0

Praktikumsaufgabe BA IT-Forensik

Thema:

Auskundschaften von Informationen anhand

des Rüstungsunternehmens Rheinmetall

(rheinmetall.com)

Eingereicht von:

XXXX/XXXX/XXXX

Fach:

Informationsrecherche im Internet

Datum: 06.06.2020

SEITE 1

Aufgabenstellung

1. Wählen Sie eine Institution, ein Unternehmen, ein Verein, ein Shop oder ähnliches!

2. Recherchieren Sie im Internet nach aktuellen Werkzeugen, mit denen man

Footprinting-Recherchen durchführen kann! Dokumentieren Sie die gefundenen

Tools und nutzen Sie diese anhand einer Beispiel-Domain. Listen Sie alle

Informationen auf, die Sie über das Unternehmen, die Institution, etc. gefunden

haben.

3. Formulieren Sie Google-Abfragen, die oben genannte Informationen bzgl. Des

Unternehmens, der Institution, etc. (versuchen zu) liefern! Dokumentieren Sie

diese!

4. Recherchieren Sie im Dark web, welche Informationen Sie zu dem Unternehmen,

der Institution, etc. gefunden haben. Installieren Sie einen TOR-Browser, um eine

Dark Web-Suche durchzuführen.

5. Dokumentieren Sie Ihr Vorgehen im Dark Web und die gefundenen Informationen!

1. Footprinting Recherche/Werkzeuge

Es gibt verschiedene Footprinting-Werkzeuge, deren Ergebnisse nur zum Teil

verwertbar sind. In der folgenden Auflistung werden die genutzten Tools und Websites

genannt, die interessante Ergebnisse brachten.

1.1 Footprinting-Tools

1.1.1 Unternehmenswebseite inklusive Impressum

1.1.2 Unternehmensstruktur und Informationen anhand von companyhouse.de

1.1.3 Whois-Abfrage

1.1.4 Reverse IP-Lookup

1.1.5 Portscanning

1.1.6 Traceroute-Abfrage

1.1.7 Spiderfoot/Spiderfoot HX

SEITE 2

1.1.1. Unternehmenswebseite inklusive Impressum (rheinmetall.com)

Im Impressum sind u.a. folgende

Inhalte zu finden:

1. Firmenname

2. Anschrift inkl. Kontaktdaten

3. Umsatzsteuer-IdNr.

4. Verantwortlicher für den Inhalt

der Webseite

(1)

(2)

(3)

(4)

SEITE 3

1.1.2. Unternehmensstruktur und Informationen anhand von

companyhouse.com

Führungskräfte u. Vorstandsmitglieder

Führungskräfte u. Vorstandsmitglieder – (Auszug)

SEITE 4

Bsp. Peter Sebastian Krause (Auszug)

SEITE 5

SEITE 6

SEITE 7

Firmennetzwerk

Weitere Informationen

SEITE 8

1.1.3. Whois-Abfrage (über whois.domaintools.com)

Anhand Whois-Anfrage können Informationen zu einer Domain oder zu IP-Adressen

und deren Eigentümern gesammelt werden. Durch die Website „domaintools.com“

ließen sich folgende Daten ermitteln:

Domain- Informationen

SEITE 9

1.1.4. Reverse IP-Lookup (über viewdns.info)

Über einen „Reverse IP-Lookup“ können alle Domains, welche auf demselben

Webserver gehostet werden, herausgefunden werden.

Domain-Informationen

SEITE 10

1.1.5. Portscanning (über dnstools.ch)

Mit einem Portscan kann geprüft werden, welche Ports und Dienste eines Webservers

geöffnet und somit auch von „außen“ erreichbar sind.

Port-Status auf: 109.235.139.13

SEITE 11

1.1.6 Traceroute-Abfrage (über dnstools.ch)

Traceroute ermittelt, über welche IP-Router die Datenpakete zum Zielrechner gelangen.

Dabei wird nicht immer der tatsächlich zurückgelegte Weg angezeigt. Das Ergebnis wird

von Firewalls, fehlerhaften Implementierungen des IP-Stacks, Network

Address Translation und IP-Tunneln beeinflusst.

Traceroute-Abfrage auf 109.235.139.13/ www.rheinmetall.com

(Endadresse: 185.79.169.137, Startadresse ist IP-Adresse des Tool-Anbieters und kann variieren je nach Anbieter)

1.1.6. Spiderfoot/Spiderfoot HX

Bei Spiderfoot/Spiderfoot HX handelt es sich um ein OpenSource OSINT Crawler,

welcher zur Analyse von Bedrohungen eingesetzt wird. Daher fasst er viele

Footprintwerkzeuge zusammenfasst (unter anderem auch Whois-Abfragen, Reverse IP

Lookup...) Es werden über 200 Open Source-Intelligence-Module eingesetzt, um ein

umfassendes Monitoring bzw einen umfassenden Scan zu erzeugen.

Eine Spiderfoot-Abfrage ist sehr umfassend und braucht für einen Scan eine gewisse

Laufzeit. Der Scan auf www.rheinmetall.com wurde nach ca. 26 Stunden abgebrochen

und ergab unter anderem folgende interessante Inhalte:

(Zusammenfassung der Ergebnisse)

SEITE 12

Telefonnummern:

Mailserver:

Mailadressen: (Auszug)

SEITE 13

Webserver

Web-Technologien:

SEITE 14

Cookies:

CO. Hostet:

SEITE 15

Passwortgeschütze URLs: (Auszug)

Interne Webseiten-Accounts: (Auszug)

Verdacht auf Accounts auf Fremdwebsites: (Auszug)

SEITE 16

2. Google-Recherche

Die Informationssuche über Google ist im Gegensatz zu den Footprinting-Methoden

primär auf das Finden von Informationen ausgelegt, die nicht öffentlich zugänglich sein

sollten. Es geht also weniger um das Aufspüren von technischen Schwachstellen oder

Sicherheitslücken, sondern vielmehr um geleakte möglicherweise brisante

Informationen. Im Folgenden werden die gefundenen Informationen

zusammengetragen. Dabei beschränken wir uns auf die Dokumentation der Suchsyntax,

die verwertbare Ergebnisse zu Tage brachte.

Suchsyntax Ergebnis

site:rheinmetall.com

(Auszug der Suchergebnisse, 03.06.20)

Bewertung: - weitere Subdomains (Login nötig) aufgespürt - informativ bspw. hinsichtlich des Unternehmensportfolios

SEITE 17

rheinmetall+confidential filetype:pdf

(Auszug der Suchergebnisse, 03.06.20)

(PDF aus „fragdenstaat.de“, 03.06.20)

Bewertung: - Augenscheinlich Email mit sensiblen Daten u.a. zu

Waffensystemen - Vermutlich bewusst verfügbar gemacht durch fragdenstaat.de

SEITE 18

(Auszug der Suchergebnisse, 03.06.20)

SEITE 19

(PDF aus „…blob.core.usgovcloudapi.net“, 03.06.20)

Bewertung: - Eindeutig vertrauliches Infomaterial zur Munition des „Leopard

2“-Panzers

- Vermutlich öffentlich zugänglich durch fehlende Sicherheitskonfiguration

(Auszug der Suchergebnisse, 03.06.20)

SEITE 20

(PDF aus „pmg-assets.s3-website-eu…“, 03.06.20)

Bewertung:

- Eindeutig vertrauliches Infomaterial zu Subunternehmen „Denel Munition Ltd“

- Unzureichend geschütztes S3-Bucket bei AWS

SEITE 21

intitle:"curriculum vitae" + rheinmetall

(Auszug der Suchergebnisse, 03.06.20)

(Lebenslauf Bsp. von Wordpress-Seite, Name anonymisiert, 03.06.20)

Bewertung:

- Frei zugängliche Informationen über (ehemalige) Mitarbeiter

- Nützlich für Social-Engineering - Viele Lebensläufe vermutlich ungewollt öffentlich

SEITE 22

Folgende Suchsyntax wurde noch verwendet, führten aber zu keinen brauchbaren

Ergebnissen:

rheinmetall+confidential filetype:doc rheinmetall+confidential filetype:ppt rheinmetall+“for internal use only“ filetype:doc rheinmetall+“for internal use only“ filetype:pdf rheinmetall+“for internal use only“ filetype:ppt inurl:upload+rheinmetall.com

Suche nach vertraulichen Dokumenten

@rheinmetall.com Suche nach (weiteren) Emailadressen

3. Darkweb-Recherche

Der Großteil der Suchtreffer im Dark Web zum Unternehmen Rheinmetall waren

Aufrufe zu Protesten durch linke und links-radikale Medien und Blogs.

Die meisten Treffer ergab der Mirror von „de.indymedia.org“. DarkSearch hatte 142

Treffer von denen 139 de.indymedia.org zuzurechnen waren.

Es gab einen russischen Forumseintrag in den Ergebnissen, die Seite selbst konnte zwar

geladen werden, zeigte aber keinerlei Inhalt.

SEITE 23

Auch über „Candle“ waren die meisten Treffer Indymedia-Einträge. Es gab noch

vereinzelte Artikel der TAZ, DW und eines Blogs namens „freiheitsfoo“.

Bei „Haystak“ sah es ähnlich aus:

Weder “Ahmia”, “Ahmia IP2” noch “Torch” haben Suchergebnisse geliefert.

SEITE 24

Über OnionLand wurde ein Leaks Download Link entdeckt. Der Download-Link ist im

Clearnet/Surface Web verfügbar. Derselbe Link war auch in der “Candle”-Trefferliste

zu finden.

Aus Sicherheitsgründen wurde darauf verzichtet das File herunterzuladen.

SEITE 25

Desweiteren wurde noch folgender Wiki-Eintrag auf Russisch gefunden:

Vorgehensweisen im Darkweb

Sicherheitsvorkehrungen:

Zur erhöhten Sicherheit wurde ein sog. „Super Onion“1-Ansatz gewählt. Der Name

entstammt den vielen Lagen.

Das Betriebssystem wurde auf den aktuellsten Stand gebracht, die Festplatte

verschlüsselt und die Firewall so eingestellt, dass keinerlei Verbindungen zum

Computer aufgebaut werden dürfen.

1 https://medium.com/@deepwatch/how-to-enter-the-dark-web-safely-a-step-by-step-guide-819ba4e2cd6f

SEITE 26

Es wurde ein “Surfer Account “(keine Administratoren-Rechte) angelegt, der keinerlei

persönliche Daten enthält. In diesem Account wurde nichts getan, dass die Identität des

Nutzer verraten könnte wie etwa Besuch der eigenen Website, den Namen irgendwo

eingeben etc.

Es wurde außerdem sicher gestellt, dass alle Accounts über starke Passwörter verfügen.

Über den Anbieter Tunnelbear wurde ein Virtual Private Network (VPN) Verbindung

genutzt. Der Account wurde mit einer verschlüsselten, nicht einfach auf den Nutzer

zurückführbaren E-Mail über den Dienst Protonmail angelegt.

Mit Hilfe von VirtualBox wurde eine Virtual Machine (VM) gestartet auf der die Tails

Linux Distribution über ein ISO Image lief. Tails2 gilt als eine der sichersten

Distributionen, die für jede Internetverbindung Tor nutzt.

Im Tor Browser wurden dann die Seiten des Dark Web aufgerufen.

Suchmaschinen und Verzeichnisse

Über die in den Tor Browser integrierte Suche DuckDuckGo wurde nach „dark web

search engines“ gesucht. Die folgenden zwei Ergebnisse waren besonders ergiebig.

(https://www.thedarkweblinks.com/deep-web-search-engines)

2 https://tails.boum.org/about/index.de.html

SEITE 27

(https://www.deepwebsiteslinks.com/deep-web-search-engine-list)

Im nächsten Schritt wurden dann folgende Search Engines und Link Directories genutzt

(Liste in alphabetischer Reihenfolge):

• Ahmia - Search & I2P Search

• Candle - Search

• DarkSearch - Search

• Empire Market - Market Place

• Haystak - Search

• Hidden Wiki - Links

• Kilos - Market Place

• Not Evil - Search (nicht erreichbar)

• OnionLand - Search

• PopBuy - Market Place

• Searx - Search (nicht erreichbar)

• Torch - Search

SEITE 28

Gesucht wurde nach „rheinmetall“ und verschiedenen Munition-Bezeichnungen, u.a.

„pele ammunition“, „fap ammunition“.

SEITE 29

Keine der Munitions-Bezeichnungen brachte direkte Treffer, allerdings wurden

Waffenhandelswebseiten in den Ergebnissen angezeigt und diese dann auch besucht.

SEITE 30

4. Zusammenfassung und abschließende Bewertung

Die gefundenen Informationen zum Unternehmen „Rheinmetall“ und deren

Tochterunternehmen brachten sowohl erwartete als auch unerwartete teilweise als

kritisch zu bewertende Informationen ans Licht. Da es sich um ein

Rüstungsunternehmen handelt, war zu erwarten, auf einige Aktivisten-Seiten zu stoßen,

die sich gegen Krieg und damit gegen Rüstungsunternehmen positionieren. Zu deren

Strategie gehört sicherlich auch das Verbreiten von vertraulichen Unternehmensdaten.

Unerwartet waren hingegen die internen Dokumente, in denen sowohl detaillierte

Daten über Aufbau und Wirkung von Panzergeschossen als auch finanzielle und

strategische Daten der Subunternehmen erläutert waren. Diese als vertraulich

markierten Dokumente befanden sich auf Servern, die mangelnde

Sicherheitsvorkehrungen hatten. Für unzureichend gesicherte Server spricht auch der

Fund im Darkweb. Zwar haben wir die „Leak“-Datei aus Sicherheitsgründen nicht

runtergeladen, es ist aber davon auszugehen, dass diese durchaus sensible Daten

enthalten könnte. Darüber hinaus lieferte die Footprint-Recherche insbesondere über

Spiderfoot viele brauchbare Ergebnisse, die sowohl erste mögliche Sicherheitslücken

(und damit Angriffspunkte) offenbaren, als auch umfangreiche Informationen über

Mitarbeiterdaten preisgeben, die für Social-Engineering-Szenarien geeignet sind.