0
Praktikumsaufgabe BA IT-Forensik
Thema:
Auskundschaften von Informationen anhand
des Rüstungsunternehmens Rheinmetall
(rheinmetall.com)
Eingereicht von:
XXXX/XXXX/XXXX
Fach:
Informationsrecherche im Internet
Datum: 06.06.2020
SEITE 1
Aufgabenstellung
1. Wählen Sie eine Institution, ein Unternehmen, ein Verein, ein Shop oder ähnliches!
2. Recherchieren Sie im Internet nach aktuellen Werkzeugen, mit denen man
Footprinting-Recherchen durchführen kann! Dokumentieren Sie die gefundenen
Tools und nutzen Sie diese anhand einer Beispiel-Domain. Listen Sie alle
Informationen auf, die Sie über das Unternehmen, die Institution, etc. gefunden
haben.
3. Formulieren Sie Google-Abfragen, die oben genannte Informationen bzgl. Des
Unternehmens, der Institution, etc. (versuchen zu) liefern! Dokumentieren Sie
diese!
4. Recherchieren Sie im Dark web, welche Informationen Sie zu dem Unternehmen,
der Institution, etc. gefunden haben. Installieren Sie einen TOR-Browser, um eine
Dark Web-Suche durchzuführen.
5. Dokumentieren Sie Ihr Vorgehen im Dark Web und die gefundenen Informationen!
1. Footprinting Recherche/Werkzeuge
Es gibt verschiedene Footprinting-Werkzeuge, deren Ergebnisse nur zum Teil
verwertbar sind. In der folgenden Auflistung werden die genutzten Tools und Websites
genannt, die interessante Ergebnisse brachten.
1.1 Footprinting-Tools
1.1.1 Unternehmenswebseite inklusive Impressum
1.1.2 Unternehmensstruktur und Informationen anhand von companyhouse.de
1.1.3 Whois-Abfrage
1.1.4 Reverse IP-Lookup
1.1.5 Portscanning
1.1.6 Traceroute-Abfrage
1.1.7 Spiderfoot/Spiderfoot HX
SEITE 2
1.1.1. Unternehmenswebseite inklusive Impressum (rheinmetall.com)
Im Impressum sind u.a. folgende
Inhalte zu finden:
1. Firmenname
2. Anschrift inkl. Kontaktdaten
3. Umsatzsteuer-IdNr.
4. Verantwortlicher für den Inhalt
der Webseite
(1)
(2)
(3)
(4)
SEITE 3
1.1.2. Unternehmensstruktur und Informationen anhand von
companyhouse.com
Führungskräfte u. Vorstandsmitglieder
Führungskräfte u. Vorstandsmitglieder – (Auszug)
SEITE 4
Bsp. Peter Sebastian Krause (Auszug)
SEITE 5
SEITE 6
SEITE 7
Firmennetzwerk
Weitere Informationen
SEITE 8
1.1.3. Whois-Abfrage (über whois.domaintools.com)
Anhand Whois-Anfrage können Informationen zu einer Domain oder zu IP-Adressen
und deren Eigentümern gesammelt werden. Durch die Website „domaintools.com“
ließen sich folgende Daten ermitteln:
Domain- Informationen
SEITE 9
1.1.4. Reverse IP-Lookup (über viewdns.info)
Über einen „Reverse IP-Lookup“ können alle Domains, welche auf demselben
Webserver gehostet werden, herausgefunden werden.
Domain-Informationen
SEITE 10
1.1.5. Portscanning (über dnstools.ch)
Mit einem Portscan kann geprüft werden, welche Ports und Dienste eines Webservers
geöffnet und somit auch von „außen“ erreichbar sind.
Port-Status auf: 109.235.139.13
SEITE 11
1.1.6 Traceroute-Abfrage (über dnstools.ch)
Traceroute ermittelt, über welche IP-Router die Datenpakete zum Zielrechner gelangen.
Dabei wird nicht immer der tatsächlich zurückgelegte Weg angezeigt. Das Ergebnis wird
von Firewalls, fehlerhaften Implementierungen des IP-Stacks, Network
Address Translation und IP-Tunneln beeinflusst.
Traceroute-Abfrage auf 109.235.139.13/ www.rheinmetall.com
(Endadresse: 185.79.169.137, Startadresse ist IP-Adresse des Tool-Anbieters und kann variieren je nach Anbieter)
1.1.6. Spiderfoot/Spiderfoot HX
Bei Spiderfoot/Spiderfoot HX handelt es sich um ein OpenSource OSINT Crawler,
welcher zur Analyse von Bedrohungen eingesetzt wird. Daher fasst er viele
Footprintwerkzeuge zusammenfasst (unter anderem auch Whois-Abfragen, Reverse IP
Lookup...) Es werden über 200 Open Source-Intelligence-Module eingesetzt, um ein
umfassendes Monitoring bzw einen umfassenden Scan zu erzeugen.
Eine Spiderfoot-Abfrage ist sehr umfassend und braucht für einen Scan eine gewisse
Laufzeit. Der Scan auf www.rheinmetall.com wurde nach ca. 26 Stunden abgebrochen
und ergab unter anderem folgende interessante Inhalte:
(Zusammenfassung der Ergebnisse)
SEITE 12
Telefonnummern:
Mailserver:
Mailadressen: (Auszug)
SEITE 13
Webserver
Web-Technologien:
SEITE 14
Cookies:
CO. Hostet:
SEITE 15
Passwortgeschütze URLs: (Auszug)
Interne Webseiten-Accounts: (Auszug)
Verdacht auf Accounts auf Fremdwebsites: (Auszug)
SEITE 16
2. Google-Recherche
Die Informationssuche über Google ist im Gegensatz zu den Footprinting-Methoden
primär auf das Finden von Informationen ausgelegt, die nicht öffentlich zugänglich sein
sollten. Es geht also weniger um das Aufspüren von technischen Schwachstellen oder
Sicherheitslücken, sondern vielmehr um geleakte möglicherweise brisante
Informationen. Im Folgenden werden die gefundenen Informationen
zusammengetragen. Dabei beschränken wir uns auf die Dokumentation der Suchsyntax,
die verwertbare Ergebnisse zu Tage brachte.
Suchsyntax Ergebnis
site:rheinmetall.com
(Auszug der Suchergebnisse, 03.06.20)
Bewertung: - weitere Subdomains (Login nötig) aufgespürt - informativ bspw. hinsichtlich des Unternehmensportfolios
SEITE 17
rheinmetall+confidential filetype:pdf
(Auszug der Suchergebnisse, 03.06.20)
(PDF aus „fragdenstaat.de“, 03.06.20)
Bewertung: - Augenscheinlich Email mit sensiblen Daten u.a. zu
Waffensystemen - Vermutlich bewusst verfügbar gemacht durch fragdenstaat.de
SEITE 18
(Auszug der Suchergebnisse, 03.06.20)
SEITE 19
(PDF aus „…blob.core.usgovcloudapi.net“, 03.06.20)
Bewertung: - Eindeutig vertrauliches Infomaterial zur Munition des „Leopard
2“-Panzers
- Vermutlich öffentlich zugänglich durch fehlende Sicherheitskonfiguration
(Auszug der Suchergebnisse, 03.06.20)
SEITE 20
(PDF aus „pmg-assets.s3-website-eu…“, 03.06.20)
Bewertung:
- Eindeutig vertrauliches Infomaterial zu Subunternehmen „Denel Munition Ltd“
- Unzureichend geschütztes S3-Bucket bei AWS
SEITE 21
intitle:"curriculum vitae" + rheinmetall
(Auszug der Suchergebnisse, 03.06.20)
(Lebenslauf Bsp. von Wordpress-Seite, Name anonymisiert, 03.06.20)
Bewertung:
- Frei zugängliche Informationen über (ehemalige) Mitarbeiter
- Nützlich für Social-Engineering - Viele Lebensläufe vermutlich ungewollt öffentlich
SEITE 22
Folgende Suchsyntax wurde noch verwendet, führten aber zu keinen brauchbaren
Ergebnissen:
rheinmetall+confidential filetype:doc rheinmetall+confidential filetype:ppt rheinmetall+“for internal use only“ filetype:doc rheinmetall+“for internal use only“ filetype:pdf rheinmetall+“for internal use only“ filetype:ppt inurl:upload+rheinmetall.com
Suche nach vertraulichen Dokumenten
@rheinmetall.com Suche nach (weiteren) Emailadressen
3. Darkweb-Recherche
Der Großteil der Suchtreffer im Dark Web zum Unternehmen Rheinmetall waren
Aufrufe zu Protesten durch linke und links-radikale Medien und Blogs.
Die meisten Treffer ergab der Mirror von „de.indymedia.org“. DarkSearch hatte 142
Treffer von denen 139 de.indymedia.org zuzurechnen waren.
Es gab einen russischen Forumseintrag in den Ergebnissen, die Seite selbst konnte zwar
geladen werden, zeigte aber keinerlei Inhalt.
SEITE 23
Auch über „Candle“ waren die meisten Treffer Indymedia-Einträge. Es gab noch
vereinzelte Artikel der TAZ, DW und eines Blogs namens „freiheitsfoo“.
Bei „Haystak“ sah es ähnlich aus:
Weder “Ahmia”, “Ahmia IP2” noch “Torch” haben Suchergebnisse geliefert.
SEITE 24
Über OnionLand wurde ein Leaks Download Link entdeckt. Der Download-Link ist im
Clearnet/Surface Web verfügbar. Derselbe Link war auch in der “Candle”-Trefferliste
zu finden.
Aus Sicherheitsgründen wurde darauf verzichtet das File herunterzuladen.
SEITE 25
Desweiteren wurde noch folgender Wiki-Eintrag auf Russisch gefunden:
Vorgehensweisen im Darkweb
Sicherheitsvorkehrungen:
Zur erhöhten Sicherheit wurde ein sog. „Super Onion“1-Ansatz gewählt. Der Name
entstammt den vielen Lagen.
Das Betriebssystem wurde auf den aktuellsten Stand gebracht, die Festplatte
verschlüsselt und die Firewall so eingestellt, dass keinerlei Verbindungen zum
Computer aufgebaut werden dürfen.
1 https://medium.com/@deepwatch/how-to-enter-the-dark-web-safely-a-step-by-step-guide-819ba4e2cd6f
SEITE 26
Es wurde ein “Surfer Account “(keine Administratoren-Rechte) angelegt, der keinerlei
persönliche Daten enthält. In diesem Account wurde nichts getan, dass die Identität des
Nutzer verraten könnte wie etwa Besuch der eigenen Website, den Namen irgendwo
eingeben etc.
Es wurde außerdem sicher gestellt, dass alle Accounts über starke Passwörter verfügen.
Über den Anbieter Tunnelbear wurde ein Virtual Private Network (VPN) Verbindung
genutzt. Der Account wurde mit einer verschlüsselten, nicht einfach auf den Nutzer
zurückführbaren E-Mail über den Dienst Protonmail angelegt.
Mit Hilfe von VirtualBox wurde eine Virtual Machine (VM) gestartet auf der die Tails
Linux Distribution über ein ISO Image lief. Tails2 gilt als eine der sichersten
Distributionen, die für jede Internetverbindung Tor nutzt.
Im Tor Browser wurden dann die Seiten des Dark Web aufgerufen.
Suchmaschinen und Verzeichnisse
Über die in den Tor Browser integrierte Suche DuckDuckGo wurde nach „dark web
search engines“ gesucht. Die folgenden zwei Ergebnisse waren besonders ergiebig.
(https://www.thedarkweblinks.com/deep-web-search-engines)
2 https://tails.boum.org/about/index.de.html
SEITE 27
(https://www.deepwebsiteslinks.com/deep-web-search-engine-list)
Im nächsten Schritt wurden dann folgende Search Engines und Link Directories genutzt
(Liste in alphabetischer Reihenfolge):
• Ahmia - Search & I2P Search
• Candle - Search
• DarkSearch - Search
• Empire Market - Market Place
• Haystak - Search
• Hidden Wiki - Links
• Kilos - Market Place
• Not Evil - Search (nicht erreichbar)
• OnionLand - Search
• PopBuy - Market Place
• Searx - Search (nicht erreichbar)
• Torch - Search
SEITE 28
Gesucht wurde nach „rheinmetall“ und verschiedenen Munition-Bezeichnungen, u.a.
„pele ammunition“, „fap ammunition“.
SEITE 29
Keine der Munitions-Bezeichnungen brachte direkte Treffer, allerdings wurden
Waffenhandelswebseiten in den Ergebnissen angezeigt und diese dann auch besucht.
SEITE 30
4. Zusammenfassung und abschließende Bewertung
Die gefundenen Informationen zum Unternehmen „Rheinmetall“ und deren
Tochterunternehmen brachten sowohl erwartete als auch unerwartete teilweise als
kritisch zu bewertende Informationen ans Licht. Da es sich um ein
Rüstungsunternehmen handelt, war zu erwarten, auf einige Aktivisten-Seiten zu stoßen,
die sich gegen Krieg und damit gegen Rüstungsunternehmen positionieren. Zu deren
Strategie gehört sicherlich auch das Verbreiten von vertraulichen Unternehmensdaten.
Unerwartet waren hingegen die internen Dokumente, in denen sowohl detaillierte
Daten über Aufbau und Wirkung von Panzergeschossen als auch finanzielle und
strategische Daten der Subunternehmen erläutert waren. Diese als vertraulich
markierten Dokumente befanden sich auf Servern, die mangelnde
Sicherheitsvorkehrungen hatten. Für unzureichend gesicherte Server spricht auch der
Fund im Darkweb. Zwar haben wir die „Leak“-Datei aus Sicherheitsgründen nicht
runtergeladen, es ist aber davon auszugehen, dass diese durchaus sensible Daten
enthalten könnte. Darüber hinaus lieferte die Footprint-Recherche insbesondere über
Spiderfoot viele brauchbare Ergebnisse, die sowohl erste mögliche Sicherheitslücken
(und damit Angriffspunkte) offenbaren, als auch umfangreiche Informationen über
Mitarbeiterdaten preisgeben, die für Social-Engineering-Szenarien geeignet sind.