www.spyassociates.com. Ein solches Gerät kostet zwischen 200 und 600 Dollar. Der SpyHawk SuperTrak wird magnetisch an einem Fahrzeug befestigt und speichert tagelang Daten über das Ziel. In den folgenden Abschnitten finden Sie eine Anleitung für Einrichtung und Nutzung dieses kleinen technischen Wunderwerks.

Der SpyHawk SuperTrak GPS TrackStick

Die Installation der nötigen Software ist schnell und problemlos. Man klickt sich einfach durch die mit dem Gerät gelieferte Software und folgt den Anweisungen auf dem Bildschirm. Sie wird problemlos installiert, und auch das anschließende Setup geht glatt vonstatten. Der in Abbildung 7.13 gezeigte TrackStick-Bildschirm ist intuitiv zu verwenden.

Wie Sie sehen, gibt es verschiedene Optionen, um die Protokollierung von Zeiten, Zeitzonen und weitere individuelle Einstellungen zu wählen.

Die Verwendung des SpyHawk TrackStick

Das eigentliche Gerät ist sehr leicht und kann einfach genutzt und versteckt werden. Neben einem Ein/Aus-Schalter verfügt es noch über einige tolle Technik. Sobald es eine Bewegung registriert, schaltet es sich ein und beginnt mit dem Protokollieren. Bei Ruhezeiten bestimmter Dauer unterbricht es das Loggen.

In der Anleitung wird darauf verwiesen, dass man das Gerät mit den starken Magneten an Metall anbringen soll, aber es muss nach oben frei oder nur von Kunststoff verdeckt sein. Natürlich macht man sich beim ersten Einsatz Sorgen, dass es verlorengehen könnte. Also sollte man einen schönen Platz unter der Motorhaube suchen, wo guter Empfang möglich ist. Wenn Sie innen oder außen an den Wagen der Zielperson kommen können, suchen Sie sich eine sichere Stelle im Radkasten, unter der Haube oder im Kofferraum. Jede Stelle mit Metall ist gut. Wenn Sie in den Fahrgastraum kommen, können Sie die Motorhaube öffnen und das Gerät irgendwo in der Nähe des Motors anbringen – dann sind Sie auch die Sorgen wegen Entdeckung oder Verlust des TrackSticks los.

f0713.jpg 

Abb. 7.13: Der TrackStick Manager verfügt über eine intuitive, einfach verwendbare Oberfläche.

Bei meinen ersten Tests fand ich eine Stelle im Motorraum, wo ich das Gerät platzierte. Auch durch die Metallabdeckung funktionierte das Logging perfekt. Eine andere gute Idee ist zu warten, bis der Wagen aufgeschlossen wurde, und das Gerät dann im Kofferraum unter dem Teppich oder nahe bei den Rücklichtern zu positionieren. Nebenbei bemerkt: Als ich diesen Test durchführte, blieb das Gerät fünf Tage im Fahrzeug und sammelte Daten, von denen Sie einige in den folgenden Abbildungen sehen. Wie man aus Abbildung 7.14 gut erkennen kann, fährt die Zielperson gerne sehr flott.

Zeit, Datum und Dauer werden aufgezeichnet und helfen Ihnen, die Bewegungen der Zielperson nachzuvollziehen (siehe Abbildung 7.15).

Abbildung 7.16 zeigt die Icons auf einer Karte von Google Earth. Hier sieht man Geschwindigkeit, Zeiten, die Dauer von Stopps etc.

f0714.jpg 

Abb. 7.14: Die Zielperson tritt gern aufs Gas.

f0715.jpg 

Abb. 7.15: Die Bewegungen der Zielperson tracken

f0716.jpg 

Abb. 7.16: Die Ergebnisse auf Google Earth dargestellt

Wie Sie in Abbildung 7.17 erkennen, erstellt die Software schöne deutliche Karten der ganzen Route.

f0717.jpg 

Abb. 7.17: Die Route der Zielperson wird mit SuperTrack auf eine Karte übertragen.

Mit Google Earth oder Google Maps können Sie sogar heranzoomen (siehe Abbildung 7.18).

f0718.jpg 

Abb. 7.18: So werden die Fahrten der Zielperson genau bestimmbar.

Beurteilung der Daten des GPS-Trackers

Von der Datensammlung profitiert ein Social Engineer am meisten. Wenn er weiß, wo der CEO der Zielfirma seinen Kaffee holt, in welche Läden er am liebsten geht oder sein bevorzugtes Fitnessstudio, kann er seinen Angriffsplan mit optimaler Erfolgschance entwerfen.

Wenn er die Standorte und Stopps kennt, weiß der Angreifer, wann er am besten die Gelegenheit hat, eine RFID-Kennkarte zu klonen oder sich den Abdruck eines Schlüssels zu besorgen. Besonders vorteilhaft: Man bekommt die Infos, ohne das Ziel stalken zu müssen. In den folgenden Abbildungen erkennen Sie, wie der Angreifer diese Details zu seinem Vorteil einsetzen kann.

Beachten Sie das Detail in Abbildung 7.19. Sie sehen, mit welcher Geschwindigkeit die Zielperson gefahren ist, und wann sie die Fahrt unterbrochen hat. Wollen Sie sich den Standort genauer anschauen, klicken Sie auf den Link zu Google Maps. Mit Klick auf den Export-Button wird der gesamte Datensatz in eine anklickbare Karte bei Google Maps oder Google Earth exportiert.

f0719.jpg 

Abb. 7.19: Der Datensatz

Nach Öffnen des Datensatzes in Google Earth sehen Sie die Stellen, wann und wo er die Fahrt unterbrochen hat sowie welche Route er genommen hat (siehe Abbildung 7.20).

f0720.jpg 

Abb. 7.20: Hier wurde die Fahrt unterbrochen.

Wenn Sie die ganze Strecke sehen wollen, exportieren Sie einfach die Route in eines der verschiedenen möglichen Formate (siehe Abbildung 7.21).

f0721.jpg 

Abb. 7.21: Export der Gesamtstrecke der Zielperson

Abbildung 7.22 zeigt die exportierten Daten und stellt sie in Google Maps dar.

In diesem kurzen Abschnitt können wir nicht alle Tools vorstellen, die dem Social Engineer zur Verfügung stehen. Die Schlüssel zum Erfolg sind Üben und Recherchieren. Man muss natürlich die verfügbaren Instrumente kennen, um als Social Engineer erfolgreich zu sein. Doch das ist nur die halbe Miete, weil man sich als Profi durch Üben, Üben und nochmals Üben die Nutzung all dieser Tools gründlichst aneignen muss. Genaue Kenntnis sorgt für einen Riesenvorteil.

Im Social Engineer Framework (www.social-engineer.org) bespreche ich viele der Tools, mit denen der Social Engineer seine Praxis erweitert.

Doch materielle Werkzeuge sind nur ein Bestandteil eines erfolgreichen Social Engineer. Alle diese Werkzeuge kommen nur vor dem Hintergrund qualitativ hochwertiger und gründlicher Informationserfassung (siehe Kapitel 2) optimal zum Einsatz. Im nächsten Abschnitt beschäftigen wir uns mit einigen besonders erstaunlichen Tools dafür.

f0722.jpg 

Abb. 7.22: Die Route der Zielperson wird auf Google Maps eingezeichnet.

7.2   Online-Tools zur Informationsbeschaffung 

Wie bereits erläutert ist eine gründliche Sammlung von Informationen der zentrale Aspekt des Social Engineering. Wenn man diesem Aspekt nicht ausreichend Zeit einräumt, misslingt der Einsatz des Social Engineer – definitiv! Doch heutzutage kann er auf viele Tools zurückgreifen, um die erfassten Daten zu sammeln, zu katalogisieren und weiterzuverarbeiten.

Mit diesen Tools lassen sich die Daten optimal auswerten. Social Engineers sind nicht mehr darauf beschränkt, was sie bei Routineermittlungen finden, sondern ihnen stehen nun alle Ressourcen des Internets zur Verfügung.

7.2.1   Maltego

Für viele Leute sind Sammlung und Katalogisierung von Informationen wahrscheinlich ein Schwachpunkt. Wie wäre es, wenn man mit nur einem Tool Dutzende von Suchläufen ausführen kann, die speziell auf eine Domäne, IP-Adresse oder gar eine Person zielen? Wenn es dazu auch noch die Fundsachen gewichtet und deutlich macht, was wichtig ist und was nicht? Und wenn dieses Tool dann auch noch eine grafische Benutzeroberfläche hat, in der alles mit farbkodierten Objekten angezeigt wird, die Sie exportieren und weiterverarbeiten können? Und wenn überdies ein solch erstaunliches Tool auch noch kostenlos verfügbar ist?

Auftritt Maltego: Maltego ist das Traum-Tool eines jeden Social Engineer. Dieses erstaunliche Werkzeug schufen die Leute von Paterva (www.paterva .com). Maltego gibt es auf der Website als Community Edition zum kostenlosen Download, ist aber auch in jeder Edition von BackTrack4 enthalten. Wenn Sie die Einschränkungen der Gratisversion entfernen wollen, z.B. die Anzahl der möglichen Transformationen und das Speichern der Daten, bekommen Sie durch Zahlung von etwa 650 $ eine vollständige Lizenz.

Am besten zeige ich die Power von Maltego, indem ich die Geschichte eines meiner Audits erzähle. Ich sollte eine kleine Firma mit einer sehr kleinen Webpräsenz prüfen. Das Ziel war, an den CEO zu gelangen, doch der war gut bewacht, paranoid und nutzte das Web nicht sonderlich viel. Als Eigentümer eines Druckereiunternehmens kümmerte er sich nur um sein Geschäft und war technologisch nicht auf der Höhe der Zeit. Diese Aufgabe schien wohl recht schwierig zu werden.

Zuerst startete ich Maltego. Nur mit der Domäne der Firma und durch Heranziehen aller E-Mail-Adressen, die mit Whois-Infos verknüpft waren, und der Domäne selbst bekam ich schon eine schöne Informationsbasis als Ausgangspunkt der Suche. Dann tauchte ich tiefer ein, um zu schauen, ob die E-Mail des CEO auch auf irgendwelchen anderen Sites oder URLs vorkam. Ich stellte fest, dass er ein paar Rezensionen für ein Restaurant vor Ort geschrieben und dabei seine E-Mail-Adresse öffentlich verlinkt hatte. Er nutzte die gleiche Adresse auch bei einer Besprechung für ein Restaurant in einem anderen Bundesstaat. Durch Lektüre des gesamten Texts fand ich heraus, dass er dieses Restaurant besucht hatte, als er in diesem Bundesstaat auf Familienbesuch war, und in dem Text erwähnte er sogar seinen Bruder namentlich. Mit einigen weiteren Suchläufen in Maltego fand ich seine Eltern und den Bruder in dieser Gegend. Mit weiteren Suchläufen nach Familiennamen fand ich ein paar Links und eine weitere E-Mail-Adresse, die von einem von ihm dort gegründeten Geschäft kündete. Darin ging es um ein Problem, das er mit einer dortigen Kirche hatte, und seinem Wechsel zu einer anderen Glaubensgemeinschaft. Später entdeckte ich einen Blog-Eintrag, der seine Facebook-Seite mit Bildern seiner Familie verknüpfte, wie sie gerade vom Spiel ihrer Lieblingsbaseballmannschaft kamen. Folgendes fand ich heraus, während ich zwei Stunden lang mit Maltego suchte:

       Sein Lieblingsessen

       Sein Lieblingsrestaurant

       Namen und Alter seiner Kinder

       Dass er geschieden ist

       Die Namen seiner Eltern

       Den Namen seines Bruders

       Wo er aufgewachsen war

       Seine Konfession

       Sein Lieblingsteam im Sport

       Wie seine ganze Familie aussieht

       Sein früheres Geschäft

Einen Tag später schickte ich der Zielperson ein Paket mit Informationen über eine Tombola für Firmen aus der Gegend. Das Angebot bestand in dem Gewinn eines Gratisdinners in einem Restaurant (natürlich das, was er als sein Favorit aufgeführt hat) und drei Tickets für ein Spiel der Mets (seine Lieblingsmannschaft). Die Firma sollte im Gegenzug nur einwilligen, sich kurz mit einem Vertreter zu treffen, um über eine lokale Wohltätigkeitsorganisation zu sprechen. Wenn die Firma diesem Treffen zustimmt, käme ihr Name in die Tombola und hätte die Chance, die Mets-Tickets zu gewinnen. In meinem Pretext hieß ich „Joe“. Ich bereitete den Anruf beim CEO vor. Mein Ziel war, dass er ein PDF akzeptiert, in dem ich unser Angebot vorstellte und mit dem er an der Ziehung teilnehmen konnte. Zum Zeitpunkt unseres Telefonats sollte er zwischenzeitlich mein Päckchen bekommen haben, damit ich ganz einfach den Spruch „Ja, er erwartet meinen Anruf“ anbringen konnte.

Während er mit „Joe“ telefonierte, akzeptierte der CEO eine E-Mail, in der alle Angaben über die Tombola standen – und natürlich auch die arglistig kodierte Datei, mit der ich die Reverse Shell und damit den Zugriff auf sein Netzwerk bekam.

Natürlich sah er auf dem Bildschirm nichts und war genervt, dass der Adobe Reader ständig abstürzte. Ich sagte zu ihm: „Das tut mir sehr leid, dass Sie die Datei nicht öffnen können. Wir nehmen Ihren Namen in die Tombola auf und mailen Ihnen heute noch weitere Infos.“ Doch bevor dieses Päckchen dann in die Post ging und dort eintreffen konnte, berief ich ein Meeting mit der Firma eben dieser Zielperson ein, in dem ich das gesamte Vorgehen berichtete und wie das Ziel komplett kompromittiert werden konnte.

Den Großteil dieses Erfolgs schreiben ich dem Einsatz eines einzigen Tools zu: Maltego. Damit konnte ich die Daten optimal sammeln, organisieren und kategorisieren.

Wie half Maltego mir bei diesem Auftrag?

Stellen Sie sich Maltego als relationale Datenbank mit Informationen vor, die Verknüpfungen zwischen einzelnen Infobrocken im Internet feststellen kann (in der Applikation wird dies als Entitäten, entities, bezeichnet). Maltego erleichtert vieles vom sogenannten Data Mining, z.B. das Aufspüren von E-Mail-Adressen, Websites, IP-Adressen und Domäneninformationen. Sie können beispielsweise mit nur wenigen Klicks nach jeder E-Mail-Adresse in der Zieldomäne oder anderen Domänen suchen. Indem ich einfach die „EMAIL“-Transformation hinzufügte, in die Box klickte und die gesuchte E-Mail eintippte, bekam ich eine Ansicht so wie in Abbildung 7.23.

f0723.jpg 

Abb. 7.23: Eine Darstellung der Informationen, die Sie von Maltego bekommen

Warum man Maltego nutzen sollte

Maltego automatisiert bei der Informationssammlung und Zuordnung großer Datenmengen sehr viel. Das erspart einem stundenlanges Googeln nach Informationen und dann auch noch herauszufinden, wie all diese Informationen korrelieren. Diese Datenbeziehungen herauszufinden, ist die eigentliche Power von Maltego. Obwohl das Mining auch sehr praktisch abläuft, besteht die wahre Hilfe für den Social Engineer darin, die Beziehungen der Informationen untereinander aufzudecken.

Bei www.social-engineer.org/se-resources habe ich ein paar Videos gepostet, in denen die Arbeit mit Maltego vorgestellt wird und wie man es optimal nutzt. Bei der erwähnten Geschichte trug Maltego wesentlich zum Erfolg dieses Auftrags bei, aber die Kompromittierung fand mit einem anderen bemerkenswerten Tool statt.

7.2.2   Das Social Engineer Toolkit

Social Engineers wenden viel Zeit auf, um den menschlichen Aspekt ihrer Skills zu perfektionieren, aber bei vielen Angriffsvektoren ist es erforderlich, E-Mails oder PDFs zu produzieren, in denen heimtückischer Code eingebettet ist.

Beides kann man manuell mit den vielen Tools aus BackTrack durchführen. Doch als ich mit der Website www.social-engineer.org begann, sprach ich mit Dave Kennedy, einem guten Freund von mir. Dave ist der Schöpfer eines sehr beliebten Tools namens FastTrack, in dem einige der üblichsten Angriffe, die man in Pentests ausführt, mit Python-Scripts und einem Web-Interface automatisiert werden. Ich erzählte Dave, es sei doch eine tolle Idee, wenn man so etwas wie FastTrack auch für Social Engineers entwickeln könnte: ein Tool, mit dem ein Social Engineer PDFs, E-Mails, Websites usw. mit nur wenigen Klicks erstellen könnte, damit er sich auf den „sozialen“ Aspekt des Social Engineering konzentrieren kann.

Dave ließ sich das durch den Kopf gehen und beschloss, er könne ein paar einfache Python-Scripts schreiben, mit denen der Social Engineer PDFs erstellen und E-Mails versenden kann, in denen bösartiger Code eingebettet ist. Das war die Geburt des Social Engineer Toolkit (SET). Zum Zeitpunkt dieses Schreibens ist SET bereits 1,5 Millionen Mal heruntergeladen worden und wurde schnell zum Standard-Toolkit für Social Engineering-Audits. In diesem Abschnitt stellen wir nun die wichtigsten Punkte von SET vor und wie man sie einsetzt.

Installation

Die Installation ist einfach. Sie müssen nur Python und das Metasploit-Framework installiert haben. Beides wird in der BackTrack-Distribution installiert, und man muss sich um kein Setup kümmern: Bei BackTrack4 ist sogar das SET-Tool installiert. Falls nicht bzw. wenn Sie bei Null starten, installieren Sie es einfach. Wechseln Sie in das Verzeichnis, in dem es abgelegt werden soll, und starten Sie den folgenden Befehl in einem Konsolenfenster:

   

svn co http://svn.secmaniac.com/social_engineering_toolkit set/

Nach Ausführung dieses Befehls haben Sie ein Verzeichnis namens set, in dem alle SET-Tools zu finden sind.

Der Start von SET

Auch der Start von SET ist ganz einfach. Tippen Sie im Verzeichnis set einfach ./set, um das Menü von SET zu starten.

So sieht dann das SET-Menü aus. Ein umfassendes Tutorial über alle Menüoptionen finden Sie unter www.social-engineer.org/framework/Computer_Based_Social_Engineering_Tools:_Social_Engineer_Toolkit_%28SET%29, aber in den folgenden Abschnitten werden zwei der am häufigsten eingesetzten Aspekte von SET vorgestellt.

Zuerst beschäftigen wir uns mit dem Spear Phishing und anschließend mit Website Cloning.

Spear Phishing mit SET

Mit Phishing ist gemeint, dass böswillige Scammer „große Netze auswerfen“, indem sie per E-Mail Leute auf Websites locken, die dort dann bösartige Dateien öffnen oder Informationen eintragen, die man für spätere Angriffe nutzen kann. Solcherart Angriffe zu erkennen und abzuschwächen, ist für das Überleben in der heutigen Internetwelt unverzichtbar.

Mit SET testet der Auditor seine Kunden, indem er passend zugeschnittene E-Mails entwickelt und dann protokolliert, wie viele Angestellte auf diese Angriffe hereinfallen. Diese Informationen werden dann für Schulungen eingesetzt, um den Mitarbeitern solche Fallen vor Augen zu führen.

Um mit SET ein Spear Phishing durchzuführen, wählen Sie Option 1. Nach Drücken der Taste haben Sie einige Optionen:

1.    Einen Angriff mit Massen-E-Mails ausführen

2.    Einen FileFormat-Payload erstellen

3.    Ein Social Engineering-Template erstellen

Mit der ersten Option starten Sie einen auf E-Mails basierenden Spear-Phishing-Angriff. Bei der zweiten Option erstellen Sie ein böswilliges PDF oder eine andere Datei, die Sie per E-Mail versenden können. Bei Option 3 erstellen Sie Vorlagen zur späteren Nutzung.

Um mit SET einen Angriff zu starten, wählen Sie einfach nur die passenden Optionen im Menü und klicken auf Launch. Wenn ich z.B. einen E-Mail-Angriff ausführen will, bei dem das Opfer ein als technischer Bericht getarntes böswilliges PDF geschickt bekommt, wähle ich Option 1.

Als Nächstes wähle ich einen Angriffsvektor (Option 6), der in vielen Versionen des Adobe Acrobat Reader vorkommt: Adobe util.printf() Buffer Overflow.

Mit den nächsten Schritten wird die technische Seite des Angriffs eingerichtet. Mit der Option 2, Windows Meterpreter Reverse_TCP, bekommen Sie über Metasploit die Reverse Shell, also eine Verbindung vom Computer des Opfers und den Port, über den man hineingelangt, um ein IDS oder andere Systeme zu umgehen.

Wählen Sie Port 443, damit der Traffic wie SSL-Traffic wirkt. Das SET erstellt das böswillige PDF und richtet den Listener ein.

Anschließend fragt SET, ob der Name des PDFs auf etwas Unverfängliches wie z.B. TechnischerSupport.pdf geändert werden soll. Anschließend werden Sie aufgefordert, die E-Mail-Informationen für Versand und Empfang einzutragen. Schließlich versendet SET eine professionell wirkende E-Mail, mit der der User so beschwindelt wird, dass er das angehängte PDF öffnet. Was das Opfer bekommt, wird beispielhaft in Abbildung 7.24 gezeigt.

f0724.jpg 

Abb. 7.24:    Eine harmlose E-Mail mit einem einfachen Anhang

Nachdem die E-Mail versendet wurde, richtet SET den Listener ein und wartet darauf, dass am Ziel die Datei geöffnet wird. Wird auf das PDF geklickt, reagiert der Listener, indem er sich um den eintreffenden böswilligen Code kümmert und dem Angreifer so Zugriff auf den Computer des Opfers liefert.

Überraschenderweise (oder abhängig von Ihrer Perspektive auch nicht so überraschend) braucht man für all das nur sechs oder sieben Mausklicks, sodass sich der Auditor frei um die eigentlichen Social Engineering-Aspekte dieses Angriffs kümmern kann.

Dies ist ein verheerender Angriff, weil er clientseitige Software ausnutzt. Sehr oft lässt sich auf dem Bildschirm gar nicht erkennen, dass etwas Schlimmes geschehen ist.

Dies ist nur einer von vielen Angriffen, die man mit SET starten kann.

Web Attack Vector

Mit SET kann der Auditor auch jede beliebige Website klonen und sie lokal hosten. Die Power dieser Art von Angriff besteht darin, dass der Social Engineer die User überreden kann, die Site zu besuchen, indem er z.B. behauptet, Entwickler zu sein, der gerade Änderungen vornimmt, oder auch mit dem Trick arbeitet, im URL einen Buchstaben wegzulassen oder hinzuzufügen, und die Leute so auf die neue, geklonte Site lockt.

Wenn man erstmal den „Besucher“ auf der geklonten Website hat, können verschiedene Teile dieses Angriffs gestartet werden: Informationssammlung, Abgreifen von Zugangsdaten und Exploits, um nur einige zu nennen.

Um diesen Angriff in SET zu starten, wählen Sie Option 2 im Hauptmenü: Website Attack Vectors. Mit dieser Option können Sie Folgendes auswählen:

1.    The Java Applet Attack Method

2.    The Metasploit Browser Exploit Method

3.    Credential Harvester Attack Method

4.    Tabnabbing Attack Method

5.    Man Left in the Middle Attack Method

6.    Return to the previous menu

Ein besonders böser Angriffsvektor ist die Option 1: Angriff per Java-Applet. Im Prinzip wird bei diesem Angriff dem User eine Java-Sicherheitswarnung präsentiert, die besagt, dass die Website von Firma XYZ signiert wurde, und den User bittet, diese Warnung zu bestätigen.

Diesen Angriff führen Sie aus, indem Sie erst Option 1 wählen und dann Option 2 Site Cloner.

Dann werden Sie gefragt, welche Site geklont werden soll. Hier können Sie ganz frei entscheiden: die Website des Kunden, die seines Lieferanten oder gar die Site einer Behörde. Wie Sie sich vorstellen können, hängt der Erfolg natürlich davon ab, dass die Site für die Zielperson relevant ist.

In diesem Beispiel soll Gmail geklont werden. Dann bekommen Sie Folgendes auf dem Bildschirm zu sehen:

SET supports both HTTP and HTTPS

Example: http://www.thisisafakesite.com

Enter the url to clone: http://www.gmail.com

[*] Cloning the website: http://www.gmail.com

[*] This could take a little bit...

[*] Injecting Java Applet attack into the newly cloned website.

[*] Filename obfuscation complete. Payload name is: DAUPMWIAHh7v.exe

[*] Malicious java applet website prepped for deployment

Wenn Sie fertig sind, fragt SET danach, welche Art Verbindung zwischen Ihnen und dem Opfer aufgebaut werden soll. Um eine in diesem Buch erläuterte Technologie zu nutzen, wählen Sie die Reverse Shell von Metasploit namens Meterpreter.

Bei SET haben Sie die Option, den Payload (Nutzlast, also die Aufgabe des Programms) verschieden zu kodieren. Das hilft zu vermeiden, von Antivirensystemen erwischt zu werden.

Als Nächstes startet SET seinen integrierten Webserver, hostet die Site und richtet einen Listener ein, um Ihr Opfer zu fangen, wenn es auf die Website kommt.

Nun ist es Sache des Social Engineer, entweder eine E-Mail zu formulieren oder einen Anruf zu tätigen, um das Ziel zur URL zu locken. Am Ende bekommt der User etwas präsentiert, was wie in Abbildung 7.25 aussieht.

Das Ergebnis wird dem Opfer letzten Endes mit einem Java-Applet präsentiert, das besagt, die Site sei von Microsoft signiert worden und der User müsse die Sicherheitszertifizierung erlauben, um auf die Site zugreifen zu können.

Sobald der User die Sicherheitszertifizierung bestätigt, bekommt der Angreifer einen Prompt für dessen Computer.

f0725.jpg 

Abb. 7.25: Wer würde einem digital signierten Applet von Microsoft misstrauen?

Andere Features von SET

SET wurde von Social Engineers für andere Kollegen entwickelt. Also basiert das Toolset auf den im Auditing-Business üblichen Angriffen.

SET wird ständig weiterentwickelt. In den vergangenen Monaten wurde SET beispielsweise aufgerüstet und beherrscht nun neben Website Cloning und Spear Phishing noch andere Angriffe. Außerdem beherbergt es auch noch einen Generator für infektiöse Medien. Mit einem solchen Generator erstellt der User eine DVD, CD oder einen USB-Stick mit einer böswilligen Datei, die man im Büro oder Gebäude der Zielperson „vergessen“ oder ablegen kann. Wird dieser Datenträger in einen Computer gesteckt, führt er den böswilligen Payload aus und sorgt dafür, dass der Rechner des Opfers kompromittiert wird.

SET kann auch einen einfachen Payload und den passenden Listener dafür erstellen. Wenn der Social Engineer einfach nur eine EXE-Datei benötigt, um per Reverse Shell die Verbindung zu seinem Server aufzubauen, kann er sie auf einem USB-Stick bei sich tragen, um es beim Audit einzusetzen. Wenn er an einen Rechner kommen kann, zu dem er Fernzugriff haben will, steckt er den USB-Stick hinein, verschiebt die Payload-Datei auf den Computer und klickt darauf. So hat er schnell eine Verbindung zu seinem eigenen Rechner.

Ein neuerer Angriffsvektor ist Teensy HID (Human Interface Device, Eingabegerät). Teensy-Geräte sind winzigkleine programmierbare Platinen, die man in Geräte wie Tastaturen, Mäuse oder andere elektronische Apparate einbauen kann, die in Computer gesteckt werden.

SET produziert die Programmierung, mit der man diesen kleinen Platinen sagt, was sie machen sollen, wenn sie eingesteckt werden. Häufig setzt man dafür Befehle wie Reverse Shells oder die Einrichtung von lauschenden Ports ein.

Eines der neuesten Features von SET ist eine Webschnittstelle für das Tool. Das bedeutet, ein Webserver wird automatisch starten, um das SET zur einfacheren Verwendung auf einer Webseite zu hosten. In Abbildung 7.26 sehen Sie, wie so etwas aussieht.

f0726.jpg 

Abb. 7.26: Die neue Webschnittstelle des Social Engineer Toolkit

Mit SET hat der Social Engineer ein leistungsfähiges Tool in der Hand, um bei Audits jene Schwächen zu testen, die in Firmen normalerweise vorkommen. Die Entwickler von SET sind immer offen für Vorschläge und für Hilfe darin, das Tool zu erweitern, damit es als Werkzeug noch populärer wird. Auch dafür finden Sie unter www.social-engineer.org eine vollständige Erläuterung aller Menüoptionen, um die Nutzung dieses verblüffenden Tools voll auszureizen. Schauen Sie auf www.social-engineer.org und www.secmaniac.com vorbei, um von aktuellen Entwicklungen des Social Engineer Toolkit zu erfahren.

7.2.3   Telefonbasierte Tools

Eines der ältesten Werkzeuge im Katalog des Social Engineer ist das Telefon. Heutzutage sind mit Handys, VoIP und eigenen Telekommunikationsanlagen die Optionen beträchtlich gewachsen, wie ein Social Engineer mit dem Telefon arbeiten kann.

Weil Werbeanrufe, Telefonmarketing und Umfragen per Telefon derartig zugenommen haben, muss ein Social Engineer sehr geschickt darin sein, das Telefon bei einem Audit erfolgreich einzusetzen. Trotz dieser Einschränkungen kann es mit dem Telefon als SE-Tool sehr schnell gehen, wenn man eine Firma kompromittieren will.

In einer Zeit, wo jeder (mindestens) ein Handy besitzt und die Leute im Bus, in der U-Bahn oder auf öffentlichen Plätzen sehr persönliche und tiefschürfende Gespräche führen, kann man das Telefon auf vielerlei Weise nutzen. Durch Belauschen von Gesprächen oder Anrufen auf dem Handy bekommt man weitere Angriffsvektoren, die früher nicht verfügbar waren. Mit der zunehmenden Zahl von Smartphones und computerähnlichen Telefonen speichern immer mehr Leute ihre Passwörter, persönlichen Daten und privaten Informationen im Handy ab. Das verleiht dem Social Engineer die Möglichkeit, sich der Zielperson und ihren Daten in den unterschiedlichsten Situationen zu nähern.

Wenn man überdies ständig Tag und Nacht verbunden ist, sind die Leute eher bereit, Informationen herauszurücken, wenn der Anrufer bestimmte „Kriterien“ erfüllt, die ihn glaubwürdig wirken lassen. Wenn z.B. die Anruferidentifikation darauf verweist, dass die Person aus der Firmenzentrale anruft, geben viele Leute Infos ohne irgendein Nachhaken weiter. Sowohl iPhone als auch Android-Smartphones haben Applikationen, mit denen man die Anruferidentifikation auf eine beliebige Nummer spoofen kann. Mit Apps wie SpoofApp (www.spoofapp.com) tätigt der Social Engineer Anrufe, die wirken, als kämen sie von einem beliebigen Ort auf der Welt, und das für relativ geringe Kosten pro Anruf. All dies stärkt die Glaubwürdigkeit Ihres Pretexts.

Die Arbeit mit dem Telefon beim Social Engineering lässt sich in zwei verschiedene Bereiche kategorisieren: die zugrundeliegende Technologie und die Planung, was gesagt werden soll.

Anruferkennung spoofen

Die Anruferkennung ist sowohl privat als auch beruflich zu einer üblichen Technologie geworden. Vor allem bei Handys, die mittlerweile viele Festnetzverbindungen ersetzen, gehört Anruferkennung zum Alltag. Sich darüber klar zu sein und das zum eigenen Vorteil einzusetzen, ist für den erfolgreichen Social Engineer Pflicht.

Das Spoofen der Anruferkennung (caller ID spoofing) beinhaltet im Prinzip die Veränderung der Information, die auf dem Display der Zielperson erscheint. Anders gesagt: Die Nummer, die beim Angerufenen erscheint, ist in Wirklichkeit nicht die, von der aus angerufen wird.

Sie könnte diese Information beispielsweise dafür nutzen, die Nummer eines Lieferanten zu spoofen, deren Anschluss Sie bei einem Dumpster Dive bei Ihrer Zielperson gefunden haben. Wenn der Social Engineer herausfindet, dass man mit der Firma XYZ für Computersupport zusammenarbeitet, besorgt er sich deren Nummer und spooft sie, wenn er einen Termin für den Nachmittag verabredet. Mit einer gespooften Anruferkennung können Sie Telefonate von den folgenden Orten „abgehen“ lassen:

       von einem entfernten Büro

       aus dem Büro heraus

       von einer Partnerorganisation

       von einer Versorgungs- oder Dienstleistungsfirma (Telekommunikation, Klempner, Internet, Schädlingsbekämpfung usw.)

       von einem Vorgesetzten

       von einer Lieferfirma

Wie gehen Sie also beim Spoofen vor? In den folgenden Abschnitten diskutieren wir Methoden und Equipment, mit denen ein Social Engineer Telefonnummern spoofen kann.

SpoofCard

Zu den beliebtesten Methoden gehört die SpoofCard (www.spoofcard.com). Mit einer solchen Karte können Sie in den USA die auf der Karte notierten 800-Nummer anrufen, Ihre PIN eingeben, dann die Nummer, die auf dem Display des Angerufenen erscheinen soll, und schließlich die anzurufende Nummer.

Zu den neuen Features der SpoofCard gehört eine Gesprächsaufzeichnung und dass die Stimme so verfremdet wird, dass sie männlich oder weiblich klingt. Diese Features maximieren die Möglichkeit zu verbergen, wer anruft. Die Zielperson wird überlistet und gibt die vom Social Engineer gewünschten Informationen preis.

Positiv zu vermerken ist, dass die SpoofCard einfach zu verwenden ist, keine zusätzliche Hardware oder Software neben dem Telefon benötigt und schon von Tausenden Kunden erfolgreich eingesetzt worden ist. Das einzig Negative sind die damit verbundenen Kosten.

SpoofApp

Weil so viele Leute Smartphones wie das iPhone, Android oder den BlackBerry nutzen, nehmen die Apps zu, mit denen man Anruferkennungen spoofen kann. SpoofApp nutzt SpoofCards (siehe voriger Abschnitt), aber bündelt dessen Features in einem Paket für Ihr Handy.

Anstatt eine gebührenfreie Nummer anzurufen, geben Sie einfach die gewünschte Nummer in die Applikation ein und dann die Nummer, die angezeigt werden soll. SpoofApp verbindet Sie dann mit dem Ziel und stellt die eingegebene Information auf dem Display des Angerufenen dar. All dies ist so einfach wie der Klick auf einen Button. (Diese Dienste sind nur in den USA verfügbar. In Deutschland ist es illegal, eine andere als die eigene Nummer anzeigen zu lassen. Für die Bundesnetzagentur ist es sogar problematisch, wenn die Anrufernummer unterdrückt wird. A.d.Ü.)

Asterisk 

Wenn Sie einen VoIP-Dienst und einen Computer übrig haben, können Sie auch mit einem Asterisk-Server die Anruferkennung spoofen. Infos über diese Methode finden Sie unter www.social-engineer.org/wiki/archives/CallerIDspoofing/CallerID-SpoofingWithAsterisk.html. Ein Asterisk-Server ähnelt in seiner Funktionsweise der SpoofCard, außer dass der zum Spoofen der ID verwendete Server nun Ihnen gehört. Dies ist recht attraktiv, weil einem dadurch mehr Freiheiten zur Verfügung stehen und man keine Angst zu haben braucht, dass die Verbindung abreißt oder die Minuten verbraucht sind.

Zu den positiven Aspekten von Asterisk zählen, dass es nach dem Setup kostenlos und einfach zu verwenden sowie flexibel ist und Sie allein alles kontrollieren. Auf der Negativseite schlägt zu Buche, dass man einen Extracomputer oder eine virtuelle Maschine braucht, sich mit Linux auskennen muss und einen aktuellen Provider für VoIP-Services benötigt.

Das Tolle an dieser Option ist, dass alle Informationen über den Anrufer und die angerufene Person beim Social Engineer bleibt. Persönliche und Kontodaten gelangen nicht in die Hand von Drittanbietern.

Die Arbeit mit einem Skript

Das Telefon ist das bevorzugte Instrument des Social Engineer. Es bietet neben der Anonymität die Möglichkeit, mit zahlreichen Zielpersonen zu üben, indem man nur einen kleinen Teil des Pretexts ändert.

Beim Einsatz des Telefons im Social Engineering bleibt zu berücksichtigen, dass man mit Skripts arbeiten sollte, also mit Dialogen oder Handlungsabläufen wie bei einem Drehbuch. Diese Skripts sind wesentlich, weil man damit sichergeht, dass alle nötigen Elemente bedacht und eingebaut werden. Allerdings sollte ein solches Skript den Dialog nicht Wort für Wort beinhalten. Von nichts wird das Ziel mehr irritiert als von einer Person, die klingt, als ob sie ihren Text vom Blatt abliest.

Nachdem Sie ein Skript verfasst haben, sollten Sie es gründlich einüben, um real, authentisch und glaubwürdig zu klingen.

Hier wird sich Ihre Vorarbeit der Informationssammlung auszahlen. Je besser die vorab gesammelten Informationen sind, desto klarer wird das Skript des Social Engineer. Für mich ist es hilfreich, mir einiges über die Hobbys und Interessen der Zielperson angelesen zu haben, um damit Rapport zu schaffen.

Wenn Sie sich alle Informationen zurechtgelegt haben, ist es hilfreich, den Angriffsplan zu skizzieren. Im bereits erwähnten Fall (dem CEO des Druckereiunternehmens) habe ich mir eine Gliederung aufgeschrieben, um die zentralen Punkte meines Anliegens einzusetzen, Höhepunkte, die ich erwähnen wollte und auch Anweisungen für mich selbst wie „klar und deutlich sprechen“, „vergiss nicht, auf die Wohltätigkeit hinzuweisen“, „langsam machen“ usw., um mich während des Telefonats fokussiert zu halten.

Der Vorteil eines Skripts oder einer Gliederung im Vergleich mit einem ausformulierten Manuskript ist, dass Sie flüssig und natürlich klingen und sich kreative Freiheiten erlauben können, wenn Sie ungeplant mit etwas konfrontiert werden.

Auch weiterhin bleibt das Telefon ein äußerst wirksames Instrument für den Social Engineer. Wenn es anhand der bisher in diesem Buch erwähnten Prinzipien eingesetzt wird, bringt es ihn auf den Weg des Erfolgs.

7.2.4   Passwort-Profiler

Eine weitere Gruppe erwähnenswerter Tools hilft Ihnen dabei, ein Profil der Zielperson/en und ihrer verwendeten Passwörter zu erstellen. Wenn Sie alle erreichbaren Informationen gesammelt haben, entwickeln Sie als Nächstes ein Profil. Mit einem Profil planen Sie ein paar Angriffsvektoren vor, von denen Sie das Gefühl haben, dass sie funktionieren könnten, und mit denen Sie eine Liste potenzieller Passwörter erstellen, um sie in einem Brute-Force-Angriff auszuprobieren. Wenn Sie eine Liste möglicher Passwörter mitbringen, können Sie besser mit dem Tool arbeiten, falls Sie mit dieser Option konfrontiert werden. In diesem Abschnitt wird es um einige erhältliche Profiler gehen.

Mit solchen Tools sparen Sie bei der nötigen Arbeit Stunden oder gar Tage ein.

Jährlich steigt die Zahl der Personen, die trotz aller Warnungen Opfer ganz simpler Angriffe werden. Besonders erstaunlich ist, wie viele Menschen alle möglichen Informationen über sich, ihre Familien und ihr Privatleben im Internet aufführen. Wenn ein Social Engineer ein Profil aus der Nutzung sozialer Medien mit dem kombiniert, was sonst noch im Netz zu finden ist, und dabei die im weiteren Verlauf erläuterten Tools nutzt, kann er das ganze Leben eines Menschen erfassen.

Das funktioniert u.a. deswegen so prima wegen der Art und Weise, wie viele Menschen sich für ihr Passwort entscheiden. Belegt ist, dass viele Leute das gleiche Passwort andauernd und an den verschiedensten Stellen einsetzen. Schlimmer noch: Viele wählen ihre Passwörter so, dass sie einfach zu erraten sind und man dafür wenig oder gar kein Geschick braucht.

Kürzlich führte die Internetsicherheitsfirma BitDefender eine Studie durch, die diese Tatsache belegt. BitDefender analysierte die Passwortnutzung von über 250.000 Usern. Das Ergebnis war erstaunlich: 75 % verwendeten für E-Mail das gleiche Passwort wie für alle ihre Konten bei den sozialen Medien. Das sollte besonders erschreckend wirken vor dem Hintergrund einer aktuellen Nachricht, dass die Daten von 171 Millionen Facebook-Nutzern nun als Torrent-Datei im Umlauf sind. Die komplette Story lesen Sie unter www.securityweek.com/study-reveals-75-percent-individuals-use-same-password-social-networking-and-email.

2009 führte ein Hacker mit dem Spitznamen Tonu eine sehr interessante Recherche durch. Ohne böse Absicht gelangte er an eine kürzlich gelöschte URL einer beliebten Social Media Site. Er spoofte die Seite und protokollierte für eine kurze Zeit die Versuche der Leute, sich einzuloggen.

Das Ergebnis finden Sie unter www.social-engineer.org/wiki/archives/BlogPosts/MenAndWomenPasswords.html.

Einige dieser Daten schockieren auch abgebrühte Sicherheitsprofis: Von 734.000 Personen nahmen 30.000 ihren Vornamen als Passwort und fast 14.500 ihren Nachnamen. Obwohl schon diese Zahlen betroffen machen, haut einen wirklich um, wie das noch getoppt wird: Die acht am häufigsten verwendeten Passwörter werden in der folgenden Tabelle gezeigt.

   

Passwort

Geschlecht

Anzahl der User

123456

M

17601

password

M

4545

12345

M

3480

1234

M

2911

123

M

2492

123456789

M

2225

123456

W

1885

qwerty

M

1883

17.601 Männer verwenden das Passwort 123456? Welch niederschmetternde Statistik!

Als wäre das nicht schon schockierend genug, postete Tonu weitere Statistiken: Über 66 % der User auf dieser Liste arbeiten mit Passwörtern, die sechs bis acht Zeichen lang sind. Mit dieser Information, dass die meisten Leute einfache Passwörter verwenden, liegt es für einen Social Engineer nahe, sich mit einem bekannten Tool zum Passwörter knacken wie das in Abbildung 7.27 gezeigte Cain and Abel an die Arbeit zu machen.

Sie werden feststellen, dass im Kasten „Time Left“ der Wert 3,03909 Tage steht. Für die meisten Hacker sind drei Tage Wartezeit recht bescheiden, wenn sie anschließend direkten Zugang auf die Server haben. Sind drei Tage wirklich so besonders lang, um auf das Admin-Passwort zu warten?

f0727.jpg 

Abb. 7.27: Nur drei Tage, um ein einfaches Passwort zu knacken

f0728.jpg 

Abb. 7.28: Die Box mit der verbleibenden Zeit ist auf 5 Trillionen Jahre gestiegen.

Damit diese Information wirklich ins Schwarze trifft, schauen Sie sich Abbildung 7.28 an. Darin wird veranschaulicht, welchen Unterschied es macht, wenn der gleiche User ein Passwort mit 14 bis 16 Zeichen verwendet und dabei Groß- und Kleinschreibung verwendet als auch nicht-alphanumerische Zeichen.

Über 5 Trillionen Jahre zu warten, scheint doch ein wenig lang, oder? Indem man einfach bis zu 14 Zeichen nimmt und einige etwas ausgefallenere Zeichen (also *, &, $, % und ^), geht die Chance, dass ein Hacker das Passwort durch Brute Force errät, praktisch gegen Null.

Weil viele User nicht mit diesem Grad Komplexität arbeiten, ist es nicht schwer, Schwächen in vielen User-Passwörtern zu erkennen. Bestimmte Tools, die wir gleich vorstellen, helfen bei der Profilerstellung potenzieller Passwörter.

Common User Password Profiler

Zu den wichtigen Aspekten eines erfolgreichen Social Engineering-Audits gehört, das Profil einer Person festzustellen. Wie bereits erläutert, zeigen die Recherchen von Tonu, dass von 734.000 Personen über 228.000 nur Passwörter mit bis zu sechs Zeichen einsetzen. Über 17.000 davon hatten gar noch das Passwort „123456“, und fast 4.600 nahmen „password“.

Der Common User Password Profiler (CUPP) ist ein Tool, mit dem das Profiling von Passwörtern zur einfachen Aufgabe wird.

Murgis Kurgan, auch bekannt als j0rgan, schuf dieses erstaunliche kleine Tool. Es läuft als Script in BackTrack, der führenden Distribution für Penetrationstests, oder man kann es auch von www.social-engineer.org/cupp.tar.gz herunterladen.

Die üblichste Form der Authentifizierung ist die Kombination eines Benutzernamens und eines Passworts oder einer Passphrase. Wenn beides mit den Werten in einer lokal gespeicherten Tabelle übereinstimmt, ist der User für eine Verbindung authentifiziert. Mit Passwortstärke ist der Schwierigkeitsgrad gemeint, das Passwort durch kryptografische Techniken oder auf Bibliotheken basierenden automatischen Tests mit alternativen Werten zu erraten oder zu knacken.

Ein schwaches Passwort ist sehr kurz oder verwendet nur alphanumerische Zeichen, wodurch die Entschlüsselung kinderleicht wird. Ein schwaches Passwort kann auch von jemandem leicht erraten werden, der ein Profil des Users zusammengestellt hat, z.B. Geburtstag, Spitzname, Adresse, Name von Haustieren oder Verwandten oder ein bekanntes Wort wie Gott, Liebe, Geld oder Passwort.

Weil die meisten User schwache, leicht zu erratende Passwörter verwenden, ist CUPP das perfekte Tool fürs Profiling. Es kann für legale Penetrationstests verwendet werden oder bei forensischen Ermittlungen von Straftaten.

Das folgende Listing stammt aus einer CUPP-Session in BackTrack4:

   

root@bt4:/pentest/passwords/cupp# ./cupp.py -i

[+] Insert the information about the victim to make a dictionary [low cases!]

[+] If you don’t know all the info, just hit enter when asked! ;)

> Name: John

> Surname: Smith

> Nickname: Johnny

> Birthdate (DDMMYYYY; i.e. 04111985): 03031965

> Wife’s(husband’s) name: Sally

> Wife’s(husband’s) nickname: Sals

> Wife’s(husband’s) birthdate (DDMMYYYY; i.e. 04111985): 05011966

> Child’s name: Roger

> Child’s nickname: Roggie

> Child’s birthdate (DDMMYYYY; i.e. 04111985): 05042004

> Pet’s name: Max

> Company name: ABC Paper

> Do you want to add some key words about the victim? Y/[N]: Y

> Please enter the words, separated by comma. [i.e. hacker, juice, black]: christian,polish,sales person

> Do you want to add special chars at the end of words? Y/[N]: N

> Do you want to add some random numbers at the end of words? Y/[N]n

> Leet mode? (i.e. leet = 1337) Y/[N]: Y

[+] Now making a dictionary...

[+] Sorting list and removing duplicates...

[+] Saving dictionary to John.txt, counting 13672 words.

[+] Now load your pistolero with John.txt and shoot! Good luck!

Beachten Sie, dass aus den eingegebenen Informationen am Ende eine Wörterbuchdatei mit 13.672 Passwörtern entstanden ist. Diese Art von Tool ist deswegen so wirksam, weil es einem eine Menge Ratereien erspart, wenn es um das Erraten von Passwörtern beim Social Engineering geht.

CeWL

Wie seine Autoren beschreiben, ist CeWL eine Ruby-Applikation, die eine angegebene URL bis zu einer festgelegten Tiefe durchsucht, optional externen Links folgt und dann eine Wortliste ausgibt, die man für solche Passwortknacker wie John the Ripper nutzen kann. Weitere Informationen über CeWL finden Sie auf dessen Website www.digininja.org/projects/cewl. php. Schauen Sie sich hier eine CeWL-Session mit BackTrack4 an:

   

root@bt:/pentest/passwords/cewl# ruby cewl.rb

 --help cewl 3.0 Robin Wood (dninja@gmail.com)

(www.digininja.org)

Usage: cewl [OPTION] ... URL --help, -h: show help --depth x, -d x: depth to spider to,

default 2 --min_word_length, -m: minimum word length, default 3 --offsite, -o: let the

spider visit other sites --write, -w file: write the output to the file --ua, -u user-

agent: useragent to send --no-words, -n: don’t output the wordlist --meta, -a file:

include meta data, optional output file --email, -e file: include email addresses,

optional output file --meta-temp-dir directory: the temporary directory,default /tmp -v:

verbose URL: The site to spider.

 

root@bt:/pentest/passwords/cewl# ./cewl.rb -d 1 -w pass.txt http://www.targetcompany.com/about.php

root@bt:/pentest/passwords/cewl# cat passwords.txt |wc -l 430

root@bt:/pentest/passwords/cewl#

Setzt man CeWL auf die Zielfirma an, bekommt man aus einer Session bereits 430 potenzielle Passwörter, die man ausprobieren kann – und das mit nur einer Seite aus deren Webpräsenz!

CUPP und CeWL sind nur zwei Tools, die Ihnen für das Profiling und Generieren von Listen potenzieller Passwörter zur Verfügung stehen. Eine interessante Übung wäre, in eines dieser Tools Ihre eigenen Informationen einzugeben und zu sehen, ob in der generierten Liste tatsächlich auch Passwörter stehen, die Sie selbst verwenden. Das kann sehr ernüchternd sein und dafür sorgen, dass Sie die Passwortsicherheit sehr, sehr ernst nehmen.

7.3   Zusammenfassung

Tools sind ein wichtiger Aspekt des Social Engineering, aber allein damit wird man kein Social Engineer. Ein Tool alleine bleibt nutzlos, aber das Wissen, wie man es nutzt und einsetzt, ist unschätzbar.

Wenn man ein alles durchdringendes Thema in diesem Kapitel nennen müsste, dann wäre es: Übung macht den Meister. Egal ob Sie mit Telefon, Handy, software-basierten Tools, dem Internet oder Spionagegeräten arbeiten – um erfolgreich zu sein, müssen Sie deren Nutzung und Einsatz üben. Wenn Sie z.B. beim Social Engineering telefonisch arbeiten, können Sie Spoofing-Technologien oder gar Stimmverzerrer nutzen. Doch wenn Sie all diese tolle Technologien einsetzen, aber beim Sprechen gekünstelt klingen, weil Sie ablesen, nervös und flatterig sind, weil Sie sich nicht gut vorbereitet haben oder Wissenslücken erkennbar werden, dann ist jegliche Hoffnung auf Erfolg vergeblich und wahrscheinlich auch jede Glaubwürdigkeit hinüber. Dieses Prinzip lässt sich darauf zurückführen, beim Pretexting sehr versiert sein zu müssen. Wie würde die Person sprechen, die Sie verkörpern wollen? Was würde sie sagen und wie redet sie genau? Welche Kenntnisse kann man für sie voraussetzen? Nach welchen Informationen würde sie fragen?

Egal ob der Social Engineer mit Soft- oder Hardware-Werkzeugen arbeitet, er muss einfach alles intensiv lernen und sich mit allen Eigenschaften und Eigenarten auskennen, sonst geht das Auditing schief.

Tools ersparen einem unter Umständen viel Zeit bei den Audits und können eventuell auch Lücken beim Auditor füllen. Diese Dynamik wird besonders deutlich, wenn wir uns um die Analyse der Fallstudien in Kapitel 8 kümmern.