Internet-Datensuchmaschine für Sicherheitsforscher

von

Die Bedeutung von Suchmaschinen für IT-Sicherheitsexperten

Im 21. Jahrhundert sind Suchmaschinen zu einem unverzichtbaren Werkzeug für jedermann geworden, insbesondere auch für IT-Sicherheitsexperten. Ob wir eine Produktbewertung überprüfen, ein Hotel buchen oder ein Synonym suchen, Suchmaschinen wie Google sind allgegenwärtig. Neben Google gibt es viele andere Suchmaschinen wie Safari, Bing, Yandex oder DuckDuckGo, die den Markt beleben.

Doch sind alle sicherheitsrelevanten Informationen in diesen allgemein zugänglichen Suchmaschinen zu finden? Die Antwort ist nein. Was also tun, wenn man dringend Daten benötigt, die für die Sicherheit eines Unternehmens oder einer Webseite von entscheidender Bedeutung sind? Was, wenn die benötigten Informationen in diesen Standard-Suchmaschinen nicht existieren?

Kein Grund zur Sorge, denn es gibt eine Lösung: Spezialisierte Suchmaschinen, die mit Werkzeugen ausgestattet sind, die gezielt auf die Bedürfnisse von Cybersicherheitsteams und Sicherheitsforschern zugeschnitten sind. Diese Suchmaschinen ermöglichen die Suche nach wertvollen Informationen, die für Sicherheitsoperationen genutzt werden können. Sie sind nützlich, um exponierte Geräte im Internet aufzuspüren, Bedrohungen zu verfolgen, Schwachstellen zu analysieren, sich auf Phishing-Simulationen vorzubereiten und vieles mehr.

Dieser Artikel stellt einige dieser spezialisierten Suchmaschinen vor und beleuchtet, warum sie für die Sicherheitsforschung so wertvoll sind.

Die Relevanz der Informationsbeschaffung in der Sicherheitsforschung

Das Sammeln von Informationen ist der erste Schritt in der Sicherheitsforschung, um Daten und Privatsphäre zu schützen und potenzielle Bedrohungen zu analysieren. Dieser Prozess zielt auf:

  • Das Erheben von systembezogenen Daten wie OS-Hostnamen, Systemtypen, Systembanner, Systemgruppen und mehr.
  • Das Sammeln von Netzwerkinformationen, wie z.B. private, öffentliche und zugehörige Netzwerk-Hosts, Domainnamen, Routing-Informationen, private und öffentliche IP-Blöcke, offene Ports, SSL-Zertifikate und UDP- und TCP-Dienste.

Die Vorteile dieser Datenerhebung sind vielfältig:

  • Ein umfassendes Bild aller mit einem Netzwerk verbundenen Geräte, deren Benutzer und Standorte ermöglicht eine bessere Absicherung. Auffälligkeiten können so schnell erkannt und das System oder der Benutzer gegebenenfalls blockiert werden.
  • Die erfassten Daten helfen, Schwachstellen zu erkennen und zu beheben, bevor diese zu einem Sicherheitsproblem werden.
  • Ein tieferes Verständnis möglicher Angriffsmuster und -methoden, wie Phishing, Malware oder Bots wird ermöglicht.
  • Die Informationen helfen dabei, die Funktionsweise der eigenen Produkte zu analysieren, lukrative Geschäftsfelder zu identifizieren und Marktinformationen für die Gestaltung zukünftiger Angebote zu gewinnen.

Im Folgenden werden einige der besten Suchmaschinen für Internetdaten vorgestellt, die sich hervorragend für Sicherheitsexperten eignen.

Shodan

Shodan ist eine führende Suchmaschine für Sicherheitsrecherchen, die sich auf internetverbundene Geräte spezialisiert hat. Weltweit nutzen Tausende von Sicherheitsexperten, Forschern, CERTs und großen Unternehmen dieses Tool. Shodan erfasst nicht nur Webseiten, sondern auch Webcams, IoT-Geräte, Kühlschränke, Gebäude, Smart-TVs und Kraftwerke. Es ermöglicht die Aufdeckung eigener digitaler Fußabdrücke und die Verfolgung aller Systeme im Netzwerk, auf die Benutzer direkt über das Internet zugreifen können.

Durch Shodan kann man verstehen, wer ein Produkt verwendet und wo es eingesetzt wird. Dadurch gewinnt man wertvolle Geschäfts- und Marktinformationen. Die Server von Shodan sind weltweit verteilt und rund um die Uhr verfügbar, um stets aktuelle Daten liefern zu können. Shodan bietet auch eine öffentliche API, die es anderen Tools ermöglicht, auf die Daten zuzugreifen. Integrationen für Nmap, Chrome, Firefox, BAZL, Maltego und Metasploit werden unterstützt.

ZoomEye

ZoomEye, die erste chinesische Suchmaschine für den Cyberspace, wird von Knownsec betrieben. ZoomEye kartiert den Cyberspace durch ständiges Scannen vieler Serviceprotokolle und Ports mit Hilfe einer Vielzahl von Mapping-Knoten. Dabei werden globale Vermessungen auf Basis von IPv6-, IPv4- und Site-Domain-Namen-Datenbanken durchgeführt.

Die jahrelange technologische Entwicklung hat zur Erstellung einer eigenen Suchmaschine für den Cyberspace geführt. ZoomEye fördert die Trendanalyse von gesammelten Daten, die dynamisch über Raum und Zeit abgebildet werden.

Mit der Komponentensuchnavigation von ZoomEye können Zielobjekte präzise und schnell entdeckt werden. Dazu gibt es eine Vielzahl von Gerätetypen wie Gateways, CDNs, Big Data-Systeme, Aufzeichnungsgeräte, CMS, Web-Frameworks und Softwareplattformen. Die Suchmaschine ermöglicht es auch, nach speziellen Themen wie Datenbanken, Branchen, Blockchain, Firewalls, Router, Netzwerkspeicher, Kameras und Drucker zu suchen und die Auswirkungen von Schwachstellen zu überprüfen. ZoomEye bietet einen kostenlosen Plan für bis zu 10.000 Ergebnisse pro Monat an. Bezahlte Pläne beginnen bei 35 USD pro Monat für 30.000 Ergebnisse.

Censys

Die Censys-REST-API ist eine sichere und zuverlässige Option für die Durchführung von Datensuchen zu Sicherheitszwecken. Alle Informationen, die über die Webschnittstelle zugänglich sind, können auch über diese API programmgesteuert abgerufen werden. Die API-Endpunkte erfordern eine Authentifizierung über die API-ID. Censys bietet eine Reihe von API-Endpunkten:

  • Der „search“-Endpunkt ermöglicht die Suche in den Alexa Top Million-, IPv4- und Zertifikatindizes und gibt die aktuellsten Daten für ausgewählte Felder zurück.
  • Der „view“-Endpunkt sammelt strukturierte Daten zu einer bestimmten Website, einem Host oder einem Zertifikat, wenn die Website-Domain, die IP-Adresse des Hosts oder der SHA-256-Fingerabdruck des Zertifikats angegeben wird.
  • Der „report“-Endpunkt ermittelt die Gesamtwertaufschlüsselung der für eine bestimmte Abfrage zurückgegebenen Ergebnisse.
  • Der „bulk“-Endpunkt sammelt strukturierte Daten zu Massenzertifikaten, sobald die SHA-256-Fingerabdrücke dieser Zertifikate bekannt sind.
  • Der „account“-Endpunkt ruft Kontodaten von Censys ab, einschließlich der Kontingentnutzung für die aktuelle Abfrage.
  • Der „data“-Endpunkt zeigt Metadaten der Informationen an, die von Censys heruntergeladen werden können.

GreyNoise

Mit der benutzerfreundlichen Oberfläche von GreyNoise kann man sofort mit der Datenrecherche beginnen. GreyNoise kuratiert Daten über IP-Adressen, um Sicherheitslösungen zu ergänzen und Sicherheitsanalysten von irrelevanten Warnmeldungen zu entlasten. Das „Rule It Out (RIOT)“-Dataset von GreyNoise bietet Einblicke in die Kommunikation zwischen Benutzern und Geschäftsanwendungen oder Netzwerkdiensten. Diese Perspektive hilft Analysten, harmlose Aktivitäten auszublenden und sich auf tatsächliche Bedrohungen zu konzentrieren.

Die Daten werden über SOAR, SIEM, TIP-Integrationen, Befehlszeilentools und eine API bereitgestellt. Analysten können die Aktivitäten auch über die Analyse- und Visualisierungstools von GreyNoise verfolgen. Werden Scans von einem System aus dem eigenen Netzwerk registriert, wird man sofort gewarnt, dass dieses Gerät möglicherweise kompromittiert ist. Das Sicherheitsteam kann auch Aktivitäten im Internet aufdecken, indem es Daten mit der GreyNoise Query Language (GNQL) durchsucht. GreyNoise identifiziert Verhaltensmuster mit CVEs und Tags und zeigt Bedrohungsinstanzen an. Zudem werden Daten von Tausenden von IP-Adressen analysiert, um Absichten und Methoden zu ermitteln.

SecurityTrails

Mit den präzisen und umfassenden Daten von SecurityTrails können Sicherheitsexperten ihre Verteidigung stärken und Geschäftsentscheidungen auf einer soliden Informationsbasis treffen. Die API ist schnell und immer verfügbar und ermöglicht den Zugriff auf historische und aktuelle Daten. Es können DNS-Einträge im Verlauf angezeigt werden, die vollständig indiziert und jederzeit zugänglich sind. Zudem kann man in rund 3 Milliarden aktuellen und historischen WHOIS-Daten suchen und WHOIS-Änderungen verfolgen. Die Datenbank wird täglich aktualisiert und umfasst mehr als 203 Millionen Datensätze.

Mit diesen Daten kann man Domainnamen suchen und einsehen, welche Technologien auf Webseiten eingesetzt werden. SecurityTrails bietet passive DNS-Datensätze aus über 1 Milliarde Einträgen pro Monat. Zudem erhält man Echtzeitinformationen über IPs, Hostnamen und Domains. Sogar alle bekannten Subdomains können gefunden werden. Die indizierten Daten und die Tagging-Funktion ermöglichen eine schnelle Suche.

SecurityTrails identifiziert verdächtige DNS-Änderungen und ermöglicht die Korrelation mit der API. Durch Reputationsbewertungssysteme kann man Daten nutzen, um böswillige Akteure, ihre IPs und Domains zu identifizieren. So können Bedrohungen gejagt und Command & Control-Server verfolgt werden, um Malware-Informationen zu erhalten. Es ist auch möglich, Online-Betrugsfälle zu untersuchen, Akquisitionen und Fusionen aufzuzeigen und versteckte Details sowie Online-Assets aufzudecken. Marken können durch die Überwachung des Einsatzes von Markenzeichen oder urheberrechtlich geschütztem Material für betrügerische Domains geschützt werden.

Fazit

Die Anzahl der Cyber-Sicherheitsprobleme nimmt zu. Deshalb ist es wichtig, eigene Daten und Privatsphäre zu schützen. Hierbei ist die rechtzeitige Behebung von Schwachstellen der Schlüssel. Spezialisierte Suchmaschinen für Internetdaten helfen dabei, Angreifern immer einen Schritt voraus zu sein und bessere Geschäftsentscheidungen zu treffen.

Weitere Artikel:

  1. 6 HTTP-MITM-Angriffstools für Sicherheitsforscher
  2. HTTPS ist fast überall. Warum ist das Internet jetzt nicht sicher?
  3. Hüten Sie sich vor diesen 8 Online-Betrügereien beim Surfen im Internet
  4. So erstellen Sie einen Internet-Kill-Switch unter Windows 11/10?