Ich freue mich sehr am 07.05.2021 bei der Webkonferenz für IT-Sicherheitsmanagement in Versicherungen einen Vortrag halten zu dürfen.

Der Teilnehmerkreis besteht aus namenhaften Versicherungen und ich bin auf anregende Disskussionen gespannt.

Wie üblich werde ich diesen Beitrag anschließend mit meinen Slides ergänzen.

Here we go 😉

Gute Digitalisierung. Böse Digitalisierung.

Nachdem ich vor mittlerweile 4 Jahren meinen letzten Vortrag bei einer GoBusiness Veranstaltung gehalten habe, freue ich mich sehr, dass ich erneut eingeladen worden bin.

Dieses mal gibt es zwar keinen Live-Hack, aber die Inhalte sind umso spannender 😉
Falls Jemand noch Zeit & Lust hat, am 29.04.2021 dabei zu sein: Hier gehts zur kostenfreien Anmeldung.

Die Slides gibt es hier wie üblich anschließend zum Download.

Noch mehr Infosec gibt es bei meinem Twitter Account 😉

Wir freuen uns seit dem 26.04.2021 die Kollegen von der „Corporate Trust Business Risk & Crisis Management GmbH“ als unseren ersten technischen Partner vorzustellen:

I am very happy to introduce our very first technical cooperation partner:@CorporateTrust

They will support us in the area of incident response, forensic and risk management so that we can keep our focus on offensive Security.#infosec #blueteam #redteam pic.twitter.com/31eF5UBrrh

— Florian Hansemann (@CyberWarship) April 26, 2021

Hier eine kurze Darstellung unserer neuen Kollegen:

Corporate Trust

Die Corporate Trust ist Ihr strategischer Partner im Risiko- und Krisenmanagement. Als Unternehmensberatung für Sicherheitsdienstleistungen unterstützen wir Unternehmen, Organisationen und Privatpersonen im High-Level-Security-Bereich

Sicherheitskonzepte sollten so effektiv und diskret sein, dass Sie ihre Existenz am besten gar nicht wahrnehmen. Genau das ist unsere Mission: Wir wollen eine Umgebung schaffen, in der Sie sich absolut sicher und ungestört auf Ihre Ziele und die Ziele Ihres Unternehmens konzentrieren können. Im Mittelpunkt steht dabei immer der Mensch.

Leistungen Corporate Trust

• Digital Forensics & Incident Response
  Das wo wir Deine Leistungen am Besten ergänzen können ist sicherlich unser DFIR Leistungsspektrum. Unser Angebot: tiefgehende forensische Untersuchungen sowohl im Netzwerk als auch host-based, Projektleitung oder Beratung zur möglichst schnellen Wiederherstellung des Business in einer sicheren Umgebung und eine professionelle Verhandlung mit Erpressern soweit ein erfahrenes Krisenkommunikationsteam.
  
• Klassische Sicherheit
  Im Speziellen die Angebote unserer Kollegen aus der klassischen Sicherheit können bei Deinen Kunden sicherlich auch interessant sein: Geldrückholungen bei Business Email Compromise (Fake President, Payment oder Goods Diversion), Background Checks von Geschäftspartnern oder Verflechtungsanalysen von verdächtigen Personen.
  

Zusammen mit unseren spezialisierten Fähigkeiten im Bereich Offensive Security & Security Research decken wir nun alle Gebiete im Bereich Security & IT-Security ab!

Wir freuen uns auf eine tolle Zusammenarbeit und spannende gemeinsame Projekte!

Als ich vor einiger Zeit als Speaker für eine ’spezielle‘ Konferenz angefragt worden bin, dachte ich zunächst an Fake/Spam/Scam oder sonstiges.

Der Titel und Umfang der Veranstaltung klang völlig absurd, weshalb ich mich zunächst in meinem Netzwerk ungehört habe, um festzustellen, dass es sich hierbei um keinen Fake handelt…

Somit habe ich dem Veranstalter zugesagt und erhielt kurze Zeit später erhielt die offizielle Einladung als

Keynote Speaker bei Best of the World in Security mit einem Zuschauerkreis von 15.000+ (Erfahrungswert der vergangenen Jahre)…

Spätestens jetzt wird der eine oder andere Leser verstehen, warum ich meine Zweifel hatte.
Dazu kommen die übrigen Keynotes von einem Security Cloud Architekten bei Google, dem Vize Präsidenten von IBM Security oder dem Chef Researcher von Mcafee. Und mittendrin & als erster Deutscher, der Flo xD

Nachdem ich sich meine Aufregung wenigstens ein bisschen gelegt hatte, habe ich beim Veranstalter gefragt, wie ich in diesen LineUp gerutscht bin und seine Antwort hat mich dann erneut sehr überrascht. Die Veranstaltung hat keine Sponsoren, sondern alle Speaker werden nominiert und von einer Jury ausgewählt 🙂

Ich freue mich sehr auf die Veranstaltung, auch wenn ich unglaublichen Respekt vor dem LineUp habe!

So oder so werde ich hier und auf Twitter berichten 😉

Update vom 20.06.2021

Vielen Dank, dass ich dabei sein durfte!

Die Vorgeschichte Wir haben in den letzten Jahren extrem viele Penetrationstests bei Unternehmen jeglicher Größe und Branche durchgeführt (von der kleinen Anwaltskanzlei mit 3 Angestellten, über Kraftwerke bis hin zu Banken und Versicherungen mit mehreren tausend Mitarbeitern). Diese Blog-Serie zeigt eine Auswahl von Angriffsvektoren auf, von denen mindestens einer nahezu immer zur Kompromittierung der gesamten […]

#1 Standard Office Macros Einstellungen Der Angriff Unser Mitarbeiter des Monats Peter Lustig erhält eine E-Mail seines Lieferanten SuperSchnell GmbH, welcher eine korregierte Bestellung in einem Excel Sheet angehangen hat. Natürlich wurde das Excel Sheet mit einem Passwort geschützt, da ja die Datenschutz Grundverordnung alles andere strikt untersagt xD Herr Lustig öffnet also seinen E-Mail […]

#2 Domain Admins überall Der Angriff Es ist ein Montagmorgen und Kevin Vielzutun beginnt seinen monatlichen Server-Check im Netzwerk, denn er ist einer von 3 Administratoren der Fahrlässig GmbH mit rund 100 Mitarbeitern. Um Zeit zu sparen und somit effizienter zu arbeiten führt Kevin diese Prüfungen wie üblich mit seinem Domain Admin Konto aus, andernfalls […]

CVE CVE-2021-25269 Verwundbare Software HitmanPro.Alert Agent (Sophos Suite) vor 3.8.1.504 Schwachstelle Eine unzureichende Konfiguration des Dienstes erlaubt eine Erweiterung der Rechte auf System-Ebene. Zeitlinie 19.06.2021 Hersteller informiert 21.06.2021 Hersteller bestätigt die Schwachstelle und teilt HanseSecure mit, dass die Schwachstelle in der nächsten Version gepachted wird. 01.08.2020 Disclosure Referenzen: Sophos Hall of Fame

CVE CVE-2021-41428 Verwundbare Software Sowohl der Update-Manager bis Version 5.8.0.2300, als auch DFL bis zur Version 12.5.1001.5 sind von dieser Schwachstelle betroffen. Schwachstelle Eine unzureichende Konfiguration des Dienstes erlaubt eine Erweiterung der Rechte auf System-Ebene. Zeitlinie 22.06.2021 Hersteller informiert 24.06.2021 Terminvereinbarung für Rückfragen 05.07.2021 Rückfragen und weiteres Vorgehen 01.08.2021 Update 16.08.2021 Veröffentlichung Referenzen DATEV Help […]

#3 Die „unsichtbaren“ Netzwerkfreigaben Der Angriff Es ist Mittwochvormittag, die Sonne scheint und alle Mitarbeiter der ImmerGrün AG freuen sich auf das Sommerfest am Nachmittag.Beate aus der HR Abteilung wollte sich vorher noch einige Bewerbungen vom Vortag ansehen und wunderte sich noch, dass bei vielen Dokumenten plötzlich Macros zum Öffnen notwendig waren, aber das würde […]

Morgens halbzehn in Deutschland. Bianca in der MedienBude GmbH beginnt ihren Arbeitstag und checkt den Posteingang ihres E-Mail Postfaches. Dort findet Sie eine dringende E-Mail von Ihrem Chef, der Sie bittet die letzte Abrechnung zu überprüfen.

#5 Angriff der KlonAdmins aka Missing LAPS Der Angriff In der FaulerHund AG in München starten die Mitarbeiter in ein neues Geschäftsjahr und freuen sich auf neue Herausforderungen. So auch der Administrator Karl KannNixDafür, welcher am Donnerstag Mittag gegen 12:30 festgestellt hat, dass der Account von Ute Unbeschwert noch angemeldet ist, obwohl diese gegen 11 […]

CVE pending Vulnerable Software HIDCCEMonitorSVC Version <= 5.2.4.3 Vulnerability A Unquoted service path in HIDCCEMonitorSVC software allows a local attacker to potentially escalate privileges to system level. Timeline 29.10.2021 Vendor informed 10.11.2021 Vendor confirms the vulnerability and informs HanseSecure that the vulnerability will be patched in the next version. 21.12.2020 Disclosure References: Hall of Fame […]

Am 02.11.2021 durfte ich einen kurzen Beitrag bei der deutschen Welle zum Thema der gefälschen Impfausweise geben. Aufgrund der Tatsache, dass sich das Thema sehr umfangreich im Osteuropäischen Raum abspielte, hatte sich ausschließlich der russsich sprachige Bereich des Senders mit dem Thema befasst. Somit seid nicht überrascht, dass Sowohl der Beitrag, als auch das Video […]

CVE -anhängig- Anfällige Software Remote Desktop Commander Suite Agent <= Version 4.8 Schwachstelle Schwachstelle im unquotierten Dienstpfad Zeitleiste 12.11.2021 Verkäufer informiert 10.12.2021 Der Verkäufer hat das Problem bestätigt und bittet um eine Freigabe am 9. Februar 2022 09.02.2022 Offenlegung Beschreibung WENN ein Kunde a.) unseren Agentendienst im Standardpfad C:\Programme\RDPSoft\Remote Desktop Reporter Agent installiert und b.) […]

Cybersicherheit ist ein Thema, das immer mehr an Aufmerksamkeit gewinnt, da täglich über 80.000 Cyberangriffe gemeldet werden. Allein in Deutschland berichten mindestens 92 % der Unternehmen , dass sie innerhalb eines Zeitraums von 12 Monaten von irgendeiner Art von Cyberangriff betroffen waren. Glücklicherweise erweitern die Cybersicherheitsunternehmen ständig ihr Angebot für Unternehmen und Konzerne, um deren […]

Am 21.07.2022 ist es wieder so weit. Unser Gründer und IT Security Spezialist Florian Hansemann wird als Speaker auf dem blu Systems Praxistalk 2022 in München rund um das Thema „Security einfach, schnell und kostenfrei.“ Sprechen. Der diesjährige blue Systems Praxistalk findet unter dem Überthema „Digital Governance – Nur ein weiteres Buzzword?“ statt. Buzzwords begleiten […]

VON DER IDEE ZUR UMSETZUNG Zettel, Stift, Ideen – nach vielen Überlegungen und zerknüllten Zetteln entstand dieser Entwurf. Ab zur Planung Farben Das Aufgreifen der Firmenspezifischen Farben = rot/ grau/ schwarz/ weiß Grundfarbe grau / Autodetails schwarz / Linien & Logo & Schrift rot + weiß Auffällige Farbe passend zum Web – türkis Matrix/ binär […]

Die Feinheiten Einmal alle Ideen und Wünsche dargelegt. Die Möglichkeiten (Farben, Oberflächen, Effekte) und Materialien durchgegangen. Mit dem CAR GROOMER Team besprochen und visualisiert. Kurze Zeit später …. Hier war er- unser Van in 3D. Nochmals Kleinigkeiten personalisiert und ab ging´s in den Urlaub für unseren Van… WRAPPING In wie weit ihr euer Auto verändern […]

DER HANSESECURE VAN Hier ist er der ein wenig andere Van. Wir sind mit dem Ergebnis sehr zufrieden und können euch die Jungs von CAR GROOMERS sehr empfehlen – selbstbezahlt und somit Werbung aus Überzeugung ;o) Danke für das Interesse an dieser kleinen Reise und wenn ihr uns entdeckt- schickt doch mal ein Foto :o) […]

 

it-sa Expo&Congress

Europas führende Fachmesse für IT-Sicherheit

 

25. – 27. Oktober 2022

NÜRNBERG

 

Wir sehen uns vom 25. – 27. Oktober in Nürnberg auf der it-sa 365 !

 

Was ist die it – sa Expo& Congress?

⇒ https://www.itsa365.de/de-de/it-sa-expo-congress/ueber-die-messe

 

Komm vorbei als Besucher!

⇒ https://www.itsa365.de/de-de/it-sa-expo-congress/besuchen

Wir sind zu finden:

⇒ Halle 6 ⇒ Stand 6 – 229

 

Der Beitrag HanseSecure auf der itsa 2022 erschien zuerst auf HanseSecure GmbH.

 

Top Security QuickFails: #6 Die Passwortwahl: Viel Diskussion, wenig Umsetzung

 

 

Ein gewöhnlicher Arbeitstag bei der Usability-First AG in München. Die 2000 Mitarbeiter arbeiten derzeit an zahlreichen Großprojekten und fokussieren entsprechend die Produktivität. Auch Nina Nixmerker ist in Ihrem Projekt vertieft. Am Samstagmorgen wählt sich Nina aus dem HomeOffice ein, um noch einige Projektabschnitte für Montag abzuschließen. Sie wundert sich kurz, dass Sie bei der Anmeldung ihre bestehende Session beenden muss, da Sie sich sicher ist, sich am Freitag noch regulär abgemeldet zu haben.

Am Montag stellte die IT fest, dass ihre Zugangsdaten nicht mehr funktionierten. Nachdem Sie sich mit dem Notfall-Admin Account angemeldet haben, mussten diese feststellen, dass sich keine Dateien mehr öffnen ließen und mit einer .locked-Dateiendung versehen waren. Nach wenigen Minuten startete ein Chatfenster bei dem Account der IT mit dem Hinweis, dass die Unternehmensdateien verschlüsselt seien und man ab 15 Uhr für die Verhandlungen zur Verfügung stünde.

 

Was ist passiert?

 

Das Unternehmen Usability-First hat es in den vergangenen Jahren versäumt eine Password Policy einzuführen, noch die Nutzer entsprechend zu sensibilisieren. Somit arbeiteten alle 2000 Mitarbeiter im Unternehmen mit der Default Windows Domain Policy, welche unter anderem folgende Werte vorgibt:

• Passwort Länge: 7 Zeichen
  Die Passwörter müssen mindestens 7 Zeichen lang sein, d.h. mit einer durchschnittlichen Gamer-Hardware kann ein Angreifer die Passwörter unter einem Tag knacken, wenn dieser Passwort-Hashes erlangt. Außerdem wird die Liste mögliche Passwörter, welche von den Nutzern verwendet werden, stark eingeschränkt was zum einen sogenannte Wörterbuch-Attacken begünstigt und zum anderen klassische Brute-Force Angriffe auf Login Funktionen.
• Lockout-Schwelle: Deaktiviert
  Ein Angreifer kann potentiell unendlich Login-Versuche auf die Accounts durchführen. Dies könnte an öffentlichen Diensten wie einen OWA oder M365 missbraucht werden, deutlich gravierender wäre jedoch, wenn ein Angreifer im internen Netzwerk Passwörter ausprobieren kann.

Aufgrund fehlender Awareness, Tools und Unternehmensvorgaben hatte Nina Nixmerker für alle Ihre Accounts das gleiche Passwort. Das Passwort Nina.N1! verwendete Sie sowohl auf Social Media wie Twitter, Instagram und Facebook, wie auch für Ihren Windows und VPN-Account.

Durch einen Datenleak bei Facebook wurde 2021 ihr Passwort offengelegt, wodurch Angreifer zunächst ihre privaten Accounts kompromittiert haben. Hierdurch stellten die Angreifer fest, dass Nina in einer mittleren Management Position in einem Umsatzstarken Unternehmen tätig war. Nachdem die Angreifer sich anschließend im Netzwerk angemeldet hatten, stellten diese fest, dass zahlreiche User (darunter auch der Domain Admin) den Usernamen als Passwort verwendeten, wodurch diese im Zeitraum von Freitagabend bis Montag das gesamte Unternehmen verschlüsseln konnten.

 

Was tun?

 

Es gibt grundsätzlich 4 einfache und eine mittelkomplexe Maßnahme zur Minimierung derartiger Risiken.

Passwort Safe

Kaum jemand kann sich mehr als eine Hand voll komplexer Passwörter merken. Wir sind der Überzeugung, dass Nutzer sich in der Regel nur 3 Passwörter merken müssen.

• Smartphone
• Windows/ Mac Login
• Passwort Safe

Alle weiteren Zugangsdaten werden in einem Passwort Safe erzeugt und verschlüsselt abgelegt. Bei der Auswahl des Tools solltet Ihr folgende Aspekte beachten:
Einfache Nutzung für die Nutzer (also Apps für Client, Smartphone und Plugin für Browser), Synchronisierung über Geräte und Rollen- und Rechtestruktur. Wir sind zusätzlich der Meinung, dass man Passwortsafes niemals in der Cloud hosten sollte, sollte immer eine OnPrem Lösung bevorzugen sollte.

Password Policy

Eine angemessene Password Policy im Unternehmen würde verhindern, dass sehr einfach und unbedacht Passwörter verwendet werden. Auch eine Lockout Sperre bei fehlgeschlagenen Anmeldeversuchen ist zwingend erforderlich. Wir empfehlen unseren Kunden folgende Konfiguration

• Passwortlänge: 12 Zeichen
• Passwortalter: 180 Tage
• Lockout-welle: 10 Versuche
• Lockout-Dauer: 6h
• Reset Lockout-Counter: 6h

Dies ist unsere Empfehlung aus zahlreichen Assessments der vergangenen Jahrzenten. Falls Ihr der Meinung seid, dass 14 Zeichen mit unendlichem Passwortalter die bessere Alternative ist, seid ihr herzlich eingeladen mit mir auf Twitter zu diskutieren

 

 

 

Awareness

Ohne ein grundlegendes Verständnis über Passwörter (Mehrfachverwendung – Datenleak, Identitätsdiebstahl, Schwache Passwörter, etc.) helfen die oben aufgeführten Maßnahmen nur bedingt. Deshalb sollten die Nutzer bezüglich dieses Themas (mindestens bei Onboarding im Idealfall 1x/Jahr) Informationen zu diesem Thema erhalten. Hier ein inhaltliches Beispiel für Tipps zum merken sicherer Passwörter -> Link auf Blogbeitrag

 

Audits

Sofern möglich, sollten mindestens die Passwörter in der Domain und bei öffentlichen (aus dem Internet erreichbar) Anwendungen jährlich überprüft werden. Bei Fragen, wie man dies im Idealfall prüft, sucht Euch einfach einen Dienstleister Eures Vertrauens

 

Sicherheitsgewinn

• hoch

 

 

*Aus der Blog-Serie Top Security QuickFails

 

Der Beitrag Top Security QuickFails: #6 Die Passwortwahl: Viel Diskussion, wenig Umsetzung erschien zuerst auf HanseSecure GmbH.

Gefahr -Identitätsdiebstahl bei Bewerbungen im Netz

Gängige Bewerberportale bieten den Nährboden für falsche Stellenanzeigen und den einhergehenden Identitätsdiebstahl.
“Schicken Sie uns Ihren Lebenslauf und wir benötigen Ihre Daten”, somit -VIELEN DANK für IHRE IDENTITÄT.
Erkennbar ist für Bewerber nichts! Diese Masche läuft schnell und unkompliziert. Die Gefahr- plötzlich führt die Unwissenheit zur Strafe. Strafverfahren für den gutgläubigen Bewerber folgen.

Zusammenfassung

• Identitätsdiebstahl geht ohne großen Aufwand & Kosten
• Strafanzeigen für den Bewerber folgen
• Personalausweis & Pässe niemals online zeigen/ schicken!

Links

Wer sich den Beitrag ansehen möchte, kann sich diesen entweder als Beitrag oder Video ansehen

Der Beitrag HanseSecure im ARD München Report erschien zuerst auf HanseSecure GmbH.