🔒
There are new articles available, click to refresh the page.
Before yesterdayHanseSecure

Top Security QuickFails: #3 Die „unsichtbaren“ Netzwerkfreigaben

26 August 2021 at 20:16

#3 Die „unsichtbaren“ Netzwerkfreigaben

Der Angriff

Es ist Mittwochvormittag, die Sonne scheint und alle Mitarbeiter der ImmerGrün AG freuen sich auf das Sommerfest am Nachmittag.
Beate aus der HR Abteilung wollte sich vorher noch einige Bewerbungen vom Vortag ansehen und wunderte sich noch, dass bei vielen Dokumenten plötzlich Macros zum Öffnen notwendig waren, aber das würde Sie sich morgen nochmal ansehen…

Was ist passiert?

Ein Angreifer hatte einen Account eines Mitarbeiter kompromittiert. Dieser konnte eigentlich nur das globale Austauschlaufwerk des Unternehmens sehen. Der Angreifer hat jedoch sehr zügig alle Server auf offene Netzlaufwerke geprüft und dabei festgestellt, dass die meisten Freigaben lediglich nicht eingebunden waren, aber jeder Domain Benutzer lese & schreibrechte auf diesen hatte.
Deshalb fügte er zu jeder Office Datei (Word, Powerpoint, Excel), auf jeder Netzwerkfreigabe ein Macro hinzu. Dadurch wurde jeder Mitarbeiter, welcher eine dieser Dateien öffnete ebenfalls kompromittiert.

Darüber hinaus fand der Angreifer eine „Admin“ Freigabe, welche scheinbar ausschließlich für Administratoren bestimmt war.

Denn neben diversen Setupdateien fand der Angreifer auch bat & Powershell Skripte. Diese enthielten zudem die Zugangsdaten diverser privilegierter Accounts, wodurch das gesamte Unternehmen kompromittiert werden konnte.

Die Gegenmaßnahme

Zunächst sollten sich Administratoren klar machen, dass Freigaben auch von den Nutzern eingebunden werden können! Damit müssen auch „nicht sichtbare“ Netzlaufwerke mit entsprechenden Berechtigungen versehen werden.

Anschließend sollten alle Systeme im Netzwerk auf offenen Netzfreigaben und deren Berechtigungen kontrolliert werden.

Sicherheitsgewinn

Mittel bis Hoch

*Aus der Blog-Serie Top Security QuickFails

Schwachstelle in Datev

15 August 2021 at 21:27

CVE

Verwundbare Software

Sowohl der Update-Manager bis Version 5.8.0.2300, als auch DFL bis zur Version 12.5.1001.5 sind von dieser Schwachstelle betroffen.

Schwachstelle

Eine unzureichende Konfiguration des Dienstes erlaubt eine Erweiterung der Rechte auf System-Ebene.

Zeitlinie

  • 22.06.2021 Hersteller informiert
  • 24.06.2021 Terminvereinbarung für Rückfragen
  • 05.07.2021 Rückfragen und weiteres Vorgehen
  • 01.08.2021 Update
  • 16.08.2021 Veröffentlichung

Referenzen

DATEV Help Center

Schwachstelle in Sophos Suite

31 July 2021 at 22:03

CVE

Verwundbare Software

HitmanPro.Alert Agent (Sophos Suite) vor 3.8.1.504

Schwachstelle

Eine unzureichende Konfiguration des Dienstes erlaubt eine Erweiterung der Rechte auf System-Ebene.

Zeitlinie

  • 19.06.2021 Hersteller informiert
  • 21.06.2021 Hersteller bestätigt die Schwachstelle und teilt HanseSecure mit, dass die Schwachstelle in der nächsten Version gepachted wird.
  • 01.08.2020 Disclosure

Referenzen:

Top Security QuickFails: #2 Domain Admins überall

15 June 2021 at 10:40

#2 Domain Admins überall

Der Angriff

Es ist ein Montagmorgen und Kevin Vielzutun beginnt seinen monatlichen Server-Check im Netzwerk, denn er ist einer von 3 Administratoren der Fahrlässig GmbH mit rund 100 Mitarbeitern. Um Zeit zu sparen und somit effizienter zu arbeiten führt Kevin diese Prüfungen wie üblich mit seinem Domain Admin Konto aus, andernfalls müsste er sich mit unterschiedlichen Accounts mehrfach anmelden.
Auf seinem Computer hat er jedoch von gestern noch soviele Remotedesktop-Fenster offen, sodass er nicht das richtige findet 🙁

Deshalb startet er eine neue Session auf seinem Server Ablage1, um festzustellen, dass hier bereits ein andere Domain Admin Account angemeldet ist. Dieses Problem tritt häufiger auf, da sein Kollege Otto Mirdochegal ebenfalls häufig vergisst seine Remote-Sessions zu beenden. Dies war bei den nächsten 3 weiteren Systemen auch der Fall, weshalb Kevin keine Lust mehr auf seine Server-Checks hatte und sich entschied zunächst etwas anderes zu tun.

Nun wollte sich Keven um das Ticket von Herrn Lustig kümmern, der vergangene Woche ein Problem mit Macros bei einem Excel Sheet der SuperSchnell GmbH hatte.

Während er versucht Herrn Lustig zu erreichen, fragt er sich noch, warum Otto auf seinem Server mit dem uralten ITADMIN (Domain Admin) Konto angemeldet ist. Denn Otto ist im Urlaub, war noch nie auf diesem Server und den Account ITADMIN kannte er nicht… Naja, das kann Kevin fragen, wenn Otto nächste Woche aus dem Urlaub kommt…

Was ist passiert?

Nachdem Herr Lustig vergangene das Macro auf seinem Computer ausgeführt hat, hatte ein Angreifer die Kontrolle über sein System erlangt. Anschließend hat sich dieser im Netzwerk umgesehen, um seine Rechte im Netzwerk zu maximieren. Hier war sehr schnell ersichtlich, dass trotz der kleinen Unternehmensgröße zahlreiche Domain Admin Accounts existierten und diese auf „normalen“ Clients & Servern angemeldet waren.

Bei der Auswertung wurde deutlich, dass die 3 Admins im Haus, ca. 20 Accounts mit Domain Admin-Rechten angelegt haben und mit diesen auf fast der Hälfte der Systeme im Unternehmen sich nicht abgemeldet haben. Nun hatte der Angreifer eine Auswahl von über 50 Systemen, wo er sich das verwundbarste aussuchen konnte, um dieses zu kompromittieren und anschließend die Session des Domain Admins zu übernehmen.

Die Gegenmaßnahme

Grundsätzlich gibt es hier zwei Möglichkeiten dem Angreifer deutlich mehr abzuverlangen und sich besser zu schützen:

Domain Admins nur auf Domain Controller

Diese beide Begriffe/ AD-Objekte klingen nicht nur ähnlich, sondern sind auch gleich wichtig für jedes Netzwerk mit einer Windows Domain. Die Domain Administratoren dürfen sich niemals auf andere Server oder gar auf Clients verbinden, da diese in der Regel deutlich schneller kompromittiert werden können als ein Domain Controller.

Anzahl Domain Admins

Es sollten nicht mehr als 2-3 Domain Admins in einem Netzwerk existieren und diese sollten ausschließlich für Tätigkeiten auf dem Domain Controller vorgesehen werden (z.B. GPO konfiguieren).
Für alle anderen Tätigkeiten (Support, Software-Installation, Serverkonfiguration, Virenscanner oder Incident Response xD …) sollten dedizierte Gruppen angelegt werden, welche nur für die spezifischen Aufgaben genutzt werden kann.

Sicherheitsgewinn

Hoch

*Aus der Blog-Serie Top Security QuickFails

Top Security QuickFails: #1 Office Macros

6 June 2021 at 21:45

#1 Standard Office Macros Einstellungen

Der Angriff

Unser Mitarbeiter des Monats Peter Lustig erhält eine E-Mail seines Lieferanten SuperSchnell GmbH, welcher eine korregierte Bestellung in einem Excel Sheet angehangen hat.
Natürlich wurde das Excel Sheet mit einem Passwort geschützt, da ja die Datenschutz Grundverordnung alles andere strikt untersagt xD

Herr Lustig öffnet also seinen E-Mail Anhang und sieht folgende Meldung in seinem Excel Programm:

Selbstverständlich aktiviert Herr Lustig die Inhalte, da Herr Immerböser von der SuperSchnell GmbH bereits in der E-Mail darauf hingewiesen hat, dass dies für den Passwort-Schutz notwendig sei. Das Ergebnis sieht dann wie folgt aus:

Was ist passiert?

Das Macro hat eine Datei „poc_HanseSecure.exe“ aus dem Internet heruntergeladen, auf dem Desktop gespeichert (siehe oben Links) und ausgeführt. Das Programm macht an dieser Stelle nichts anderes, als eine MessageBox anzuzeigen. Ein echter Angreifer hätte weder das erste Powershell-Fenster anzeigen lassen, noch eine Messagebox als Payload verwendet. Stattdessen hätte dieser entweder alle beschreibbaren Dateien (auch auf Servern) verschlüsselt oder heimlich ein Backdoor installiert, um perfidere Angriffe durchzuführen.

Die Gegenmaßnahme

Es gibt zwei wesentliche Möglichkeiten diese Art von Angriffen (die 85% der perfideren Phishing-Angriffe ausmachen…) zu verhindern:

Macros Deaktivieren

Wenn im Unternehmen keine Macros genutzt werden, kann man sehr gerne dieses Tor zur Hölle einfach schließen und Macros grundsätzlich deaktivieren 😉
Falls nur spezifische Nutzergruppen Macros benötigen (zum Beispiel Vertrieb & Marketing, wer sonst xD), könnte man auch über eine GPO nachdenken, welche diese Benutzergruppe von der Deaktivierung ausschließt.

Macros Siginieren

Die Lösung mit deutlich mehr Aufwand, welche aber die Nutzung von Macros weiterhin flächendeckend ermöglicht, ist das Macro Signing.
Hierbei wird ebenfalls über GPOs konfiguiert, dass nur noch Macros ausgeführt werden können, welche entsprechend Signiert worden sind. Ein Beispiel, wie man Macros signieren könnte, hat Microsoft in einigen Beiträgen zusammengefasst.

Sicherheitsgewinn

Sehr hoch

*Aus der Blog-Serie Top Security QuickFails

Top Security QuickFails

6 June 2021 at 21:40

Die Vorgeschichte

Wir haben in den letzten Jahren extrem viele Penetrationstests bei Unternehmen jeglicher Größe und Branche durchgeführt (von der kleinen Anwaltskanzlei mit 3 Angestellten, über Kraftwerke bis hin zu Banken und Versicherungen mit mehreren tausend Mitarbeitern). Diese Blog-Serie zeigt eine Auswahl von Angriffsvektoren auf, von denen mindestens einer nahezu immer zur Kompromittierung der gesamten Domain führte oder zumindest die Informationssicherheit des Unternehmens stark gefährdete.

Hinweis: Die Liste ist keineswegs abschließend, weshalb dieser Serie ständig (wir versuchen es 🙂 ergängzt wird.

Die QuickFails

Best of the World in Security: Keynote Speaker

23 May 2021 at 19:44

Als ich vor einiger Zeit als Speaker für eine ’spezielle‘ Konferenz angefragt worden bin, dachte ich zunächst an Fake/Spam/Scam oder sonstiges.

Der Titel und Umfang der Veranstaltung klang völlig absurd, weshalb ich mich zunächst in meinem Netzwerk ungehört habe, um festzustellen, dass es sich hierbei um keinen Fake handelt…

Somit habe ich dem Veranstalter zugesagt und erhielt kurze Zeit später erhielt die offizielle Einladung als

Keynote Speaker bei Best of the World in Security mit einem Zuschauerkreis von 15.000+ (Erfahrungswert der vergangenen Jahre)…

Spätestens jetzt wird der eine oder andere Leser verstehen, warum ich meine Zweifel hatte.
Dazu kommen die übrigen Keynotes von einem Security Cloud Architekten bei Google, dem Vize Präsidenten von IBM Security oder dem Chef Researcher von Mcafee. Und mittendrin & als erster Deutscher, der Flo xD

Nachdem ich sich meine Aufregung wenigstens ein bisschen gelegt hatte, habe ich beim Veranstalter gefragt, wie ich in diesen LineUp gerutscht bin und seine Antwort hat mich dann erneut sehr überrascht. Die Veranstaltung hat keine Sponsoren, sondern alle Speaker werden nominiert und von einer Jury ausgewählt 🙂

Ich freue mich sehr auf die Veranstaltung, auch wenn ich unglaublichen Respekt vor dem LineUp habe!

So oder so werde ich hier und auf Twitter berichten 😉

Update vom 20.06.2021

Vielen Dank, dass ich dabei sein durfte!

Kooperation: Corporate Trust & HanseSecure

2 May 2021 at 18:45

Wir freuen uns seit dem 26.04.2021 die Kollegen von der „Corporate Trust Business Risk & Crisis Management GmbH“ als unseren ersten technischen Partner vorzustellen:

I am very happy to introduce our very first technical cooperation partner:@CorporateTrust

They will support us in the area of incident response, forensic and risk management so that we can keep our focus on offensive Security.#infosec #blueteam #redteam pic.twitter.com/31eF5UBrrh

— Florian Hansemann (@CyberWarship) April 26, 2021

Hier eine kurze Darstellung unserer neuen Kollegen:

Corporate Trust

Die Corporate Trust ist Ihr strategischer Partner im Risiko- und Krisenmanagement. Als Unternehmensberatung für Sicherheitsdienstleistungen unterstützen wir Unternehmen, Organisationen und Privatpersonen im High-Level-Security-Bereich

Sicherheitskonzepte sollten so effektiv und diskret sein, dass Sie ihre Existenz am besten gar nicht wahrnehmen. Genau das ist unsere Mission: Wir wollen eine Umgebung schaffen, in der Sie sich absolut sicher und ungestört auf Ihre Ziele und die Ziele Ihres Unternehmens konzentrieren können. Im Mittelpunkt steht dabei immer der Mensch.

Leistungen Corporate Trust

  • Digital Forensics & Incident Response
    Das wo wir Deine Leistungen am Besten ergänzen können ist sicherlich unser DFIR Leistungsspektrum. Unser Angebot: tiefgehende forensische Untersuchungen sowohl im Netzwerk als auch host-based, Projektleitung oder Beratung zur möglichst schnellen Wiederherstellung des Business in einer sicheren Umgebung und eine professionelle Verhandlung mit Erpressern soweit ein erfahrenes Krisenkommunikationsteam.
  • Klassische Sicherheit
    Im Speziellen die Angebote unserer Kollegen aus der klassischen Sicherheit können bei Deinen Kunden sicherlich auch interessant sein: Geldrückholungen bei Business Email Compromise (Fake President, Payment oder Goods Diversion), Background Checks von Geschäftspartnern oder Verflechtungsanalysen von verdächtigen Personen.

Zusammen mit unseren spezialisierten Fähigkeiten im Bereich Offensive Security & Security Research decken wir nun alle Gebiete im Bereich Security & IT-Security ab!

Wir freuen uns auf eine tolle Zusammenarbeit und spannende gemeinsame Projekte!

Talk: GO Business Nr. 175

24 April 2021 at 21:33

Gute Digitalisierung. Böse Digitalisierung.

Nachdem ich vor mittlerweile 4 Jahren meinen letzten Vortrag bei einer GoBusiness Veranstaltung gehalten habe, freue ich mich sehr, dass ich erneut eingeladen worden bin.

Dieses mal gibt es zwar keinen Live-Hack, aber die Inhalte sind umso spannender 😉
Falls Jemand noch Zeit & Lust hat, am 29.04.2021 dabei zu sein: Hier gehts zur kostenfreien Anmeldung.

Die Slides gibt es hier wie üblich anschließend zum Download.

Slides

Noch mehr Infosec gibt es bei meinem Twitter Account 😉

Talk: IT-Sicherheitsmanagement in Versicherungen

10 April 2021 at 22:31

Ich freue mich sehr am 07.05.2021 bei der Webkonferenz für IT-Sicherheitsmanagement in Versicherungen einen Vortrag halten zu dürfen.

Der Teilnehmerkreis besteht aus namenhaften Versicherungen und ich bin auf anregende Disskussionen gespannt.

Wie üblich werde ich diesen Beitrag anschließend mit meinen Slides ergänzen.

Here we go 😉

KeyNote auf der ISX QI 2021

16 February 2021 at 18:42

Am 10.02.2021 durfte ich eine KeyNote auf der Security Konferenz ISX des Vogel IT Verlages halten. Der Verlag hat einige coole Formate, welche der eine oder andere kennen könnte. Zum Beispiel gehören Security Insider und IT Business dazu 😉

Worum ging es?

Ich habe (in den doch sehr kurzen 15 Minuten 🙂 im Vortrag drei Gliederungspunkte erläutert

QuickFails

Aufzeigen von typischen Fehlern in Unternehmen, welche in meinen Penetrationstests häufig zu schwerwiegenden Sicherheitsproblemen führen -> und mögliche Gegenmaßnahmen 😉 – 3:50

Unglaublich aber wahr

Praxiserfahrungen eines Pentester. – 10:30

Warum ist „Cybern“ so schwer?

Ein Versuch den richtigen Weg für mehr Informationssicherheit aufzuzeigen. – 14:56

Video und Slides

Video

Die genutzte digitale Plattform war überragend und ich hatte extrem viel Spaß bei der Veranstaltung. Vielen Dank an das gesamte Orga-Team!

Zertifizierungen Q4 2020

25 November 2020 at 23:04

Ich versuche regelmäßig technische Trainings zu absolvieren, um neuen Input für meine Arbeit zu erhalten.
Daher habe ich in den vergangenen Monaten weitere Trainings absolviert und entsprechend Zertifizierungen erworben:

  • Hands on Hacking by HackerHouse (Link)
  • Certified Red Team Expert by PentesterAcademy (Link)
  • Adversary Tactics: Red Team Operations by SpecterOps (Link)

Ich versuche zu jedem Training ein Review zu schreiben, weiß jedoch noch nicht wann 😉

Vortrag bei Trust in Tech Cologne

22 September 2020 at 21:04

Ich durfte am 21.09.2020 einen Vortrag bei der Trust in Tech Cologne halten. Die Veranstaltung hat mir extrem viel Spaß gemacht und es war eine super offene Runde, vielen Dank dafür!

Hier geht es zu den Slides zum Thema „Der Letzte macht die Tür zu – Unverschlossene Büros als Einladung für Hacker

Podcast bei Tech Data

24 August 2020 at 22:40

Ich hatte sehr viel Spaß bei einer Jubiläumsausgabe des Podcasts „Einsen & Nullen, IT einfach erklärt“ bei Tech Data. Wir haben über unterschiedliche technische Prüfungsmöglichkeiten des Sicherheitsniveaus in Unternehmen gesprochen. Wer mag kann gerne reinhören 😉

Schwachstelle in Monitoring Software

3 June 2020 at 21:47

CVE

CVE-2020-13912

Verwundbare Software

SolarWinds „Advanced Monitoring Agent“ vor 10.8.9

Schwachstelle

Unzureichende Berechtigung/ Rechte Erweiterung

Zeitlinie

  • 18.05.2020 Hersteller informiert
  • 20.05.2020 Hersteller bestätigt die Schwachstelle und teiltHanseSecure mit, dass die Schwachstelle in Version 10.8.9 gepachted wurde.
  • 03.06.2020 Disclosure

Beschreibung

Die Software Advanced Monitoring Agent bis zur Version 10.8.9 wurde beim Anmelden jedes Nutzers (remote oder local) ausgeführt. Die entsprechende Datei ist von allen Benutzern auf dem System veränderbar. Ein böswilliger Nutzer könnte die Datei mit einer modifizierten Version austauschen, um beliebige Befehle im Kontext des anmeldenden Nutzers auszuführen.

Referenzen:

3x Mehr Sicherheit im HomeOffice

9 May 2020 at 15:31

Ich habe in den vergangenen Wochen einige Webinare und Unterlagen erstellt, welche Firmen und ggf. auch der einen oder anderen Privatperson helfen können, sich im HomeOffice abzusichern. Je nachdem wie viel Zeit man nun hierfür aufbringen kann/ will, muss man lediglich den richtigen Absatz auswählen 😉

Für die, ohne Zeit

QuickWins: Einfache Maßnahmen mit großer Wirkung
(Ich werde die PDF-Version noch nachliefern)

Erste Veröffentlichung am 08.05.2020 auf LinkedIn

Für die, mit etwas mehr Zeit

Slides meines Webinars „IT-Sicherheit im HomeOffice“ bei der IHK München
Zunächst gibt es eine kurze Einleitung zum Thema HomeOffice, bzw. zeige ich die wesentliche Unterschiede im Hinblick zur Security Maßnahmen auf.
Danach gehe ich auf die typischen Angriffsvektoren auf Nutzer im HomeOffice ein. Anschließend skizziere ich die möglichen Auswirkungen eines kompromittierten Clients in Ihrem Netzwerk. Am Schluss zeige ich dann verschiedene Möglichkeiten es dem Angreifer etwas schwerer zu machen 😉

Erste Veröffentlichung bei der IHK München am 06.05.2020 (nach Hansemann suchen 😉

PDF-Datei

Für die, mit viel Zeit

Aufzeichnung meines Webinars „IT-Sicherheit im HomeOffice“ bei der IHK München.

Timeline:

  • 00:00 – 06:00 Begrüßung
  • 06:00 – 09:00 Informationen zu meiner Person
  • 09:00 – 11:00 Allgemeine Einführung
  • 11:00 – 17:30 Welche Schutzmechanismen muss ein Angreifer im „idealen“ Firmennetzwerk überwinden
  • 17:30 – 19:30 Welche Schutzmechanismen muss ein Angreifer im HomeOffice überwinden
  • 19:30 – 21:00 Welche Schutzmechanismen muss ein Angreifer im HomeOffice mit privater IT überwinden
  • 21:00 – 30:45 Fragen aus dem Plenum
  • 30:45 – 34:45 Wie werden Nutzer im HomeOffice angegriffen?
  • 34:45 – 37:00 Auswirkungen eines kompromittierten Computers
  • 37:00 – 52:00 Einfache Maßnahme mit großer Wirkung für mehr IT-Sicherheit
  • 52:00 – 54:10 Idee zum Schutz privater IT (wenn es nicht anders geht)
  • 54:10 – 54:18 Übersicht aller Maßnahmen
  • 54:18 – 72:00 Fragen aus dem Plenum
  • 72:00 – * Ende

Abschluss

Viel Spaß beim Lesen/ Schauen und Einrichten 😉
Fragen und Kritik gerne via Twitter oder Email.

PS:
Wem es gefallen/ geholfen hat, kann mir gerne eine Rezession auf Google hinterlassen.

Zu viel Cyber, zu wenig Security!

14 April 2020 at 20:17

Die Anzahl der Cyberangriffe, die damit einhergehenden Schäden und die Professionalität der Täter nimmt immer weiter zu. Daher wächst derzeit der Security Markt stärker, als jeder andere. Dennoch oder gerade deshalb tauchen viele Anbieter auf dem Markt auf, die in der Security nichts zu suchen haben. Wie erkennen Sie einen guten Security Dienstleister?

Es gibt zahlreiche Anbieter im Bereich des Security Consultings. Diese können alles, haben lange Listen starker Referenzkunden und sind seit Jahrzehnten am Markt präsent. Die Bewertung und Unterscheidung der Qualität der Arbeit ist dennoch sehr häufig ein Problem, insbesondere für fachfremdes Personal. Selbst die derzeit eingesetzten Administratoren, Netzwerkarchitekten und/ oder IT-Leiter besitzen in der Regel nicht die tiefgreifenden Security-Fachkenntnisse, um zwischen den verschiedenen Security-Dienstleistern abzuwägen oder sogar ein Fachinterview zu führen.

Was tun?

Es gibt unterschiedlichste Kriterien, welche ich Ihnen empfehlen würde, um die Kompetenzen eines Security Dienstleisters zu bewerten. Grundsätzlich gibt es vier Anhaltspunkte, welche Ihnen die Möglichkeit bieten, die Fachkompetenz des potentiellen Dienstleister zu bewerten:

1. Veröffentlichung von Schwachstellen und/ oder Security Tools

Sofern der potentielle Dienstleister spezifische Kompetenzen im Bereich der technischen Security besitzt, hat dieser in der Regel ein Interesse daran seine Reputation in der Security Community zu erhöhen oder allgemein idealistisch die Informationssicherheit aller Systeme zu erhöhen. Hierfür gibt es zwei weit verbreitete und anerkannte Möglichkeiten: Die Veröffentlichung von Sicherheitslücken oder Tools zur Erhöhung der Security eines Systems.

Dienstleiter können bisher unbekannte Schwachstellen detektieren und veröffentlichen (in der Regel nach der Information an den Hersteller) und hierfür sogenannte CVEs beantragen. Dies steht für Common Vulnerabilities and Exposures, einem Industriestandard für Schwachstellen. Der Dienstleister erhält diese, wenn er eine valide Sicherheitslücke an die MITRE Coporation übermittelt, ein amerikanisches Forschungsunternehmen, das für verschiedene Bundesbehörden, Gerichte und Bundesministerien in den USA tätig ist. Sofern der Antrag valide ist, wird eine einzigartige CVE-ID generiert, welche die Schwachstellen öffentlich eindeutig katalogisiert und bewertet.

Kann Ihr potentieller Anbieter CVEs/ Schwachstellen vorweisen und sind diese sogar in einer weit verbreiteten Software im Einsatz?

Während der Bearbeitung spannender Projekte wird man als Dienstleister häufig vor Probleme gestellt, für die es noch keine automatisierte oder zumindest teil-automatisierte Lösung gibt. Daher entwickeln Dienstleister häufig kleine Tools/ Scripte, um gewisse Aufgaben zu erleichtern. Häufig werden diese dann über github oder gitlab der Community (in abgeschwächter Form) zur Verfügung gestellt. Dies hat neben den oben genannten Zielen noch einen weiteren Vorteil,: Die Open-Source-Projekte können von der gesamten Community (sofern ein tatsächlich Mehrwert generiert wird) weiterentwickelt werden.

Entwickelt der potentielle Dienstleister Tools zur Optimierung der Security für die Community und werden diese sogar gut bewertet?

2. Blogs der Anbieter

Hier kann von Fachbeiträgen zu aktuellen Security-Themen, über Anleitungen für Hacking bis hin zu der Entwicklung oder Verschleierung von Malware alles Mögliche festgehalten sein. Manchmal kann man anhand der Blogbeiträge einen Rückschluss auf die Tätigkeiten aus vergangenen Projekten schließen.
Wenn beispielsweise ein Blogbeitrag das Injizieren einer Malware in eine gängige Software beschreibt, ist es denkbar, dass der Dienstleister genau dies für einen Penetrationstest bei seinem Kunden genutzt hat.

Lesen Sie einige Beiträge des potentiellen Dienstleisters, um eine Idee für dessen technischen Fähigkeiten zu erlangen. Beschreibt der Blog  ausschließlich aktuelle Themen der Security oder widmet sich ihnen auf sehr strategischer und management-lastiger Ebene, ist der Dienstleister gegebenenfalls mehr für konzeptionelle Aufträge als für technische Sicherheitsanalysen geeignet.

3. Social Media

Der Community-Gedanke war im Bereich Security schon immer von sehr hoher Bedeutung. Waren es früher IRC Chaträume in denen man sein Wissen ausgetauscht hat, wird heute vorrangig Twitter genutzt.
Twitter ist in der Security Welt mit Abstand das beste Medium um auf dem aktuellsten Stand zu bleiben (Malware, Angriffsvektoren, Security Tools, Exploit Code, 0Days, etc.).
Anhand der Anzahl der Follower können auch Nicht-Security-Personen relativ schnell erkennen, ob der potentielle Dienstleister oder Consultant einen Mehrwert für die Community liefert. Hierbei sollte man jedoch zusätzlich auf die Reaktionen der Tweets achten (Likes, Retweets), um auszuschließen, dass Follower gekauft worden sind. Hat beispielsweise ein Account 10.000 Follower, jedoch lediglich zwei bis drei Likes pro Tweet, ist dies äußerst verdächtigt.

Schauen Sie sich die Social-Media-Accounts (insbesondere Twitter) an, um abzuschätzen, ob und welchen Stellenwert der potentielle Dienstleister in der Community einnimmt.

4. Beiträge auf Security-Konferenzen

Es gibt zahlreiche hochkarätige Konferenzen, bei denen Security Consultants als Referent teilnehmen. Nachfolgend ein Auszug der anerkanntesten Konferenzen in der technischen Security Community:

Wenn Ihr potentieller Dienstleister auf den obigen Konferenzen als Referent tätig war, können Sie davon ausgehen, dass er auf einem sehr hohem Niveau arbeitet.

HanseSecure als einer der besten 21 weltweit (zweimal ;-)

8 July 2019 at 09:04

Es ist etwas lustig, dass zwei unabhängige Unternehmen jeweils die „21“ Cybersecurity und Redteaming Quellen weltweit benannt haben. Aber ich bin sehr stolz, dass ich auf beiden Listen benannt worden bin 😉

Eins ist der amerikanische Blog namens Techbeacon und das andere ist der amerikanische Endpointprotection Hersteller SentinelOne.

2018 – Techbeacon: Modern red teaming: 21 resources for your security team

https://techbeacon.com/security/modern-red-teaming-21-resources-your-security-team

2019 – SentinelOne: 21 CYBERSECURITY TWITTER ACCOUNTS YOU SHOULD BE FOLLOWING

https://www.sentinelone.com/blog/21-cybersecurity-twitter-accounts-you-should-follow/

CVE-2019-12763: Unsichere Dateispeicher Security Camera CZ

8 July 2019 at 08:59

CVE

CVE-2019-12763

Verwundbare Software

Android App: Security Camera CZ

Schwachstelle

Unsichere Dateispeicher (M2, OWASP Mobile Top 10, 2016)

Zeitlinie

  • 28.05.2019 Hersteller informiert
  • 29.05.2019 Hersteller versucht die Schwachstelle zum nächsten Release zu fixen
  • 29.05.2019 Veröffentlichung

Beschreibung

Die Applikation Security Camera CZ bis zur Version 1.6.8 speichert Bilder des aufgezeichneten Videos auf dem externen Speicher. Diese Bilder können sehr sensible Daten enthalten, da diese häufig als Baby-WebCam genutzt wird. Der externe Speicher ist schreib- und lesbar durch jede andere App auf dem Gerät. Dies kann zur Offenlegung sehr sensibler Daten durch eine schadhafte App führen.

Referenzen:

❌