Serie (1): Maltego: Informationsgewinnung für Cybercrime und Intelligence Aufgaben

Was ist Maltego?

In den Communities der OSINT-Spezialisten und der Cyber Security Experten wird immer wieder über eine Softwarelösung kontrovers diskutiert. Maltego ist für die einen der „One-Stop-Shop“ für OSINT und für die anderen ein Buch mit sieben Siegeln. In dieser neuen Blogserie möchte ich beide Seiten bedienen, die Newcomer und die Experten.

Maltego

Ich erinnere mich noch gut an meine Anfänge mit der Software. Es war nicht immer klar für mich, was da auf dem Monitor passiert und wie die Ergebnisse zu interpretieren sind. Darum gebe ich jetzt mit dieser Blogserie meine Erfahrungen mit dem Tool weiter, inklusive praxisnaher Tipps und Anleitungen. Im folgenden ersten Post gebe ich einen Überblick zum Tool, wer es nutzt und wie das Maltego-Konzept aussieht.

Maltego besticht als ein interaktives Data-Mining-Tool, das gerichtete Graphen für die Linkanalyse erstellt. Mit „Graphen“ sind grafische Darstellungen gemeint, die auch als Beziehungsdiagramm oder Chart bezeichnet werden. Mit dem Tool lassen sich Informationen für verschiedenste Bereiche und aus unterschiedlichen Quellen gewinnen. Es wird auch als eine Open-Source-Intelligence (OSINT) und Forensik-Anwendung bezeichnet.

Das bewährte Produkt wird von der Firma Paterva (Pty) Ltd. in Südafrika seit 2008 entwickelt.

Offizieller Partner für Maltego ist die in München ansässige Maltego Technologies GmbH.

Die Ermittler und Intelligence Analysten der corma GmbH nutzen die Software in der Classic und der XL-Version. Aus meiner Sicht ist die Community-Edition ist für professionelle Ermittlungsarbeit weder geeignet noch dafür gedacht.

Das „Classic“-Tool ist für uns perfekt, um bei Online-Ermittlungen Beziehungen zwischen Informationen aus verschiedenen Quellen im Internet gezielt herauszuarbeiten. Maltego nutzt hierbei die Idee der Transformation, um den Prozess der Abfrage verschiedener Datenquellen zu automatisieren.

Diese Informationen werden dann in einem knotenbasierten Graphen angezeigt. Eine solche visuelle Darstellung ist bestens für die Linkanalyse geeignet. So lassen sich reale Beziehungen (z. B. Computernetzwerke oder soziale Netzwerke) zwischen Personen, Webseiten, Domains und anderen „Objekten“ analysieren.

Das Tool kann über die verfügbaren Transformationen unterschiedliche öffentliche Quellen anfragen, wie z. B.:

  • Bing
  • DNS-Server
  • GeoIP-Datenbanken
  • PGP-Schlüsselserver

Andere Abfragen lassen sich mittels API-Key über „geschlossene Datenbanken“ starten, wie z. B.:

Maltego Transformationen

In der Anwendung werden dann alle gefundenen Objekte mit den (gerichteten) Beziehungen als Knoten (node) in einem Beziehungsdiagramm repräsentiert. Die Entitäten in solch einem Graph sind beispielsweise Person, Domain, Telefonnummer, DNS-Name oder E-Mail-Adresse. Die einzelnen Informationen werden von Maltego automatisch verknüpft und dem Benutzer in einem „Netzwerk-Graphen“ präsentiert. Nicht selten können hierdurch bislang unbekannte Beziehungen identifiziert werden.

Maltego Infrastructure
Maltego Graph Infrastructure

Die Anzahl der aktiven Nutzer wächst täglich. Aktuell gibt es rund 600.000 Community-User. Darüber hinaus verwenden kommerzielle Kunden die Clients und sicherlich auch die von Paterva angebotenen Serverlösungen. Beispielsweise kommen diese Anwender aus den Bereichen:

  • Intelligence Agencies
  • Banken
  • Pentester
  • private Ermittler
  • Polizeibehörden
  • Security/Threat Analysten

Die Antwort auf die Frage, wie Maltego optimal eingesetzt wird, hängt stark von dem Verwendungszweck ab.

Maltego ist sicher nicht die „Ein-Klick-und-der-Fall-ist-gelöst“-Software, auch wenn sich das viele Anwender so vorstellen. Die Software wurde von Anfang an so konzipiert, dass es die Ermittlungen mit dem Browser unterstützt und sinnvoll ergänzt. Darum muss man auch heute noch das Tool während einer Recherche verlassen und fehlende Daten im Browser recherchieren. Dann können mit diesen Informationen neue Transformationen in Maltego gestartet werden.

Es lassen sich auch Fälle komplett in der Anwendung abwickeln, z. B. um die Infrastruktur einer Domain festzustellen.

In anderen Einsatzgebieten arbeiten Anwender ausschließlich in den internen Daten und setzen dabei selbst programmierte Transformationen ein. Die mitgelieferten Skripte werden von ihnen nicht eingesetzt.

Der Kontext, in dem Maltego genutzt wird, bestimmt die Art der Nutzung. Maltego ist ein einzigartiges Tool, sollte aber nicht das Einzige in Ihrer Toolbox sein.

Maltego basiert auf einem ähnlichen Prinzip wie das Web. Websites sind durch Links verbunden. Mit Maltego lassen sich Entitäten und ihre Beziehungen durch Links darstellen. Diese können fest oder flexibel sein.

Beispiel 1:

Ein Link zwischen einem DNS-Namen und einer IP-Adresse ist fest.

maltego1.paterva.com –→ 104.200.18.205

Der „Link“ ist hier das DNS.

Maltego DNS

Beispiel 2:

Ein Link zwischen einer Telefonnummer und einer Mailadresse ist dagegen flexibel.

27 83 448 6996 –→ [email protected]

Der „Link“ hier ist eine Webseite, auf der diese Entitäten in unmittelbarer Nachbarschaft erwähnt werden. Es gibt keinen Kontext und keine Sicherheit, insgesamt unscharfe Ergebnisse.

Maltego Linkanalyse

Im Kontext der Software versteht der Hersteller hierunter eine Kombination aus Entitäten, Transformationen und Maschinen. Im Detail bedeutet das:

Entitäten sind reale Objekte, wie Person, DNS Name, Telefonnummer, E-Mail-Adresse. Eine „Entity“ wird als Knoten (node) auf dem Graphen visuell dargestellt. Der Maltego Client (Classic/XL) beinhaltet ca. 20 Entitäten, speziell für Online-Ermittlungen. Sie können aber auch eigene Entitäten anlegen.

Transformationen stellen Beziehungen zwischen den Entitäten dar. Dies geschieht durch die Abfrage einer Datenquelle und die Rückgabe der Ergebnisse als neue „Entity“ auf Ihren Graphen. Die Quellen der Daten sind Orte wie DNS-Server, Suchmaschinen, soziale Netzwerke, Whois-Informationen, eigene Datenbanken usw.

Maschinen fügen Transformationen mittels eines Scripts zusammen, um Aufgaben intelligent zu automatisieren. Sie laufen dann entweder komplett alleine oder warten an vorgegebenen Stellen auf eine Interaktion mit dem User.

Maschinen sind gut in der Automatisierung von Aufgaben, das erreichen wir mit den Transformationen. Wir Menschen sind gut in der Mustererkennung, dafür gibt es die visuelle Darstellung (Graph).

Aus dieser Zusammenarbeit ergibt sich Potenzial für Lösen von Fällen, das Finden frischer Informationen oder das Erkennen von neuen Zusammenhängen.

Maltego ist ein visuelles Link-Analyse-Tool, das standardmäßig mit Open Source Intelligence (OSINT) Zusatzmodulen – sogenannten Transformationen – ausgeliefert wird. Das Tool bietet Data-Mining und Informationssammlung in Echtzeit.

Maltego sucht nach bestehenden Beziehungen zwischen Informationen aus verschiedenen Quellen. Mögliche Quellen sind u.a. Anbieter von Datenbanken, Websites, Suchmaschinen, soziale Netzwerke und Online-Dienste.

Die erlangten Daten lassen sich in einem knotenbasierten Diagramm darstellen. Hierdurch werden Muster und Verbindungen zwischen diesen Informationen in mehreren Ordnungsebenen leicht erkennbar macht.

Aus meiner Sicht ist Maltego nahezu ohne Alternative auf dem Markt. Warum das so ist, wird im Laufe der kommenden Artikel deutlicher werden.

In meinem nächsten Post gebe ich Hinweise zur Installation, Setup und Einstellungen von Maltego.

Interesse an einem Maltego-Seminar?

Ich biete passgenaue Inhouse Maltego-Workshops zu Ihrem Wunschtermin an. Eine Beispiel-Agenda finden Sie hier:

https://corma.de/seminare/maltego-schulung-und-workshop/ 

Aktuelle öffentliche Maltego Seminare finden Sie unter diesem Link:

https://maltego.corma.de

 

Wie können wir Ihnen helfen?

Sie wollen Ihren Fall durch professionelle Ermittlungen klären lassen?
Möchten Sie eine vertrauliche Angelegenheit genauer besprechen?
Kontaktieren Sie uns und wir finden für Sie eine passgenaue Lösung
- unentgeltlicher Kostenvoranschlag natürlich inklusive!

Senden Sie uns eine E-Mail, nutzen Sie unser oder

Freecall