Normal view
Top Security QuickFails: #4 Kein SPF
Top Security QuickFails: #5 Angriff der KlonAdmins aka Missing LAPS
Vulnerability Wordline
Erster Radio Beitrag: Gefälschte Impfausweise
IBM Talk, die erste ;-)
HanseSecureCar #1
Sicherheitslücke in Remote Desktop Commander Suite Agent
HanseSecure als einer der Top 100 Cybersecurity-Leader ausgezeichnet
Schwachstelle in DSM Remote
Schwachstelle in Fujitsu PlugFree Network
Achtung Abzocke: HanseSecure bei Kabel 1
Anstehender blu Systems Praxistalk mit Florian Hansemann
HanseSecureCar #2
HanseSecureCar #3
HanseSecureCar #4
Schwachstelle in McAfee (CVE-2022-2188)
HanseSecure auf der itsa 2022
it-sa Expo&Congress
Europas führende Fachmesse für IT-Sicherheit
25. – 27. Oktober 2022
NÜRNBERG
Wir sehen uns vom 25. – 27. Oktober in Nürnberg auf der it-sa 365 !
Was ist die it – sa Expo& Congress?
⇒ https://www.itsa365.de/de-de/it-sa-expo-congress/ueber-die-messe
Komm vorbei als Besucher!
⇒ https://www.itsa365.de/de-de/it-sa-expo-congress/besuchen
Wir sind zu finden:
⇒ Halle 6 ⇒ Stand 6 – 229
Der Beitrag HanseSecure auf der itsa 2022 erschien zuerst auf HanseSecure GmbH.
Top Security QuickFails: #6 Die Passwortwahl: Viel Diskussion, wenig Umsetzung
Top Security QuickFails: #6 Die Passwortwahl: Viel Diskussion, wenig Umsetzung
Ein gewöhnlicher Arbeitstag bei der Usability-First AG in München. Die 2000 Mitarbeiter arbeiten derzeit an zahlreichen Großprojekten und fokussieren entsprechend die Produktivität. Auch Nina Nixmerker ist in Ihrem Projekt vertieft. Am Samstagmorgen wählt sich Nina aus dem HomeOffice ein, um noch einige Projektabschnitte für Montag abzuschließen. Sie wundert sich kurz, dass Sie bei der Anmeldung ihre bestehende Session beenden muss, da Sie sich sicher ist, sich am Freitag noch regulär abgemeldet zu haben.
Am Montag stellte die IT fest, dass ihre Zugangsdaten nicht mehr funktionierten. Nachdem Sie sich mit dem Notfall-Admin Account angemeldet haben, mussten diese feststellen, dass sich keine Dateien mehr öffnen ließen und mit einer .locked-Dateiendung versehen waren. Nach wenigen Minuten startete ein Chatfenster bei dem Account der IT mit dem Hinweis, dass die Unternehmensdateien verschlüsselt seien und man ab 15 Uhr für die Verhandlungen zur Verfügung stünde.
Was ist passiert?
Das Unternehmen Usability-First hat es in den vergangenen Jahren versäumt eine Password Policy einzuführen, noch die Nutzer entsprechend zu sensibilisieren. Somit arbeiteten alle 2000 Mitarbeiter im Unternehmen mit der Default Windows Domain Policy, welche unter anderem folgende Werte vorgibt:
- Passwort Länge: 7 Zeichen
Die Passwörter müssen mindestens 7 Zeichen lang sein, d.h. mit einer durchschnittlichen Gamer-Hardware kann ein Angreifer die Passwörter unter einem Tag knacken, wenn dieser Passwort-Hashes erlangt. Außerdem wird die Liste mögliche Passwörter, welche von den Nutzern verwendet werden, stark eingeschränkt was zum einen sogenannte Wörterbuch-Attacken begünstigt und zum anderen klassische Brute-Force Angriffe auf Login Funktionen. - Lockout-Schwelle: Deaktiviert
Ein Angreifer kann potentiell unendlich Login-Versuche auf die Accounts durchführen. Dies könnte an öffentlichen Diensten wie einen OWA oder M365 missbraucht werden, deutlich gravierender wäre jedoch, wenn ein Angreifer im internen Netzwerk Passwörter ausprobieren kann.
Aufgrund fehlender Awareness, Tools und Unternehmensvorgaben hatte Nina Nixmerker für alle Ihre Accounts das gleiche Passwort. Das Passwort Nina.N1! verwendete Sie sowohl auf Social Media wie Twitter, Instagram und Facebook, wie auch für Ihren Windows und VPN-Account.
Durch einen Datenleak bei Facebook wurde 2021 ihr Passwort offengelegt, wodurch Angreifer zunächst ihre privaten Accounts kompromittiert haben. Hierdurch stellten die Angreifer fest, dass Nina in einer mittleren Management Position in einem Umsatzstarken Unternehmen tätig war. Nachdem die Angreifer sich anschließend im Netzwerk angemeldet hatten, stellten diese fest, dass zahlreiche User (darunter auch der Domain Admin) den Usernamen als Passwort verwendeten, wodurch diese im Zeitraum von Freitagabend bis Montag das gesamte Unternehmen verschlüsseln konnten.
Was tun?
Es gibt grundsätzlich 4 einfache und eine mittelkomplexe Maßnahme zur Minimierung derartiger Risiken.
Passwort Safe
Kaum jemand kann sich mehr als eine Hand voll komplexer Passwörter merken. Wir sind der Überzeugung, dass Nutzer sich in der Regel nur 3 Passwörter merken müssen.
- Smartphone
- Windows/ Mac Login
- Passwort Safe
Alle weiteren Zugangsdaten werden in einem Passwort Safe erzeugt und verschlüsselt abgelegt. Bei der Auswahl des Tools solltet Ihr folgende Aspekte beachten:
Einfache Nutzung für die Nutzer (also Apps für Client, Smartphone und Plugin für Browser), Synchronisierung über Geräte und Rollen- und Rechtestruktur. Wir sind zusätzlich der Meinung, dass man Passwortsafes niemals in der Cloud hosten sollte, sollte immer eine OnPrem Lösung bevorzugen sollte.
Password Policy
Eine angemessene Password Policy im Unternehmen würde verhindern, dass sehr einfach und unbedacht Passwörter verwendet werden. Auch eine Lockout Sperre bei fehlgeschlagenen Anmeldeversuchen ist zwingend erforderlich. Wir empfehlen unseren Kunden folgende Konfiguration
- Passwortlänge: 12 Zeichen
- Passwortalter: 180 Tage
- Lockout-welle: 10 Versuche
- Lockout-Dauer: 6h
- Reset Lockout-Counter: 6h
Dies ist unsere Empfehlung aus zahlreichen Assessments der vergangenen Jahrzenten. Falls Ihr der Meinung seid, dass 14 Zeichen mit unendlichem Passwortalter die bessere Alternative ist, seid ihr herzlich eingeladen mit mir auf Twitter zu diskutieren
Awareness
Ohne ein grundlegendes Verständnis über Passwörter (Mehrfachverwendung – Datenleak, Identitätsdiebstahl, Schwache Passwörter, etc.) helfen die oben aufgeführten Maßnahmen nur bedingt. Deshalb sollten die Nutzer bezüglich dieses Themas (mindestens bei Onboarding im Idealfall 1x/Jahr) Informationen zu diesem Thema erhalten. Hier ein inhaltliches Beispiel für Tipps zum merken sicherer Passwörter -> Link auf Blogbeitrag
Audits
Sofern möglich, sollten mindestens die Passwörter in der Domain und bei öffentlichen (aus dem Internet erreichbar) Anwendungen jährlich überprüft werden. Bei Fragen, wie man dies im Idealfall prüft, sucht Euch einfach einen Dienstleister Eures Vertrauens
Sicherheitsgewinn
- hoch
*Aus der Blog-Serie Top Security QuickFails
Der Beitrag Top Security QuickFails: #6 Die Passwortwahl: Viel Diskussion, wenig Umsetzung erschien zuerst auf HanseSecure GmbH.
HanseSecure im ARD München Report
Gefahr -Identitätsdiebstahl bei Bewerbungen im Netz
Gängige Bewerberportale bieten den Nährboden für falsche Stellenanzeigen und den einhergehenden Identitätsdiebstahl.
“Schicken Sie uns Ihren Lebenslauf und wir benötigen Ihre Daten”, somit -VIELEN DANK für IHRE IDENTITÄT.
Erkennbar ist für Bewerber nichts! Diese Masche läuft schnell und unkompliziert. Die Gefahr- plötzlich führt die Unwissenheit zur Strafe. Strafverfahren für den gutgläubigen Bewerber folgen.
Zusammenfassung
- Identitätsdiebstahl geht ohne großen Aufwand & Kosten
- Strafanzeigen für den Bewerber folgen
- Personalausweis & Pässe niemals online zeigen/ schicken!
Links
Wer sich den Beitrag ansehen möchte, kann sich diesen entweder als Beitrag oder Video ansehen
Der Beitrag HanseSecure im ARD München Report erschien zuerst auf HanseSecure GmbH.
HanseSecure als Speaker in der Allianz Arena München
Rückblick
Am 21.Juli 2022 lud die „blu Sytems GmbH“ zum Praxistalk ein.
Thema
DIGITAL GOVERNANCE- NUR EIN WEITERES BUZZWORD?
Teilnehmer
Partner der „blu Systems GmbH“ Führungskräfte, IT-Leiter, IT Security Manager
Talking Points
“Security einfach, schnell und kostenfrei”
- präzise, verständlich, handhabbare Tipps zur Optimierung der IT- Sicherheit in Ihrem Unternehmen
- 6 QuickFails > einfach umzusetzen- keine großen Kosten- schnell, mit großem Security Impact z.B. LAPS, Office Macros
Der Beitrag HanseSecure als Speaker in der Allianz Arena München erschien zuerst auf HanseSecure GmbH.
HanseSecure in the ARD Munich Report
Kauf mich reich: Fakeshop erkennen
Weihnachten, BlackFriday, Sommersale,…
Jedes Jahr gibt es Zeiträume in denen spezielle Angebote online gestellt werden. Dies bietet allen die Möglichkeit tolle Schnäppchen zu machen. Gleichzeitig ist diese Zeit auch eine Oase für Betrüger, um mit sogenannten Fakeshops ordentlich Geld zu verdienen. Auf diesen Shops werden ebenfalls “tolle” Angebote gemacht, welche in der Regel nochmal günstiger sind als bei der “Konkurrenz”. Hierdurch werden die “Kunden” dazu verleitet auf diesen Websites zu shoppen. Die Kunden warten vergeblich auf ihre Waren…
Ein neues Fahrrad
Als Beispiel für derartige Fakeshops möchten wir ein Fahrrad erwerben. Konkret hätten wir gerne ein Fahrrad der Premiummarke Radon. Wer nach diesem Fahrrad-Typ bei Google sucht, stößt relativ schnell auf 3 Webshops, welche wir uns nachfolgend etwas genauer ansehen wollen.
bike-discount.de
Als Erstes betrachten wir den bike-discount.de Store, da diese Domain am “auffälligsten” klingt (subjektive Bewertung :). Hierbei werden alle einfachen Checks, wie sie auch bei der Analyse von z.B. Phishing-Seiten abgearbeitet.
1. Google Recherche “Fake/Verbraucherschutz”
Der erste Check ist einfach, aber effizient. Man prüft, ob der Shop bzw. die Domain (was oben in der URL steht) bereits im Zusammenhang mit den Begriffen ‘Fake’ bzw. ‘Verbraucherschutz’ im Internet auftaucht. Hier geben die entsprechenden Links Aufschluss darüber, ob bereits bekannt ist, dass es sich bei der Website um einen Fake handelt.
Ergebnis
Die Website bike-discount.de hat einige Einträge im Zusammenhang mit den Begriffen ‘Fake’ und ‘Verbraucherschutz’. Jedoch ist zu sehen, dass nicht bike-discount.de ein Fakeshop sind, sondern dieser Shop kopiert von Fälschern und selbst das Original ist.
2. Fußzeile
Hier gibt es unterschiedliche Aspekte, welche man prüfen sollte:
- Impressum & Datenschutzerklärung
Jeder seriöse Webauftritt muss eine Datenschutzerklärung und ein Impressum haben. Hierzu sind Unternehmen per Gesetz verpflichtet. Somit sind Webauftritte von deutschen Unternehmen ohne diese Angaben unprofessionell, wenn nicht sogar unseriös bzw. wahrscheinlich fake. Diese müssen nicht zwangsläufig in der Fußzeile stehen, aber auf jeder Website zu finden sein. - Kontaktdaten
Sofern Kontaktdaten angegeben sind, sollte diese schlüssig sein. Beispielsweise sollte die angegebene Telefonnummer zum Firmenstandort passen (ja es gibt auch Callcenter, aber wir beschreiben hier lediglich den Regelfall - Copyright
Die Daten vom Copyright sollten aktuell bzw. nicht stark veraltet sein. Kein professionelles Unternehmen betreibt 2022 eine Website, deren Copyright von 2015 ist. - Social Media Accounts & Trustlogos
Bei “schlechten” Fake Shops sind hier häufig nur Bilder hinterlegt bzw. zeigen die Links auf andere Ziele. Somit kann an dieser Stelle geprüft werden, ob es sich um valide Links zu validen Accounts der jeweiligen Logos handelt.
Der Social Media Account wirkt seriös, da dieser seit 2010 existiert, eine gewisse Anzahl an Follower hat und über einen langen Zeitraum Themenbezogene Posts vorweisen kann.
Ergebnis
Die Informationen auf der Website sind schlüssig (Telefonnummern passen zum Ort) und vollständig (Impressum & Datenschutz). Darüber hinaus sind valide Social Media Accounts und Bewertungen auf unabhängigen Bewertungsportalen vorhanden.
3. Der Firmen-Check
Sofern es sich um eine GmbH, UG oder AG handelt, können unterschiedliche Informationsquellen genutzt werden, um zu prüfen, ob die Firma tatsächlich existiert. Ich nutze hierzu beispielsweise gerne das Handelregister. Darüber hinaus kann man die Lokation in Google Maps prüfen und ggf. auch auf Linked & Xing nach den Geschäftsführern bzw. Mitarbeitern suchen.
Ergebnis
Die GmbH ist mit dem korrekten Firmensitz im Handelregister hinterlegt.
Zwischenstand bike-discount.de
Die Website hat entgegen der Vermutung alle vorherigen Prüfungen bestanden. Dennoch kann die Website gefälscht sein, denn ein Angreifer könnte von der originalen Website eine 1zu1 Kopie erstellen, wodurch alle Datensätze identisch wären. Lediglich der Bezahlvorgang würde verändert werden. Deshalb sind die nächsten 2 “technischen” Prüfungsschritte sehr wichtig!
4. Die Domain
Aufgrund des oben geschilderten Vorgehens der Betrüger, sollte geprüft werden, wie “alt” die Website bzw. die Domain ist. Hierzu gibt es zwei einfache Tools, welche nachfolgend gezeigt werden. Grundsätzlich gilt, dass valide Websites/Firmen länger existieren. Wenn die Domain einer Website jünger als 2 Jahre ist, ist dies unserer Erfahrung nach als verdächtig einzustufen.
Whois.com
Jede registrierte Webstie muss gewisse Informationen bereitstellen. Dank der GDPR/DSGVO sind viele Informationen jedoch nicht mehr einsehbar (Regristrator, Firmenanschrift, Telefonnummer, etc.). Hierdurch ist die Bewertung von Fake-Seiten deutlich schwieriger geworden. Dennoch gibt es weiterhin eine relevant Information, welche wir auf der Website whois.com finden können, wenn wir nach unserer Domain bike-discount.de suchen: Das Registrierungsdatum bzw. letzte Update (z.B. Domain verkauft).
Archive.org
Der Dienst archive.org macht seit Jahrzehnten regelmäßige “Backups” vom Internet. Websites werden abhängig von ihrem Stellenwert/Ranking entsprechend oft kopiert und gespeichert. Nutzer können anschließend die Website archive.org nutzen, um beispielsweise die Version von Amazon.com aus 2015 aufzurufen. Dies kann ähnlich wie whois.com genutzt werden, um zu prüfen wie lange eine Website existiert und um nach zu vollziehen, ob die Website auch in der Vergangenheit bereits ähnliche Inhalte hatte.
Abschließende Bewertung bike-discount.de
Aufgrund der Tatsache, dass alle unsere Tests positiv ausgefallen sind, ist davon auszugehen, dass es sich hierbei um keinen Fakeshop handelt
Fakeshop enttarnen
Im nächsten Blogpost, zeigen wir, ob und wie die anderen beiden Webshops als Fakeshops ent werden. Bis dahin könnt Ihr uns gerne auf LinkedIn oder Twitter eure Ergebnisse der Websitebewertung mitteilen. Das könnte beispielsweise so aussehen:
1x #fake
1x #nofake
#hansesecure #infosec
https://hansesecure.de/2022/11/kauf-mich-reich-fakeshope-erkennen
Der Beitrag Kauf mich reich: Fakeshop erkennen erschien zuerst auf HanseSecure GmbH.
HanseSecure bei der Walkshow: Cyber. Aber sicher!
Schwachstelle in PasswordSafe (Mateso)
ISX-IT Security Conference 01.03.2023 @ 9 – 15 Uhr
GRC.FIT Breakfast Talk 17.03.2023 @ 9- 12 Uhr
Wann: 17.03.2023 @ 9 – 12 Uhr
Wo: Steelcase GmbH; Brienner Straße 42; 80333 München
Der Beitrag GRC.FIT Breakfast Talk 17.03.2023 @ 9- 12 Uhr erschien zuerst auf HanseSecure GmbH.