The Social Engineering Framework: Dumpster Diving

Dumpster Diving

Wikipedia defines dumpster diving as: “the practice of sifting through commercial or residential trash to find items that have been discarded by their owners, but which may be useful to the dumpster diver”. The devastating nature of the items and/or information found can be anything from medical records, resumes, personal photos and emails, bank statements, account details or information about software, tech support logs and so much more. Of course all of this information can be used to leverage an attack against a victim.

 

Dumpster Divers

Dumpster divers are a diverse set of people, from those unfortunate people who are homeless and have to search for food or clothing in a dumpster, to people looking to steal information or other items, to those who practice this as part of their security services. Either way it does not always have to have a negative connotation. Not all dumpster divers are looking for personally identifiable information. With that in mind, though, people will often discard many valuable things. This article we found on about.com regarding identity theft, explains some of the dangers of people sifting through company trash.

Legality

One thing to keep in mind, for the USA at least, things that are discarded in the trash are not considered illegal to take. Yet there is a large caveat to this, if a dumpster is on private property and not on the street corner then it may be considered trespassing to go on their property and enter their dumpster. Here is a small collection of legal cases that where won by companies who caught people sifting and taking their trash.

Why does dumpster diving work?

The main reason for dumpster diving is for the acquisition of information. As with most forms of social engineering, “Working smarter, not harder”is a good slogan. Doing hours of work brute-forcing a password or account number that was discarded on an unshredded sticky post-in note seems silly when you can just obtain it from a trash bag.

Information Diving

The more common form of dumpster diving, as it pertains to crackers/hackers is Information Diving. This practice is commonly associated with hackers and identity thieves. Benjamin Pell is a famous British dumpster diver who has made a living of selling off his “prizes”.

Crime and Clues

Dumpsters: Beware of the Treasures. The website Crime and Clues has a nice article we archived here. This article helps us to see how commonly very valuable information is simply discarded because many people do not think someone would dig through their trash to locate the information.

“No Tech Hacking”

One of the best resources we could find on dumpster diving for the field of security is Johnny Long’s book “No Tech Hacking”. This books is literally chocked full of amazing information regarding Social Engineering. On page 2 starts an Introduction to Dumpster Diving. There are pictures of information that can be obtained from the trash without ever having to even crawl inside a dumpster.

Tiger Team

To see how valuable this information in there was a TV Series called Tiger Team. A team of social engineers in one episode showed how they used a bag of trash to find valuable details about their target. Once they located the name of the tech support team they where able to send in a team member to act as a support employee and was given full access to their servers.

 

(from: http://www.social-engineer.org/framework/information-gathering/how-to-gather-information/dumpster-diving/)

Read more

Patientendaten auf gebrauchter Festplatte gefunden

Ein Datenrettungsunternehmen hat auf einer auf eBay gekauften Festplatte Patientendaten gefunden. Sensible Daten finden sich auf zahlreichen weiterverkauften Speichermedien.

Sensible Patientendaten, Röntgenbilder, Befunde und Verschreibungen aus der Praxis einer Kinderärztin und einer Gemeinschaftspraxis für Interne Medizin hat das Datenrettungsunternehmen Attingo auf einer Festplatte gefunden. die auf dem Online-Marktplatz eBay ersteigert wurde. „Soweit wir das einschätzen können, war das die gesamte Ordinationsverwaltung“, sagt Attingo-Geschäftsführer Nicolas Ehrschwendner im Gespräch mit der futurezone.  „Es wurde nicht einmal versucht, die Daten zu löschen.“

 

Die gebrauchten Festplatten seien von einem IT-Händler auf dem Online-Marktplatz gekauft worden, erzählt Ehrschwendner. Er vermutet, dass die betroffenen Arztpraxen ihre Computersysteme erneuert haben, und die alten Computer von einem Zwischenhändler einfach, ohne sie auf Datenrückstände zu überprüfen, weiterverkauft wurden.

Geringe Strafen

Laut Datenschutzgesetz sind niedergelassene Ärzte zwar dazu verpflichtet, sicherzustellen, dass Unbefugte nicht auf von ihnen gesammelte Patientendaten zugreifen können. Sanktionen für mangelnde Datensicherheitsmaßnahmen haben sie aber kaum zu befürchten. Die österreichische Datenschutzbehörde darf gegenüber privaten Datenverarbeitern nur Empfehlungen erlassen, sagt Matthias Schmidl von der Behörde der futurezone. Im schlimmsten Fall drohen nach einer Anzeige bei der Bezirksverwaltungsbehörde Strafen von bis zu 10.000 Euro.

Betroffene, auf deren Daten unberechtigt zugegriffen werden kann, müssen auch nur in Fällen informiert werden, bei denen davon auszugehen ist, dass die Daten systematisch und unrechtmäßig verwendet werden und ihnen Schaden entsteht, heißt es aus der Behörde. Das sei bei den auf den gebrauchten Festplatten gefundenen Patientendaten nicht der Fall, sagt Schmidl. Für die Elektronische Gesundheitsakte (ELGA), die in Österreich 2015 starten soll und bei der niedergelassene Ärzte ebenfalls für die Sicherheit der bei ihnen gespeicherten Daten zuständig sind, lässt dies jedenfalls nichts Gutes erwarten.

Kein Einzelfall

„Der Datenfund ist kein Einzelfall“, meint Ehrschwendner, dessen Unternehmen seit Jahren ausgemusterte Datenträger online einkauft und routinemäßig analysiert. 2011 fanden sich auf gebrauchten Speichermedien, die für das Ersatzteillager zugekauft wurden,  ebenfalls Patientendaten und auch Unfallfotos einer österreichischen Rettungsorganisation sowie Daten von Asylwerbern. Auch der E-Mail-Verkehr von Unternehmen, Rechnungen sowie Patente eines Zulieferers für Werkzeughersteller, wurden auf weiterverkauften Festplatten gefunden.

Löschverhalten verbessert

Das Löschverhalten habe sich in den vergangenen Jahren aber  stark verbessert, meint Ehrschwendner. Vor drei Jahren fand sein Unternehmen noch auf mehr als 80 Prozent der gekauften gebrauchten Festplatten  Daten der Vorbesitzer oder konnte sie zumindest teilweise rekonstruieren. 2014 waren es bislang 28 Prozent. Die Zahlen seien  nicht repräsentativ, sagt der Attingo-Chef. Sein Unternehmen untersuche lediglich rund hundert Festplatten pro Jahr. „Das ist nur ein kleiner Ausschnitt.“

Read more

Where does the e-waste end up?

Many old electronic goods gather dust in storage waiting to be reused, recycled or thrown away. The US Environmental Protection Agency (EPA) estimates that as much as three quarters of the computers sold in the US are stockpiled in garages and closets. When thrown away, they end up in landfills or incinerators or, more recently, are exported to Asia.

                      

(Source: Greenpeace)

Read more

PC-Entsorgung > Wohin mit alten PCs?

PC-Entsorgung > Wohin mit alten PCs?

PC-Entsorgung >Wohin mit alten PCs?

Die große Monitor-Umfrage zum Thema PC-Entsorgung

Adolf Hochhaltinger

Auf den ersten Blick scheint es seltsam: Da werden jedes Jahr Tausende neuer PCs, Notebooks und Workstations gekauft. Und die meisten Anwender sind keineswegs Neulinge, sie hatten auch davor schon einen Rechner.

Was also geschieht mit den unzähligen alten Geräten? Werden die in die Länder des ehemaligen Ostblocks verkauft? Werden sie alle an Verwandte und Bekannte weitergegeben? Werden sie klammheimlich (und verbotenerweise) auf den Müll geworfen? Was sonst geschieht damit?

 

Read more