Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Auskundschaften von Informationen - https://www.palantir.com/
Praktikumsaufgabe im Modul „Informationsrecherche im Internet“
Bachelor „IT-Forensik“, Hochschule Wismar
Gruppe HH07
Florian Graßhoff, Saskia Lang, Michael Steinmetz
2
Inhaltsverzeichnis 1. Aufgabenstellung ....................................................................................................................... 3
2. Aufgabe 1: Auswahl eines Unternehmens ................................................................................. 4
3. Aufgabe 2: Footprinting-Tools .................................................................................................... 5
Weltweite Suche nach Firmendaten mittels opencorporates.com ........................................... 5
Weitere Internetseiten zur Firmenrecherche Schwerpunkt Europa .......................................... 6
Offline Analyse der Webseiten eines Unternehmens durchführen ........................................... 7
Webseitenarchiv über www.archiv.org ...................................................................................... 8
Einsatz der Applikation Spiderfoot HX zur Analyse der Infrastruktur ........................................ 9
Einsatz von „dnsdumpster“ zur Analyse der Infrastruktur ....................................................... 12
4. Aufgabe 3: Google-Abfragen .................................................................................................... 14
Google-Abfragen aus Praktikumsaufgabe ................................................................................ 14
Weitere Google-Abfragen ........................................................................................................ 17
Fazit .......................................................................................................................................... 19
5. Aufgabe 4 und 5: Dark Web ..................................................................................................... 20
dark.fail: Is a darknet site online? ............................................................................................ 20
Hidden Wiki .............................................................................................................................. 20
Dread ........................................................................................................................................ 21
!Google (aka not Evil) ............................................................................................................... 22
Deutschland im Deep Web ....................................................................................................... 25
Phobos ...................................................................................................................................... 27
Privacy International................................................................................................................. 30
WikiLeaks .................................................................................................................................. 32
Fazit .......................................................................................................................................... 37
3
Aufgabenstellung
1. Wählen Sie eine Institution, ein Unternehmen, ein Verein, ein Shop oder ähnliches!
2. Recherchieren Sie im Internet nach aktuellen Werkzeugen, mit denen man Footprinting
Recherchen durchführen kann! Dokumentieren Sie die gefundenen Tools und nutzen Sie
diese anhand einer Beispiel-Domain. Listen Sie alle Informationen auf, die Sie über das
Unternehmen, die Institution, etc. gefunden haben.
3. Formulieren Sie Google-Abfragen, die oben genannte Informationen bzgl. des
Unternehmens, der Institution, etc. (versuchen zu) liefern! Dokumentieren Sie diese!
4. Recherchieren Sie im Dark web, welche Informationen Sie zu dem Unternehmen, der
Institution, etc. gefunden haben. Installieren Sie einen TOR-Browser, um eine Dark Web-
Suche durchzuführen.
5. Dokumentieren Sie Ihr Vorgehen im Dark Web und die gefundenen Informationen!
4
Aufgabe 1: Auswahl eines Unternehmens
Palantir Technologies ist eine der umstrittensten Startup Software Unternehmen des Silicon Valley.
Peter Thiel, Mitgründer von PayPal gehört zu den Gründerväter und soll je nach Quelle 30 bis 40
Millionen Dollar investiert haben. Eine weitere Investition über 2 Millionen Dollar ging von der CIA
aus, die auch lange Zeit der einzige Kunde war.
Zwei Software Projekte werden für verschiedene Zielgruppen angeboten.
Palantir Gotham bietet Such- und Ermittlungsfunktionen für strukturierte und unstrukturierte Daten.
Das Produkt wird unter anderem von Strafverfolgungsbehörden und Sicherheitsunternehmen
eingesetzt. Zu den Kunden gehören zum Beispiel die CIA, NSA, FBI, Air Force und viele mehr.
Palantir Metropolis hingegen zielt auf den Finanzsektor ab. Mit der Software lassen sich Trends
erkennen und Beziehungen und Anomalien können aufgewiesen werden.
Auch in Deutschland hat sie mittlerweile unter dem Namen „Firma Palantir Deutschland GmbH“ Fuß
gefasst und damit für einige politische Diskussionen und einen bürgerlichen Aufschrei gesorgt.
Die Software „HessenData“ und auch „HessenData Mobile“ für datenübergreifende Analysen wird
nun vom LKA Hessen eingesetzt. „HessenData“ basiert auf der Software „Gotham“ von Palantir.
Auch in NRW wurde im Januar 2020 durch eine Ausschreibung entschieden, dass das ansässige LKA
zukünftig ebenfalls das Recherchesystem nutzen wird.
Im Jahre 2019 ist der Unternehmenswert auf 30 bis 40 Milliarden Dollar geschätzt worden.
Beim Praktikanten Verdienst liegt Palantir übrigens auf Platz 1 im Silicon Valley mit etwa 7.000 Dollar
im Monat.
5
Aufgabe 2: Footprinting-Tools
Weltweite Suche nach Firmendaten mittels opencorporates.com
Link: https://opencorporates.com/
Über opencorporates.com ist die weltweite Suche nach Firmendaten und Verantwortlichen in mehr
als 84 Millionen Datensätzen möglich. Nach Klick auf den gesuchten Firmennamen wird eine
Übersicht angezeigt, welche am Ende unter dem Punkt „Registry Page“ eine weitere Verlinkung
aufweist. Diese führt zum amerikanischen „Meldeamt“, bei der die Registrierung erfolgt. Nach Aufruf
der Verlinkung werden weitere Information und Ansprechpartner angezeigt.
Die Suche wurde mit dem Suchparameter „palantir technologie“ durchgeführt inklusive der
Einschränkung, dass keine inaktiven Gesellschaften angezeigt werden sollen.
6
Weitere Internetseiten zur Firmenrecherche Schwerpunkt Europa
Weiter können zur Recherche zu Firmen und deren Verantwortlichen insbesondere in Europa und im
deutschsprachigen Raum unter anderem die folgenden Internetseiten aufgerufen werden:
www.handelsregister.de
Das gemeinsame Registerportal der Länder ermöglicht die kostenfreie Recherche nach Firmen sowie
deren Registerbekanntmachungen. Die Anforderung amtlicher Auszüge ist jedoch kostenpflichtig.
www.bundesanzeiger.de
Das Portal recherchiert direkt im Bundesanzeiger, welcher herausgegeben wird vom
Bundesministerium der Justiz und für Verbraucherschutz.
www.portal21.de
Die Internetseite wird von den Bundesministerien „Wirtschaft und Energie“ sowie „Justiz und
Verbraucherschutz“ zur Verfügung gestellt. Hierüber lassen sich verschiedene Registereinträge der
EU-Staaten abfragen.
www.zefix.ch
Hierüber lassen sich Handelsregistereinträge zu Schweizer Firmen aufrufen.
www.companycheck.co.uk
Auf dieser Plattform kann laut Angaben des Betreibers in zehn verschiedenen Ländern nach
Firmendaten oder Firmenverantwortlichen gesucht werden. Abgefragt werden unter anderem auch
englische Datenbanken zu der Gesellschaftsform „Ltd“.
7
Offline Analyse der Webseiten eines Unternehmens durchführen
Es gibt Fälle in denen es notwendig ist, nicht nur die angezeigte Webseite zu sichern, sondern auch
die Unterseiten. Eine freie Software hierzu ist das Tool HTTtrak.
Die Software kann auf der Webseite http://www.httrack.com/ für das jeweilige Betriebssystem
heruntergeladen werden.
Für die Webseite www.palantir.com inklusive verlinkter Seiten (nur 1 Ebene) dauerte der Vorgang ca.
1 Std. und 48 Minuten – es wurden ca. 145 MB kopiert (299 Ordner und 145 Dateien).
Danach wurden die auf der lokalen Festplatte gesicherten Verzeichnisse nach JPG-Daten gescannt
und nach Informationen zu den auf den Bildern gezeigten Personen in Google gesucht.
Ergebnis:
8
Webseitenarchiv über www.archiv.org
Die Seite unterhält eine Bibliothek über Webseiten – wie diese zu bestimmten Zeitpunkten in der
Vergangenheit ausgesehen haben – genannt auch die „Waybackmachine“. In gewissen Abständen
wird der Aufbau und das Aussehen von Webseiten hier archiviert und kann abgefragt werden.
Abfragefenster archiv.org und Ergebnis für palantir.com:
9
Einsatz der Applikation Spiderfoot HX zur Analyse der Infrastruktur
Mit fast 200 Modulen bietet SpiderFoot eine benutzerfreundliche Oberfläche, mit der mittels Open
Source Intelligence (OSINT) automatisch IP-Adressen, Domänennamen, E-Mail-Adressen,
Benutzernamen, Namen, Subnetze und Advance Shipping Notice (ASN) aus vielen Quellen erfasst
werden können.
SpiderFoot steht in zwei Varianten zur Verfügung: als Open Source-Version, die lokal installiert und
ausführt werden kann, um Scans durchzuführen, oder als SpiderFoot HX, eine in der Cloud gehostete
Version mit mehr Funktionen und ohne lokale Installation.
Für den Test haben wir uns für die Cloud-Variante entschieden, die jedoch auf eine Scandauer von 15
Minuten begrenzt ist und nur 3 Analysen pro Monat erlaubt – ansonsten kostenpflichtig. Für die
lokale Installationsvariante fallen jedoch keine Kosten an.
Weitere Information bzw. auch Download-Pakete für die lokale Installation sind auf der Webseite
https://www.spiderfoot.net/ zu finden.
Nachfolgend sind einige Bildschirmausschnitte vom Scan der palantir.com Webseite zu sehen:
10
Innerhalb von 15 Minuten scannen wurden 113 eMail-Adressen gefunden:
Über (I)nfo erhält man weitere Informationen und hat auch die Möglichkeit sich alle Datenelement
grafisch anzuzeigen:
Der Aufbau der Palantir email-Adressen kann über die Seite https://rocketreach.co/palantir-
technologies-email-format_b5c64936f42e0cb6 angezeigt werden.
11
Weitere Einsatzgebiete der Software sind:
Überwachung Was passiert, wenn E-Mail-Adressen in Ihrer Domain plötzlich bei einem Datenverstoß angezeigt werden oder wenn eine IP-Adresse in Ihrem Netzwerk in einem Botnet-Tracker angezeigt wird? Die Verfügbarkeit unbeabsichtigter Informationen über Ihr Unternehmen im Internet kann ein ernstes Risiko darstellen oder sogar darauf hinweisen, dass bereits ein Verstoß aufgetreten ist. SpiderFoot kann zur kontinuierlichen Überwachung z. B. wann neue Informationen über ein Unternehmen im Internet zur Verfügung gestellt werden.
Untersuchung Sind verdächtige IP-Adresse in Protokollen gefunden oder ein gezielter Phishing-Versuch durchgeführt worden? SpiderFoot HX bietet eine intuitive grafische Oberfläche, mit der solche Objekte untersucht werden können.
12
Einsatz von „dnsdumpster“ zur Analyse der Infrastruktur
Die schnelle Ermittlung der Angriffsflächen eines Unternehmens ist eine wesentliche Fähigkeit für
Netzwerkangreifer sowie für diejenigen, die für die Sicherheit des Unternehmensnetzwerkes
verantwortlich sind.
Ein detaillierter Footprint von Systemen eines Unternehmens, die direkt oder indirekt mit dem
Internet verbunden sind oder dieses nutzen, ist sowohl für Angreifer als auch die IT-Security
Verantwortlichen eines Unternehmens von hoher Bedeutung. Durch den Aufbau von Wissen über die
bestehenden Angriffsflächen können Security Spezialisten entsprechende Gegenmaßnahmen
etablieren.
Erkannte Assets wie alte Server, benutzerdefinierte Webanwendungen und vergessene Dienste sind
häufig die ersten Anknüpfpunkte zu einer Kompromittierung der IT-Infrastruktur.
Mit der Web-Applikation https://dnsdumpster.com kann für eine spezifizierte Domaine ein
entsprechender Footprint erstellt werden, der jedoch z. B. in der Anzahl der Host begrenzt ist. Sollten
hier die Limits dieser Version erreicht werden, dann muss die kostenpflichtige Version „Domain
Profiler“ eingesetzt werden.
Nachfolgend noch einige Bildschirmausschnitte, die den Scan von „palantir.com“ etwas
dokumentieren.
14
Aufgabe 3: Google-Abfragen
Google-Abfragen aus Praktikumsaufgabe
Mithilfe der Google-Abfrage „site:palantir.com -site:www.palantir.com“ wurden die folgenden
Subdomains gefunden: cla.palantir.com, files.palantir.com, javadoc.palantir.com, auth.palantir.com,
lyncdiscover.palantir.com, portal.palantir.com, videos.palantir.com, almanac.palantir.com
Um alle vorgenannten Subdomains zu finden, muss nach dem erstmaligen Ausführen der
Suchanfrage am Ende Seite „Suche unter Einbeziehung der übersprungenen Ergebnisse wiederholen“
ausgewählt werden.
Bei einem Großteil der Domains wird eine Login-Seite geöffnet. Im Folgenden ein Beispiel für eine
Login-Seite.
15
Mithilfe der Google-Abfrage „@palantir.com“ wurde die bereits bei Aufgabe 2 gezeigte Webseite
„rocketreach.com“ gefunden. Unter den Ergebnissen ist eine weitere interessante Webseite. Auf
dieser Webseite werden die Daten (Name, Position, E-Mail-Adresse, LinkedIn-Profil) von vier
Arbeitnehmern des Unternehmens angezeigt.
16
Die folgenden Google-Abfragen führten zu keinem Ergebnis:
- intitle:index.of "server at" site:palantir.com
- "#include <stdio.h>" site:palantir.com
- intitle:error site:palantir.com
- "Warning: Access denied for user" site:palantir.com
17
Weitere Google-Abfragen
Mithilfe der Suchabfrage „site:palantir.com ext:xml | ext:conf | ext:cnf | ext:reg | ext:inf | ext:rdp |
ext:cfg | ext:txt | ext:ora | ext:ini“ wurde nach diversen Dateitypen auf der Webseite gesucht. In der
Ergebnisliste sind vier Dateien enthalten, wenn nach dem erstmaligen Ausführen der Suchanfrage am
Ende Seite „Suche unter Einbeziehung der übersprungenen Ergebnisse wiederholen“ ausgewählt
wird. Es werden die Dateien https://www.palantir.com/gpg-key.txt, https://www.palantir.com/.well-
known/security.txt, https://www.palantir.com/robots.txt und
https://www.palantir.com/sitemap.xml gefunden.
18
Es wurden diverse weitere Google-Abfragen durchgeführt (vgl. https://www.kuketz-blog.de/google-
hacking-die-dunkle-Seite-der-Suchmaschine/). Alle abgesetzten Suchanfragen führten zu keinem
Ergebnis. Im Folgenden zwei Beispiele:
19
Fazit
Schlussendlich haben die Google-Abfragen im Vergleich zu den Footprinting-Tools kaum Ergebnisse
geliefert. Es konnten lediglich einige Login-Seiten und ein paar Informationen zu den E-Mail-Adressen
der Mitarbeiter gefunden werden.
Es konnten zwar Dateien wie „robots.txt“ oder „sitemap.xml“ mithilfe von Google-Abfragen
gefunden werden, allerdings sind diese Dateien auch ohne Google-Abfragen in der Regel leicht zu
finden. Für die Datei „robots.txt“ sollte bei jeder Website die „gleiche“ URL verwendet werden und
die Datei „sitemap.xml“ wird in der Regel in der Datei „robots.txt“ benannt, wie es bei dieser
Webseite auch der Fall ist.
20
Aufgabe 4 und 5: Dark Web
dark.fail: Is a darknet site online?
Die Seite listet bekannte Darknet Webseiten mit der aktuellen Onion URL und einer Online-/Offline-
Anzeige. Somit ist sie ein guter Einstieg und kann als Startseite dienen.
Links: https://dark.fail/ oder darkfailllnkf4vf.onion
Hidden Wiki
Als Alternative zu dark.fail ist auch das Hidden Wiki zu nennen. Hier sind ebenfalls zahlreiche Deep
Web Links zu finden.
Links: https://thehiddenwiki.org/ oder http://zqktlwi4fecvo6ri.onion/wiki/index.php/Main_Page
(Uncensored Hidden Wiki)
21
Dread
Dread ist ein Deep Web Forum, vergleichbar mit Reddit, mit dem Ziel das Deep Web sicherer zu
gestalten. Hier können Nutzer Rezessionen für Darknet Shops etc. hinterlassen und sich austauschen.
Eine Suche nach „Palantir“ hat hier nichts ergeben.
Link: http://dreadytofatroptsdj6io7l3xptbet6onoyno2yv7jicoxknyazubrad.onion
22
!Google (aka not Evil)
„not Evil“ ist eine Tor Suchmaschine, die lediglich versteckte Services im Tor Netzwerk indiziert.
Die Suche nach „Palantir“ ergibt einige Treffer, gegebenenfalls sind hier ein paar interessante Daten
zu finden. Auf den ersten Blick stammen die Beiträge aber eher von verärgerten Bürgern, sind von
Verschwörungstheorien gezeichnet, bieten lediglich öffentliche Informationen oder die Links sind
offline.
Link: http://hss3uro2hsxfogfq.onion/
24
Link zum Ergebnis: http://projpmcxufvim7be.onion/wiki/Palantir
25
Deutschland im Deep Web
Ein deutschsprachiges Forum zum freien Austausch über alle Themen.
Die Suche nach „Palantir“ hat einen Treffer ergeben, hier geht es um das LifeLog Projekt und der
mögliche Zusammenhang mit der gesuchten Firma.
Link: http://germany2igel45jbmjdipfbzdswjcpjqzqozxt4l33452kzrrda2rbid.onion/index.php
27
Phobos
Eine Suchmaschine für Deep Web Inhalte. Auch hier haben wir ein paar Suchresultate. In den
meisten Fällen lesen wir hier Kritik über Palantir, aber auch Whistleblower Aussagen.
Link: http://phobosxilamwcg75xt22id7aywkzol6q6rfl2flipcqoc4e4ahima5id.onion/
28
Link zum Ergebnis: http://4sy6ebszykvcv2n6.onion/node/19395
30
Privacy International
Eine Suche über Ahmia hat einen Treffer bei Privacy International ergeben.
Hier hat eine Suche nach „Palantir“ einige Artikel zurück geliefert, wobei hier nur ein paar Beispiele
dargestellt werden. Inhaltlich sind es lediglich kritische, journalistische Beiträge.
Privacy International ist auch im Clear Web erreichbar.
Link zum Ergebnis: http://priv6skjnn6yx3bu.onion/es/search?keywords=palantir
32
WikiLeaks
Im Clear Web unter https://wikileaks.org hat es zum Zeitpunkt der Suche 2.455 Treffer gegeben.
Darunter ist sicherlich der ein oder andere interessante E-Mail Verkehr zu lesen und auch vertraulich
eingestufte Dokumente sind zu finden.
37
Fazit
Über die Firma Palantir können einige Inhalte gefunden werden.
Hier handelt es sich oft um Beiträge von aufgebrachten Bürgern, die sich um datenschutzrechtliche
Aspekte Gedanken machen. Es gibt einige Verschwörungstheorien zu lesen, aber auch viele, mit
Fakten untermauerte, journalistische Inhalte.
Eine WikiLeaks Recherche im DeepWeb ist nicht möglich gewesen, da die Webseite momentan nicht
online ist. Im Surface Web sind hier einige geleakte Dokumente einsehbar.