Inhoudsopgave:
Video: Weet jij welke informatie er over jou wordt verzameld? 2024
Voordat u een beveiligingstest of een ethische hack uitvoert, moet u zoveel mogelijk informatie verzamelen over het systeem en de kwetsbaarheden ervan. De hoeveelheid informatie die u kunt verzamelen over de bedrijfs- en informatiesystemen van een organisatie die overal op internet beschikbaar is, is enorm. Om het zelf te zien, kunnen de hier geschetste technieken worden gebruikt om informatie over uw eigen organisatie te verzamelen.
Sociale media
Sociale mediasites zijn de nieuwe middelen voor online interactie tussen bedrijven. Doorlezen van de volgende sites kan onnoemelijke details over een bepaald bedrijf en zijn mensen bieden:
-
Facebook
-
LinkedIn
-
Twitter
-
YouTube
Zoals je waarschijnlijk hebt gezien, zijn werknemers vaak heel enthousiast over wat ze doen doen voor werk, details over hun bedrijf, en zelfs wat ze denken over hun bazen - vooral na het teruggooien van een paar wanneer hun sociale filter is uit de weg gegaan! U kunt ook interessant inzicht vinden op basis van wat ex-werknemers zeggen over hun voormalige werkgevers bij Glassdoor.
Zoeken op internet
Zoeken op internet of gewoon bladeren door de website van uw organisatie kan de volgende informatie opleveren:
-
Medewerkersnamen en contactgegevens
-
Belangrijke bedrijfsdatums
-
Oprichtingsaanvragen
-
SEC-documenten (voor openbare bedrijven)
-
Persberichten over fysieke bewegingen, wijzigingen in de organisatie en nieuwe producten
-
Fusies en overnames
-
Octrooien en handelsmerken
-
Presentaties, artikelen, webcasts of webinars
Bing en Google zoeken informatie op - van documenten voor tekstverwerking tot grafische bestanden - op elke openbaar toegankelijke computer. En ze zijn gratis. Er zijn hele boeken geschreven over het gebruik van Google, dus verwacht van elke criminele hacker dat hij behoorlijk ervaren is in het gebruik van deze tool, ook tegen u.
Met Google kunt u op verschillende manieren op internet zoeken:
-
Trefwoorden typen. Bij dit soort zoekopdrachten worden vaak honderden en soms miljoenen pagina's met informatie weergegeven, zoals bestanden, telefoonnummers en adressen, waarvan u nooit vermoedde dat ze beschikbaar waren.
-
Geavanceerde zoekopdrachten op internet uitvoeren. De geavanceerde zoekopties van Google kunnen sites vinden die teruggaan naar de website van uw bedrijf. Bij dit soort zoekopdrachten wordt vaak veel informatie over partners, leveranciers, klanten en andere relaties weergegeven.
-
Schakelaars gebruiken om dieper in een website te graven. Als u bijvoorbeeld een bepaald woord of bestand op uw website wilt vinden, voert u eenvoudigweg een regel zoals een van de volgende in Google in:
site: www.uw_domein. com keyword site: www. uw_domein. com bestandsnaam
U kunt zelfs een generieke zoekopdracht in het bestandstype uitvoeren op het hele internet om te zien wat opkomt, zoals dit:
bestandstype: swf bedrijfsnaam
Gebruik de voorgaande zoekopdracht om Flash te vinden. swf-bestanden, die kunnen worden gedownload en gedecompileerd om gevoelige informatie te onthullen die kan worden gebruikt tegen uw bedrijf.
Gebruik de volgende zoekopdracht om te zoeken naar PDF-documenten die gevoelige informatie bevatten die tegen uw bedrijf kan worden gebruikt:
bestandstype: pdf bedrijfsnaam vertrouwelijk
Webcrawlsysteem
Hulpprogramma's voor webcrawling, zoals HTTrack Website Kopieerapparaat, kan uw website spiegelen door elk openbaar toegankelijk bestand ervan te downloaden, vergelijkbaar met hoe een webkwetsbaarheidscanner de website doorzoekt die wordt getest. U kunt vervolgens die kopie van de website offline bekijken en het volgende onderzoeken:
-
De lay-out en configuratie van de website
-
Mappen en bestanden die anders misschien niet voor de hand liggen of gemakkelijk toegankelijk zijn
-
De HTML- en scriptbroncode van het web pagina's
-
Opmerkingenvelden
Opmerkingenvelden bevatten vaak nuttige informatie, zoals namen en e-mailadressen van de ontwikkelaars en intern IT-personeel, servernamen, softwareversies, interne IP-adresschema's en algemene opmerkingen over hoe de code werkt. In het geval dat u geïnteresseerd bent, kunt u voorkomen dat sommige soorten webcrawl worden gemaakt door inzendingen voor Disallow in de robots van uw webserver aan te maken. txt-bestand zoals beschreven bij w3. org. U kunt zelfs web tarpitting inschakelen in bepaalde firewalls en intrusion prevention systems (IPSs). Crawlers (en aanvallers) die slim genoeg zijn, kunnen manieren vinden om deze besturingselementen te omzeilen.
Contactinformatie voor ontwikkelaars en IT-personeel is geweldig voor aanvallen op social engineering.
Websites
De volgende websites kunnen specifieke informatie bevatten over een organisatie en haar werknemers:
-
Overheids- en bedrijfswebsites:
-
Hoovers en Yahoo! Financiën geven gedetailleerde informatie over openbare bedrijven.
-
De website voor de staatssecretaris of vergelijkbare organisatie van uw staat kan informatie over de oprichting en bedrijfsfunctionarissen bieden.
-
-
Achtergrondcontroles en andere persoonlijke informatie, van websites zoals:
-
LexisNexis. nl
-
ZabaSearch
-