Praktikumsaufgabe BA IT-Forensik - Thema: Auskundschaften von Informationen anhand - IT-Forensik Wiki

Die Seite wird erstellt Carolin Schilling
 
WEITER LESEN
Praktikumsaufgabe BA IT-Forensik - Thema: Auskundschaften von Informationen anhand - IT-Forensik Wiki
Praktikumsaufgabe
          BA IT-Forensik

                 Thema:
Auskundschaften von Informationen anhand
 des Rüstungsunternehmens Rheinmetall
            (rheinmetall.com)

                  Eingereicht von:
                 XXXX/XXXX/XXXX
                        Fach:
          Informationsrecherche im Internet
                 Datum: 06.06.2020

                                              0
Praktikumsaufgabe BA IT-Forensik - Thema: Auskundschaften von Informationen anhand - IT-Forensik Wiki
Aufgabenstellung

1.      Wählen Sie eine Institution, ein Unternehmen, ein Verein, ein Shop oder ähnliches!
2. Recherchieren Sie im Internet nach aktuellen Werkzeugen, mit denen man
        Footprinting-Recherchen durchführen kann! Dokumentieren Sie die gefundenen
        Tools und nutzen Sie diese anhand einer Beispiel-Domain. Listen Sie alle
        Informationen auf, die Sie über das Unternehmen, die Institution, etc. gefunden
        haben.
3. Formulieren Sie Google-Abfragen, die oben genannte Informationen bzgl. Des
        Unternehmens, der Institution, etc. (versuchen zu) liefern! Dokumentieren Sie
        diese!
4. Recherchieren Sie im Dark web, welche Informationen Sie zu dem Unternehmen,
        der Institution, etc. gefunden haben. Installieren Sie einen TOR-Browser, um eine
        Dark Web-Suche durchzuführen.
5. Dokumentieren Sie Ihr Vorgehen im Dark Web und die gefundenen Informationen!

1. Footprinting Recherche/Werkzeuge
Es gibt verschiedene Footprinting-Werkzeuge, deren Ergebnisse nur zum Teil
verwertbar sind. In der folgenden Auflistung werden die genutzten Tools und Websites
genannt, die interessante Ergebnisse brachten.

1.1 Footprinting-Tools
1.1.1      Unternehmenswebseite inklusive Impressum
1.1.2      Unternehmensstruktur und Informationen anhand von companyhouse.de
1.1.3      Whois-Abfrage
1.1.4      Reverse IP-Lookup
1.1.5      Portscanning
1.1.6      Traceroute-Abfrage
1.1.7      Spiderfoot/Spiderfoot HX

                                                                                  SEITE 1
Praktikumsaufgabe BA IT-Forensik - Thema: Auskundschaften von Informationen anhand - IT-Forensik Wiki
1.1.1. Unternehmenswebseite inklusive Impressum (rheinmetall.com)

    Im Impressum sind u.a. folgende
    Inhalte zu finden:                     (1)
      1. Firmenname
      2. Anschrift inkl. Kontaktdaten      (2)
      3. Umsatzsteuer-IdNr.
      4. Verantwortlicher für den Inhalt
         der Webseite

                                             (3)

                                                   (4)

                                                           SEITE 2
Praktikumsaufgabe BA IT-Forensik - Thema: Auskundschaften von Informationen anhand - IT-Forensik Wiki
1.1.2. Unternehmensstruktur   und   Informationen   anhand     von
      companyhouse.com
Führungskräfte u.
Vorstandsmitglieder

Führungskräfte u.
Vorstandsmitglieder
– (Auszug)

                                                             SEITE 3
Praktikumsaufgabe BA IT-Forensik - Thema: Auskundschaften von Informationen anhand - IT-Forensik Wiki
Bsp. Peter Sebastian
Krause
(Auszug)

                       SEITE 4
Praktikumsaufgabe BA IT-Forensik - Thema: Auskundschaften von Informationen anhand - IT-Forensik Wiki
SEITE 5
Praktikumsaufgabe BA IT-Forensik - Thema: Auskundschaften von Informationen anhand - IT-Forensik Wiki
SEITE 6
Praktikumsaufgabe BA IT-Forensik - Thema: Auskundschaften von Informationen anhand - IT-Forensik Wiki
Firmennetzwerk

Weitere
Informationen

                 SEITE 7
Praktikumsaufgabe BA IT-Forensik - Thema: Auskundschaften von Informationen anhand - IT-Forensik Wiki
1.1.3. Whois-Abfrage (über whois.domaintools.com)
Anhand Whois-Anfrage können Informationen zu einer Domain oder zu IP-Adressen
und deren Eigentümern gesammelt werden. Durch die Website „domaintools.com“
ließen sich folgende Daten ermitteln:

 Domain-
 Informationen

                                                                      SEITE 8
Praktikumsaufgabe BA IT-Forensik - Thema: Auskundschaften von Informationen anhand - IT-Forensik Wiki
1.1.4. Reverse IP-Lookup (über viewdns.info)
Über einen „Reverse IP-Lookup“ können alle Domains, welche auf demselben
Webserver gehostet werden, herausgefunden werden.

Domain-
Informationen

                                                                 SEITE 9
1.1.5. Portscanning (über dnstools.ch)
Mit einem Portscan kann geprüft werden, welche Ports und Dienste eines Webservers
geöffnet und somit auch von „außen“ erreichbar sind.

 Port-Status auf:
 109.235.139.13

                                                                         SEITE 10
1.1.6 Traceroute-Abfrage (über dnstools.ch)
Traceroute ermittelt, über welche IP-Router die Datenpakete zum Zielrechner gelangen.
Dabei wird nicht immer der tatsächlich zurückgelegte Weg angezeigt. Das Ergebnis wird
von Firewalls, fehlerhaften Implementierungen des IP-Stacks, Network
Address           Translation           und          IP-Tunneln           beeinflusst.

 Traceroute-Abfrage auf
 109.235.139.13/
 www.rheinmetall.com

                                   (Endadresse: 185.79.169.137, Startadresse ist IP-Adresse des Tool-Anbieters
                                   und kann variieren je nach Anbieter)

1.1.6. Spiderfoot/Spiderfoot HX
Bei Spiderfoot/Spiderfoot HX handelt es sich um ein OpenSource OSINT Crawler,
welcher zur Analyse von Bedrohungen eingesetzt wird. Daher fasst er viele
Footprintwerkzeuge zusammenfasst (unter anderem auch Whois-Abfragen, Reverse IP
Lookup...) Es werden über 200 Open Source-Intelligence-Module eingesetzt, um ein
umfassendes Monitoring bzw einen umfassenden Scan zu erzeugen.

Eine Spiderfoot-Abfrage ist sehr umfassend und braucht für einen Scan eine gewisse
Laufzeit. Der Scan auf www.rheinmetall.com wurde nach ca. 26 Stunden abgebrochen
und ergab unter anderem folgende interessante Inhalte:

(Zusammenfassung der Ergebnisse)

                                                                                                   SEITE 11
Telefonnummern:

Mailserver:

Mailadressen:
(Auszug)

                  SEITE 12
Webserver

Web-Technologien:

                    SEITE 13
Cookies:

CO. Hostet:

              SEITE 14
Passwortgeschütze URLs:
(Auszug)

Interne Webseiten-
Accounts:
(Auszug)

Verdacht auf Accounts auf
Fremdwebsites:
(Auszug)

                            SEITE 15
2. Google-Recherche
Die Informationssuche über Google ist im Gegensatz zu den Footprinting-Methoden
primär auf das Finden von Informationen ausgelegt, die nicht öffentlich zugänglich sein
sollten. Es geht also weniger um das Aufspüren von technischen Schwachstellen oder
Sicherheitslücken, sondern vielmehr um geleakte möglicherweise brisante
Informationen.      Im   Folgenden    werden    die     gefundenen       Informationen
zusammengetragen. Dabei beschränken wir uns auf die Dokumentation der Suchsyntax,
die verwertbare Ergebnisse zu Tage brachte.

 Suchsyntax             Ergebnis

 site:rheinmetall.com

                        (Auszug der Suchergebnisse, 03.06.20)
                        Bewertung:
                           -    weitere Subdomains (Login nötig) aufgespürt
                           -    informativ bspw. hinsichtlich des Unternehmensportfolios

                                                                                     SEITE 16
rheinmetall+confide
ntial filetype:pdf

                      (Auszug der Suchergebnisse, 03.06.20)

                      (PDF aus „fragdenstaat.de“, 03.06.20)
                      Bewertung:
                         -    Augenscheinlich Email mit sensiblen Daten u.a. zu
                              Waffensystemen
                         -    Vermutlich bewusst verfügbar gemacht durch fragdenstaat.de

                                                                                SEITE 17
(Auszug der Suchergebnisse, 03.06.20)

                                        SEITE 18
(PDF aus „…blob.core.usgovcloudapi.net“, 03.06.20)
Bewertung:
   -    Eindeutig vertrauliches Infomaterial zur Munition des „Leopard
        2“-Panzers
   - Vermutlich öffentlich zugänglich durch fehlende
        Sicherheitskonfiguration

(Auszug der Suchergebnisse, 03.06.20)

                                                             SEITE 19
(PDF aus „pmg-assets.s3-website-eu…“, 03.06.20)

Bewertung:
   -    Eindeutig vertrauliches Infomaterial zu Subunternehmen „Denel
        Munition Ltd“
   - Unzureichend geschütztes S3-Bucket bei AWS

                                                            SEITE 20
intitle:"curriculum
vitae" + rheinmetall

                       (Auszug der Suchergebnisse, 03.06.20)

                       (Lebenslauf Bsp. von Wordpress-Seite, Name anonymisiert, 03.06.20)

                       Bewertung:
                          -    Frei zugängliche Informationen über (ehemalige) Mitarbeiter
                          - Nützlich für Social-Engineering
                          - Viele Lebensläufe vermutlich ungewollt öffentlich

                                                                                            SEITE 21
Folgende Suchsyntax wurde noch verwendet, führten aber zu keinen brauchbaren
Ergebnissen:

 rheinmetall+confidential filetype:doc              Suche  nach        vertraulichen
 rheinmetall+confidential filetype:ppt              Dokumenten
 rheinmetall+“for internal use only“ filetype:doc
 rheinmetall+“for internal use only“ filetype:pdf
 rheinmetall+“for internal use only“ filetype:ppt
 inurl:upload+rheinmetall.com
 @rheinmetall.com                                   Suche      nach       (weiteren)
                                                    Emailadressen

3. Darkweb-Recherche
Der Großteil der Suchtreffer im Dark Web zum Unternehmen Rheinmetall waren
Aufrufe zu Protesten durch linke und links-radikale Medien und Blogs.

Die meisten Treffer ergab der Mirror von „de.indymedia.org“. DarkSearch hatte 142
Treffer von denen 139 de.indymedia.org zuzurechnen waren.

Es gab einen russischen Forumseintrag in den Ergebnissen, die Seite selbst konnte zwar
geladen werden, zeigte aber keinerlei Inhalt.

                                                                             SEITE 22
Auch über „Candle“ waren die meisten Treffer Indymedia-Einträge. Es gab noch
vereinzelte Artikel der TAZ, DW und eines Blogs namens „freiheitsfoo“.

Bei „Haystak“ sah es ähnlich aus:

Weder “Ahmia”, “Ahmia IP2” noch “Torch” haben Suchergebnisse geliefert.

                                                                          SEITE 23
Über OnionLand wurde ein Leaks Download Link entdeckt. Der Download-Link ist im
Clearnet/Surface Web verfügbar. Derselbe Link war auch in der “Candle”-Trefferliste
zu finden.

Aus Sicherheitsgründen wurde darauf verzichtet das File herunterzuladen.

                                                                           SEITE 24
Desweiteren wurde noch folgender Wiki-Eintrag auf Russisch gefunden:

Vorgehensweisen im Darkweb
Sicherheitsvorkehrungen:

Zur erhöhten Sicherheit wurde ein sog. „Super Onion“1-Ansatz gewählt. Der Name
entstammt den vielen Lagen.

Das Betriebssystem wurde auf den aktuellsten Stand gebracht, die Festplatte
verschlüsselt und die Firewall so eingestellt, dass keinerlei Verbindungen zum
Computer aufgebaut werden dürfen.

1
    https://medium.com/@deepwatch/how-to-enter-the-dark-web-safely-a-step-by-step-guide-819ba4e2cd6f

                                                                                                       SEITE 25
Es wurde ein “Surfer Account “(keine Administratoren-Rechte) angelegt, der keinerlei
persönliche Daten enthält. In diesem Account wurde nichts getan, dass die Identität des
Nutzer verraten könnte wie etwa Besuch der eigenen Website, den Namen irgendwo
eingeben etc.

Es wurde außerdem sicher gestellt, dass alle Accounts über starke Passwörter verfügen.

Über den Anbieter Tunnelbear wurde ein Virtual Private Network (VPN) Verbindung
genutzt. Der Account wurde mit einer verschlüsselten, nicht einfach auf den Nutzer
zurückführbaren E-Mail über den Dienst Protonmail angelegt.

Mit Hilfe von VirtualBox wurde eine Virtual Machine (VM) gestartet auf der die Tails
Linux Distribution über ein ISO Image lief. Tails2 gilt als eine der sichersten
Distributionen, die für jede Internetverbindung Tor nutzt.

Im Tor Browser wurden dann die Seiten des Dark Web aufgerufen.

Suchmaschinen und Verzeichnisse

Über die in den Tor Browser integrierte Suche DuckDuckGo wurde nach „dark web
search engines“ gesucht. Die folgenden zwei Ergebnisse waren besonders ergiebig.

(https://www.thedarkweblinks.com/deep-web-search-engines)

2
    https://tails.boum.org/about/index.de.html

                                                                             SEITE 26
(https://www.deepwebsiteslinks.com/deep-web-search-engine-list)

Im nächsten Schritt wurden dann folgende Search Engines und Link Directories genutzt
(Liste in alphabetischer Reihenfolge):

•   Ahmia - Search & I2P Search
•   Candle - Search
•   DarkSearch - Search
•   Empire Market - Market Place
•   Haystak - Search
•   Hidden Wiki - Links
•   Kilos - Market Place
•   Not Evil - Search (nicht erreichbar)
•   OnionLand - Search
•   PopBuy - Market Place
•   Searx - Search (nicht erreichbar)
•   Torch - Search

                                                                           SEITE 27
Gesucht wurde nach „rheinmetall“ und verschiedenen Munition-Bezeichnungen, u.a.
„pele ammunition“, „fap ammunition“.

                                                                        SEITE 28
Keine der Munitions-Bezeichnungen brachte direkte Treffer, allerdings wurden
Waffenhandelswebseiten in den Ergebnissen angezeigt und diese dann auch besucht.

                                                                       SEITE 29
4. Zusammenfassung und abschließende Bewertung
Die gefundenen Informationen zum Unternehmen „Rheinmetall“ und deren
Tochterunternehmen brachten sowohl erwartete als auch unerwartete teilweise als
kritisch zu bewertende Informationen ans Licht. Da es sich um ein
Rüstungsunternehmen handelt, war zu erwarten, auf einige Aktivisten-Seiten zu stoßen,
die sich gegen Krieg und damit gegen Rüstungsunternehmen positionieren. Zu deren
Strategie gehört sicherlich auch das Verbreiten von vertraulichen Unternehmensdaten.
Unerwartet waren hingegen die internen Dokumente, in denen sowohl detaillierte
Daten über Aufbau und Wirkung von Panzergeschossen als auch finanzielle und
strategische Daten der Subunternehmen erläutert waren. Diese als vertraulich
markierten     Dokumente       befanden    sich    auf    Servern,   die   mangelnde
Sicherheitsvorkehrungen hatten. Für unzureichend gesicherte Server spricht auch der
Fund im Darkweb. Zwar haben wir die „Leak“-Datei aus Sicherheitsgründen nicht
runtergeladen, es ist aber davon auszugehen, dass diese durchaus sensible Daten
enthalten könnte. Darüber hinaus lieferte die Footprint-Recherche insbesondere über
Spiderfoot viele brauchbare Ergebnisse, die sowohl erste mögliche Sicherheitslücken
(und damit Angriffspunkte) offenbaren, als auch umfangreiche Informationen über
Mitarbeiterdaten preisgeben, die für Social-Engineering-Szenarien geeignet sind.

                                                                            SEITE 30
Sie können auch lesen