Praktikumsaufgabe BA IT-Forensik - Thema: Auskundschaften von Informationen anhand - IT-Forensik Wiki
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Praktikumsaufgabe BA IT-Forensik Thema: Auskundschaften von Informationen anhand des Rüstungsunternehmens Rheinmetall (rheinmetall.com) Eingereicht von: XXXX/XXXX/XXXX Fach: Informationsrecherche im Internet Datum: 06.06.2020 0
Aufgabenstellung 1. Wählen Sie eine Institution, ein Unternehmen, ein Verein, ein Shop oder ähnliches! 2. Recherchieren Sie im Internet nach aktuellen Werkzeugen, mit denen man Footprinting-Recherchen durchführen kann! Dokumentieren Sie die gefundenen Tools und nutzen Sie diese anhand einer Beispiel-Domain. Listen Sie alle Informationen auf, die Sie über das Unternehmen, die Institution, etc. gefunden haben. 3. Formulieren Sie Google-Abfragen, die oben genannte Informationen bzgl. Des Unternehmens, der Institution, etc. (versuchen zu) liefern! Dokumentieren Sie diese! 4. Recherchieren Sie im Dark web, welche Informationen Sie zu dem Unternehmen, der Institution, etc. gefunden haben. Installieren Sie einen TOR-Browser, um eine Dark Web-Suche durchzuführen. 5. Dokumentieren Sie Ihr Vorgehen im Dark Web und die gefundenen Informationen! 1. Footprinting Recherche/Werkzeuge Es gibt verschiedene Footprinting-Werkzeuge, deren Ergebnisse nur zum Teil verwertbar sind. In der folgenden Auflistung werden die genutzten Tools und Websites genannt, die interessante Ergebnisse brachten. 1.1 Footprinting-Tools 1.1.1 Unternehmenswebseite inklusive Impressum 1.1.2 Unternehmensstruktur und Informationen anhand von companyhouse.de 1.1.3 Whois-Abfrage 1.1.4 Reverse IP-Lookup 1.1.5 Portscanning 1.1.6 Traceroute-Abfrage 1.1.7 Spiderfoot/Spiderfoot HX SEITE 1
1.1.1. Unternehmenswebseite inklusive Impressum (rheinmetall.com) Im Impressum sind u.a. folgende Inhalte zu finden: (1) 1. Firmenname 2. Anschrift inkl. Kontaktdaten (2) 3. Umsatzsteuer-IdNr. 4. Verantwortlicher für den Inhalt der Webseite (3) (4) SEITE 2
1.1.2. Unternehmensstruktur und Informationen anhand von companyhouse.com Führungskräfte u. Vorstandsmitglieder Führungskräfte u. Vorstandsmitglieder – (Auszug) SEITE 3
1.1.3. Whois-Abfrage (über whois.domaintools.com) Anhand Whois-Anfrage können Informationen zu einer Domain oder zu IP-Adressen und deren Eigentümern gesammelt werden. Durch die Website „domaintools.com“ ließen sich folgende Daten ermitteln: Domain- Informationen SEITE 8
1.1.4. Reverse IP-Lookup (über viewdns.info) Über einen „Reverse IP-Lookup“ können alle Domains, welche auf demselben Webserver gehostet werden, herausgefunden werden. Domain- Informationen SEITE 9
1.1.5. Portscanning (über dnstools.ch) Mit einem Portscan kann geprüft werden, welche Ports und Dienste eines Webservers geöffnet und somit auch von „außen“ erreichbar sind. Port-Status auf: 109.235.139.13 SEITE 10
1.1.6 Traceroute-Abfrage (über dnstools.ch) Traceroute ermittelt, über welche IP-Router die Datenpakete zum Zielrechner gelangen. Dabei wird nicht immer der tatsächlich zurückgelegte Weg angezeigt. Das Ergebnis wird von Firewalls, fehlerhaften Implementierungen des IP-Stacks, Network Address Translation und IP-Tunneln beeinflusst. Traceroute-Abfrage auf 109.235.139.13/ www.rheinmetall.com (Endadresse: 185.79.169.137, Startadresse ist IP-Adresse des Tool-Anbieters und kann variieren je nach Anbieter) 1.1.6. Spiderfoot/Spiderfoot HX Bei Spiderfoot/Spiderfoot HX handelt es sich um ein OpenSource OSINT Crawler, welcher zur Analyse von Bedrohungen eingesetzt wird. Daher fasst er viele Footprintwerkzeuge zusammenfasst (unter anderem auch Whois-Abfragen, Reverse IP Lookup...) Es werden über 200 Open Source-Intelligence-Module eingesetzt, um ein umfassendes Monitoring bzw einen umfassenden Scan zu erzeugen. Eine Spiderfoot-Abfrage ist sehr umfassend und braucht für einen Scan eine gewisse Laufzeit. Der Scan auf www.rheinmetall.com wurde nach ca. 26 Stunden abgebrochen und ergab unter anderem folgende interessante Inhalte: (Zusammenfassung der Ergebnisse) SEITE 11
Telefonnummern: Mailserver: Mailadressen: (Auszug) SEITE 12
Webserver Web-Technologien: SEITE 13
Cookies: CO. Hostet: SEITE 14
Passwortgeschütze URLs: (Auszug) Interne Webseiten- Accounts: (Auszug) Verdacht auf Accounts auf Fremdwebsites: (Auszug) SEITE 15
2. Google-Recherche Die Informationssuche über Google ist im Gegensatz zu den Footprinting-Methoden primär auf das Finden von Informationen ausgelegt, die nicht öffentlich zugänglich sein sollten. Es geht also weniger um das Aufspüren von technischen Schwachstellen oder Sicherheitslücken, sondern vielmehr um geleakte möglicherweise brisante Informationen. Im Folgenden werden die gefundenen Informationen zusammengetragen. Dabei beschränken wir uns auf die Dokumentation der Suchsyntax, die verwertbare Ergebnisse zu Tage brachte. Suchsyntax Ergebnis site:rheinmetall.com (Auszug der Suchergebnisse, 03.06.20) Bewertung: - weitere Subdomains (Login nötig) aufgespürt - informativ bspw. hinsichtlich des Unternehmensportfolios SEITE 16
rheinmetall+confide ntial filetype:pdf (Auszug der Suchergebnisse, 03.06.20) (PDF aus „fragdenstaat.de“, 03.06.20) Bewertung: - Augenscheinlich Email mit sensiblen Daten u.a. zu Waffensystemen - Vermutlich bewusst verfügbar gemacht durch fragdenstaat.de SEITE 17
(Auszug der Suchergebnisse, 03.06.20) SEITE 18
(PDF aus „…blob.core.usgovcloudapi.net“, 03.06.20) Bewertung: - Eindeutig vertrauliches Infomaterial zur Munition des „Leopard 2“-Panzers - Vermutlich öffentlich zugänglich durch fehlende Sicherheitskonfiguration (Auszug der Suchergebnisse, 03.06.20) SEITE 19
(PDF aus „pmg-assets.s3-website-eu…“, 03.06.20) Bewertung: - Eindeutig vertrauliches Infomaterial zu Subunternehmen „Denel Munition Ltd“ - Unzureichend geschütztes S3-Bucket bei AWS SEITE 20
intitle:"curriculum vitae" + rheinmetall (Auszug der Suchergebnisse, 03.06.20) (Lebenslauf Bsp. von Wordpress-Seite, Name anonymisiert, 03.06.20) Bewertung: - Frei zugängliche Informationen über (ehemalige) Mitarbeiter - Nützlich für Social-Engineering - Viele Lebensläufe vermutlich ungewollt öffentlich SEITE 21
Folgende Suchsyntax wurde noch verwendet, führten aber zu keinen brauchbaren Ergebnissen: rheinmetall+confidential filetype:doc Suche nach vertraulichen rheinmetall+confidential filetype:ppt Dokumenten rheinmetall+“for internal use only“ filetype:doc rheinmetall+“for internal use only“ filetype:pdf rheinmetall+“for internal use only“ filetype:ppt inurl:upload+rheinmetall.com @rheinmetall.com Suche nach (weiteren) Emailadressen 3. Darkweb-Recherche Der Großteil der Suchtreffer im Dark Web zum Unternehmen Rheinmetall waren Aufrufe zu Protesten durch linke und links-radikale Medien und Blogs. Die meisten Treffer ergab der Mirror von „de.indymedia.org“. DarkSearch hatte 142 Treffer von denen 139 de.indymedia.org zuzurechnen waren. Es gab einen russischen Forumseintrag in den Ergebnissen, die Seite selbst konnte zwar geladen werden, zeigte aber keinerlei Inhalt. SEITE 22
Auch über „Candle“ waren die meisten Treffer Indymedia-Einträge. Es gab noch vereinzelte Artikel der TAZ, DW und eines Blogs namens „freiheitsfoo“. Bei „Haystak“ sah es ähnlich aus: Weder “Ahmia”, “Ahmia IP2” noch “Torch” haben Suchergebnisse geliefert. SEITE 23
Über OnionLand wurde ein Leaks Download Link entdeckt. Der Download-Link ist im Clearnet/Surface Web verfügbar. Derselbe Link war auch in der “Candle”-Trefferliste zu finden. Aus Sicherheitsgründen wurde darauf verzichtet das File herunterzuladen. SEITE 24
Desweiteren wurde noch folgender Wiki-Eintrag auf Russisch gefunden: Vorgehensweisen im Darkweb Sicherheitsvorkehrungen: Zur erhöhten Sicherheit wurde ein sog. „Super Onion“1-Ansatz gewählt. Der Name entstammt den vielen Lagen. Das Betriebssystem wurde auf den aktuellsten Stand gebracht, die Festplatte verschlüsselt und die Firewall so eingestellt, dass keinerlei Verbindungen zum Computer aufgebaut werden dürfen. 1 https://medium.com/@deepwatch/how-to-enter-the-dark-web-safely-a-step-by-step-guide-819ba4e2cd6f SEITE 25
Es wurde ein “Surfer Account “(keine Administratoren-Rechte) angelegt, der keinerlei persönliche Daten enthält. In diesem Account wurde nichts getan, dass die Identität des Nutzer verraten könnte wie etwa Besuch der eigenen Website, den Namen irgendwo eingeben etc. Es wurde außerdem sicher gestellt, dass alle Accounts über starke Passwörter verfügen. Über den Anbieter Tunnelbear wurde ein Virtual Private Network (VPN) Verbindung genutzt. Der Account wurde mit einer verschlüsselten, nicht einfach auf den Nutzer zurückführbaren E-Mail über den Dienst Protonmail angelegt. Mit Hilfe von VirtualBox wurde eine Virtual Machine (VM) gestartet auf der die Tails Linux Distribution über ein ISO Image lief. Tails2 gilt als eine der sichersten Distributionen, die für jede Internetverbindung Tor nutzt. Im Tor Browser wurden dann die Seiten des Dark Web aufgerufen. Suchmaschinen und Verzeichnisse Über die in den Tor Browser integrierte Suche DuckDuckGo wurde nach „dark web search engines“ gesucht. Die folgenden zwei Ergebnisse waren besonders ergiebig. (https://www.thedarkweblinks.com/deep-web-search-engines) 2 https://tails.boum.org/about/index.de.html SEITE 26
(https://www.deepwebsiteslinks.com/deep-web-search-engine-list) Im nächsten Schritt wurden dann folgende Search Engines und Link Directories genutzt (Liste in alphabetischer Reihenfolge): • Ahmia - Search & I2P Search • Candle - Search • DarkSearch - Search • Empire Market - Market Place • Haystak - Search • Hidden Wiki - Links • Kilos - Market Place • Not Evil - Search (nicht erreichbar) • OnionLand - Search • PopBuy - Market Place • Searx - Search (nicht erreichbar) • Torch - Search SEITE 27
Gesucht wurde nach „rheinmetall“ und verschiedenen Munition-Bezeichnungen, u.a. „pele ammunition“, „fap ammunition“. SEITE 28
Keine der Munitions-Bezeichnungen brachte direkte Treffer, allerdings wurden Waffenhandelswebseiten in den Ergebnissen angezeigt und diese dann auch besucht. SEITE 29
4. Zusammenfassung und abschließende Bewertung Die gefundenen Informationen zum Unternehmen „Rheinmetall“ und deren Tochterunternehmen brachten sowohl erwartete als auch unerwartete teilweise als kritisch zu bewertende Informationen ans Licht. Da es sich um ein Rüstungsunternehmen handelt, war zu erwarten, auf einige Aktivisten-Seiten zu stoßen, die sich gegen Krieg und damit gegen Rüstungsunternehmen positionieren. Zu deren Strategie gehört sicherlich auch das Verbreiten von vertraulichen Unternehmensdaten. Unerwartet waren hingegen die internen Dokumente, in denen sowohl detaillierte Daten über Aufbau und Wirkung von Panzergeschossen als auch finanzielle und strategische Daten der Subunternehmen erläutert waren. Diese als vertraulich markierten Dokumente befanden sich auf Servern, die mangelnde Sicherheitsvorkehrungen hatten. Für unzureichend gesicherte Server spricht auch der Fund im Darkweb. Zwar haben wir die „Leak“-Datei aus Sicherheitsgründen nicht runtergeladen, es ist aber davon auszugehen, dass diese durchaus sensible Daten enthalten könnte. Darüber hinaus lieferte die Footprint-Recherche insbesondere über Spiderfoot viele brauchbare Ergebnisse, die sowohl erste mögliche Sicherheitslücken (und damit Angriffspunkte) offenbaren, als auch umfangreiche Informationen über Mitarbeiterdaten preisgeben, die für Social-Engineering-Szenarien geeignet sind. SEITE 30
Sie können auch lesen