Blickwechsel 08.06.2021
Deine Fragen an einen Hacker
Das Thema Hacking begleitet unseren Fachexperten Mark Berger seit seiner Jugend. Zwischenzeitlich schreibt er Bücher darüber und arbeitet als IT-Forensiker. Im Blickwechsel stellte er sich Deinen Fragen. Alles zum Blickwechsel

Wie sicher ist Gutefrage?

2 Antworten

Ich sehe, dass hier auf Sicherheit geachtet wird aber keine Seite und nichts ist völlig sicher!

Kann man die Identität der Nutzer feststellen?

Das kommt auf verschiedene Faktoren an! Gäbe es hier zB eine SQLi-Lücke oder XSS-Lücke dann könnte man so mehr Daten über den User erfahren – zB Email, Geburtsdatum, etc.

Aber auch ohne eine solche Lücke gibt es Möglichkeiten je nach dem wie sich der User im Netz verhält:

  • Man kann den Nicknamen googeln und schauen ob sich andere Profile finden lassen.
  • Gleiches geht mit dem Profilbild.
  • Dazu kann man die Fragen und Antworten aufmerksam lesen – viele verraten gewisse Details wie Stadt, Interessen, Hobbies, usw.
  • Gleiches gilt natürlich auch für das Profil.
  • Man kann den User kontaktieren mit Freundschaftsanfragen oder Komplimenten und versuchen durch einen Dialog Informationen herauszubekommen.
  • etc.

All das kann reichen um weitere Profile und weitere Informationen zu gewinnen. Diese gilt es nur zusammenzutragen, zu filtern und Querverweise zu ziehen bis sich ein Bild ergibt.

Das nennt man dann auch OSINT. Neben Google gibt es viele spezialisierte Suchmaschinen für IP-Adressen, Email-Adressen, Soziale Medien oder auch Bilder.

Vor allem Bilder können viel Verraten von Kameramodell über Fotoausrüstung bis hin zu GPS-Koordiaten oder Klarnamen in Copyright-Vermerken. Aber auch die Inhalte kann man gut nutzen um markante Orte im Hintergrund zu suchen oder nur das Gesicht um weitere Profile zu finden.

Wie haben Sie mit Ihrem jetzigen Beruf als Jugendlicher angefangen?

Siehe Frage „Beweggründe, mit dem Hacken anzufangen?“!

Welche Tipps hätten Sie für einen Anfänger?

Das werde ich laufen gefragt – darum habe ich einen Blogpost zu diesem Thema erstellt: https://hackenlernen.com/blog.php?t=hacken_lernen_hacker_werden

Woher ich das weiß:Berufserfahrung

Hallo Schmiddtmitdt,

um diese Frage auch aus unserer Sicht zu beantworten:

  • Wir haben in der Vergangenheit mehrmals externe PenTester beauftragt die Sicherheit der Plattform zu testen und Sicherheitslücken zu finden.
  • Die dort identifizierten, kleineren Schwachstellen wurden umgehend auf Missbrauch überprüft und beseitigt. Wir nehmen die Verantwortung gegenüber unserer Community sehr ernst und uns ist nicht bekannt das wir je ein Datenleck hatten. 
  • Davon abgesehen ist gutefrage als anonyme Plattform kein besonders interessantes Angriffsziel. So wird hier z.B. das Geburtsdatum weder verpflichtend abgefragt noch validiert. 
  • Die angesprochenen Information die normalerweise in Bildern eingebettet sind (EXIF Daten) löschen wir beim hochladen, sodass auch dort unsere User sicher vor unbeabsichtigter Weitergabe ihrer Daten sind. 
  • Und wer sich einem OSINT Angriff ausgesetzt sieht, dem können wir unsere Melde Funktion hinter den drei Punkten sehr empfehlen.

Viele Grüße

Howard

Woher ich das weiß:Berufserfahrung

Hallo, meintest du Phishing?

OSINT wäre die Suche nach Informationen im Internet - also zB wenn ich den Usernamen google um zu sehen ob dieser noch auf anderen Plattformen/Foren verwendet wird oder wenn ich ein Profilbild oder ein vom User hochgeladenes Bild durch eine Bildsuche schicke um darüber mögliche Profile auf anderen Plattformen zu finden.

Daher weiß ich nicht ganz was genau du meinst denn das Melden eines Beitrags oder Users wird dem nicht von der Verwendung diverser Suchmaschinen abhalten. Die Fragen kann ich auch lesen ohne angemeldet zu sein - also würde das Blocken eines Userkontos auch nicht verhindern das derjenige weiter Infos sammelt.

Bei OSINT geht es um das Puzzeln - Dinge wie Vornamen und/oder (eventuell mal in einer Antwort genannt), Interessen (ersichtlich aus den Fragen, Antworten, etc.) und Usernamen, Schreibstiel und vieles mehr verraten alle ein wenig. Wenn man das mit OSINT dann zusammensetzt hat man:

User XYZ mit Interesse an Fotografie, Radfahren, Klettern der beruflich im IT-Bereich tätig ist und im München lebt. Das allein grenzt es wahrscheinlich schon auf einige wenige Leute in der Stadt ein wenn man es versteht die Informationen zu Verbinden und mit anderen Quellen abzugleichen (zB Linkedin-Profile, Facebook, usw.)

Daher glaube ich, dass du etwas anderes meinen musst denn OSINT kann keiner Verhindern außer der User selber indem er nichts im internet preisgibt und quasi auf soziale Medien mehr oder weniger ganz verzichtet.

0
@Mark Berger

... bei "Dinge wie Vornamen und/oder" fehlt das Wort "Wohnort".

Aus den gefundene anderen Quellen ergänzt man dann weitere Infos wie mögliche Klarnamen, Geburtsdatum, Arbeitgeber, etc. und schließt diese dann aus oder bestätigt sie um das Bild zu vervollständigen.

Im Grunde also "online Stalking" + Datenanalyse um weitere Puzzelteile zu finden und nicht passende Puzzleteile auszuschließen. So kann man auf Linkedin eventuell 10 mögliche Personen finden aber max. 1 kann die richtige sein und es ist nicht mal sicher ob der gesuchte Linkedin nutzt. Also muss man weiter graben um dann eines dieser Profile nach dem anderen auszuschließen.

Nehmen wir zB Instagram - sehe ich auf einem Profil zB ein Spiegel-Foto mit einem bestimmten Handy-Modell dann kann ich hier vergleichen ob eine Frage gestellt wurde wie man die Daten vom alten auf das neue Handy übernommen werden kann. Oder ob der gesuchte das Telefon empfiehlt und als Quelle des Wissend "eigene Erfahrung" nennt oder gar direkt im Text schreibt das er das gleiche Telefon hat. Das wär dann zB für dieses Instagram-Profil ein weiteres Indiz das es die gleiche Person sein kann.

Interessen kann man ja mit den Fotos abgleichen und wie wahrscheinlich ist es das User XYZ die gleichen Interessen, den gleichen Usernamen und das gleiche Handy hat. Finde ich im Text eine beiläufige Erwähnung vom Italien-Urlaub letztes Jahr und auf Instagram Fotos die in Italien entstanden und aus dem letzten Jahr sind dann ist das nochmal wahrscheinlicher das die Profile dem gleichen gehören.

Mit der Bildsuche der Instgram-Fotos finde ich dann eventuell das Facebook-Profil und damit Klarnamen, Familienangehörige, Freunde, usw.

0
@Mark Berger

Hallo Mark, schön das du weiter ein Auge auf diese Fragen hast. :)

Und danke für deine ausführliche Erklärung des Begriffes! Der "OSINT Angriff" war auf dein letztes Beispiel bezogen, dem versuchten Aushorchen per Chat Funktion.

Solche Meldungen, also das versucht wird an persönliche Informationen zu kommen, nimmt unser Moderatoren-Team sehr ernst und sperrt aggressiv-Neugierige oder Wiederholungstäter auch. gutefrage steht als Plattform für einen persönlichen und offenen Austausch zwischen Menschen mit unterschiedlichen Erfahrungen und Perspektiven.

Wir glauben an Selbstbestimmung und Anonymität, weswegen es es bei uns, wie auf anderen Plattformen, auch keine Klarnamenpflicht gibt. 

0

Was möchtest Du wissen?