Was ist SpiderFoot?
Wer Informationen über Domains, Server, E-Mail-Adressen oder Unternehmen sammeln möchte, stößt früher oder später auf den Begriff OSINT (Open Source Intelligence). Gemeint ist die Gewinnung von Informationen aus öffentlich zugänglichen Quellen. Eines der bekanntesten Werkzeuge in diesem Bereich ist SpiderFoot.
SpiderFoot ist eine Open-Source-Plattform zur automatisierten Informationsbeschaffung und Sicherheitsanalyse. Das Tool durchsucht zahlreiche öffentliche Datenquellen, korreliert die Ergebnisse und stellt Zusammenhänge übersichtlich dar. Dadurch lassen sich innerhalb weniger Minuten Informationen zusammentragen, für die man ansonsten viele Stunden manuelle Recherche benötigen würde.
Egal ob Sicherheitsverantwortliche, Administratoren, Penetrationstester oder IT-Forensiker – SpiderFoot gehört mittlerweile zur Standardausstattung vieler Cybersecurity-Experten.
Wofür wird SpiderFoot eingesetzt?
SpiderFoot unterstützt eine Vielzahl unterschiedlicher Anwendungsfälle.
Typische Einsatzgebiete sind:
- Sicherheitsüberprüfungen von Unternehmen
- Penetrationstests
- Red-Team-Übungen
- Schwachstellenanalysen
- Threat Intelligence
- Asset Discovery
- Überwachung der eigenen Internet-Präsenz
- Recherche zu Domains und Unternehmen
- Incident Response
- Forensische Untersuchungen
Besonders interessant ist SpiderFoot für Unternehmen, die ihre externe Angriffsfläche analysieren möchten.
Viele Organisationen wissen beispielsweise gar nicht, welche Server, Subdomains oder Cloud-Dienste öffentlich erreichbar sind. SpiderFoot hilft dabei, solche Systeme sichtbar zu machen.
Wie funktioniert SpiderFoot?
Die Arbeitsweise von SpiderFoot ist relativ einfach.
Der Benutzer gibt ein sogenanntes Zielobjekt an:
- Domain
- IP-Adresse
- Hostname
- E-Mail-Adresse
- Benutzername
- Telefonnummer
- ASN
- Unternehmen
Anschließend startet SpiderFoot einen Scan.
Dabei werden automatisch zahlreiche Datenquellen abgefragt und die Ergebnisse miteinander verknüpft.
Beispielsweise kann aus einer Domain Folgendes ermittelt werden:
- DNS-Einträge
- Whois-Daten
- Nameserver
- MX-Server
- Zertifikate
- Subdomains
- Verknüpfte IP-Adressen
- Geolokationen
- E-Mail-Adressen
- Social-Media-Bezüge
- Veröffentlichte Dokumente
- Datenlecks
Die Ergebnisse werden anschließend in einer übersichtlichen Oberfläche dargestellt.
Welche Datenquellen nutzt SpiderFoot?
Eine der größten Stärken von SpiderFoot ist die enorme Anzahl unterstützter Quellen.
Je nach Version stehen mehr als 200 Module zur Verfügung.
Dazu gehören unter anderem:
DNS-Abfragen
SpiderFoot kann automatisch DNS-Informationen sammeln:
- A-Records
- AAAA-Records
- MX-Records
- TXT-Records
- SPF-Einträge
- DMARC-Einträge
Whois-Daten
Über Whois-Abfragen lassen sich Informationen zu Domaininhabern und Registrierungsdaten sammeln.
Beispielsweise:
- Registrierungsdatum
- Registrar
- Ablaufdatum
- Kontaktinformationen
SSL-Zertifikate
SpiderFoot analysiert Zertifikate und kann darüber weitere Hosts oder Subdomains identifizieren.
Oft lassen sich dadurch Systeme entdecken, die auf den ersten Blick gar nicht sichtbar sind.
Suchmaschinen
SpiderFoot nutzt verschiedene Suchmaschinen und Suchindizes, um weitere Informationen zu finden.
Dadurch können beispielsweise folgende Inhalte entdeckt werden:
- Versteckte Dokumente
- Veröffentlichte PDF-Dateien
- Präsentationen
- Tabellen
- Quellcodefragmente
Datenleck-Datenbanken
Ein besonders interessanter Bereich sind Datenlecks.
SpiderFoot kann verschiedene Quellen abfragen und prüfen, ob:
- E-Mail-Adressen kompromittiert wurden
- Passwörter veröffentlicht wurden
- Unternehmensdaten in Leaks auftauchen
GitHub und Code-Repositories
Entwickler veröffentlichen leider immer wieder versehentlich sensible Informationen.
SpiderFoot kann unter anderem suchen nach:
- API-Keys
- Zugangsdaten
- Konfigurationsdateien
- Cloud-Zugangsdaten
Shodan
In Verbindung mit Shodan lassen sich öffentlich erreichbare Systeme identifizieren.
Dazu gehören beispielsweise:
- Webserver
- Datenbanken
- Firewalls
- Router
- IoT-Geräte
Die Scan-Typen von SpiderFoot
SpiderFoot bietet unterschiedliche Scan-Profile.
Footprint
Sammelt allgemeine Informationen über ein Ziel.
Geeignet für:
- Unternehmen
- Domains
- Webseiten
Investigate
Erweitertes Profil zur tiefgehenden Analyse.
Hier werden deutlich mehr Datenquellen eingebunden.
Passive Scan
Es werden ausschließlich öffentliche Datenquellen abgefragt.
Das Zielsystem wird nicht direkt kontaktiert.
Diese Methode ist besonders unauffällig.
Active Scan
Hier erfolgen aktive Prüfungen gegen das Zielsystem.
Dazu gehören beispielsweise:
- DNS-Abfragen
- Netzwerkprüfungen
- Zertifikatsanalysen
Die Benutzeroberfläche
SpiderFoot besitzt ein modernes Webinterface.
Zu den wichtigsten Bereichen gehören:
Dashboard
Übersicht über alle Scans.
Scan Management
Verwaltung laufender und abgeschlossener Analysen.
Graph View
Grafische Darstellung von Beziehungen.
Hier zeigt SpiderFoot beispielsweise:
- Domains
- Hosts
- E-Mail-Adressen
- Personen
- Zertifikate
als miteinander verbundene Objekte an.
Diese Ansicht ist besonders hilfreich bei komplexen Analysen.
Event View
Chronologische Darstellung aller gefundenen Informationen.
Vorteile von SpiderFoot
Hohe Automatisierung
Viele Stunden manueller Recherche lassen sich einsparen.
Große Anzahl an Datenquellen
Mehr als 200 Module ermöglichen sehr umfangreiche Untersuchungen.
Einfache Bedienung
Auch Einsteiger können schnell erste Ergebnisse erzielen.
Open Source
Die Community-Version ist kostenlos nutzbar.
Erweiterbar
Eigene Module können entwickelt und integriert werden.
Grenzen von SpiderFoot
Trotz seiner Leistungsfähigkeit ist SpiderFoot kein Wundermittel.
Folgende Einschränkungen sollten beachtet werden:
- Ergebnisse sind nur so gut wie die verfügbaren Quellen
- Einige Module benötigen kostenpflichtige API-Zugänge
- Große Scans können viel Zeit benötigen
- Falsch-positive Ergebnisse sind möglich
- Die Interpretation der Daten bleibt Aufgabe des Anwenders
SpiderFoot liefert Informationen – die Bewertung und Einordnung muss weiterhin durch Menschen erfolgen.
Ist SpiderFoot legal?
Grundsätzlich ja.
SpiderFoot sammelt überwiegend öffentlich verfügbare Informationen.
Dennoch müssen lokale Gesetze und Datenschutzbestimmungen beachtet werden.
Insbesondere aktive Scans gegen fremde Systeme können rechtliche Fragen aufwerfen.
Für Unternehmen empfiehlt es sich daher, SpiderFoot primär für:
- eigene Domains
- eigene Netzwerke
- eigene Infrastruktur
einzusetzen oder vorab eine schriftliche Genehmigung einzuholen.
SpiderFoot gehört zu den leistungsfähigsten Open-Source-Werkzeugen im Bereich OSINT und Sicherheitsanalyse. Das Tool automatisiert die Sammlung öffentlich verfügbarer Informationen und hilft dabei, die eigene Angriffsfläche sichtbar zu machen.
Für Administratoren, IT-Sicherheitsbeauftragte, Penetrationstester und Incident-Response-Teams bietet SpiderFoot einen enormen Mehrwert. Die Kombination aus hunderten Datenquellen, automatischer Korrelation und grafischer Darstellung macht das Werkzeug zu einer der interessantesten Plattformen für moderne Cybersecurity-Analysen.
Wer sich mit IT-Sicherheit beschäftigt und wissen möchte, welche Informationen über die eigene Infrastruktur öffentlich verfügbar sind, sollte SpiderFoot unbedingt einmal ausprobieren.
