Featured

Bitte, beachten: Alle respektlosen Kommentare, werden vom Webseitenbetreiber zeitnah und ohne Zustimmung des jeweiligen Benutzers entfernt! Wir sind alle für freie Meinungsäußerung, jedoch Respekt ist eine humanitäre Pflicht, auch in der digitalen Neutralität! Konstruktive Kritik kann jederzeit als Kommentar, im jeweiligen Artikel, hinterlegt werden – weder ein Blogger, noch ein Security-Expert sind unfehlbar oder allwissend!

Diese Frage höre ich sehr häufig und dann wird meist sofort die Keule „IT-Grundschutz und ISO27001“ rausgeholt. Jedoch es geht auch anders, um ernsthaft seine IT-Sicherheit strukturiert zu bewerten und vernüftig zu optimieren!

Auch wenn es meist an Audit-Erfahrung, oder an strukturierter Herangehensweise an das Thema fehlt, jedes Unternehmen sollte sich selbst ein Bild verschaffen und die einschlägigen Erfahrungen aus dem „Compliance-Umfeld“ für sich sinnvoll nutzen.

Angefangen hat die ISACA Deutschland und BSI mit dem Cyber-Security-Leitfaden, der mittlerweilen auch über die Allianz für Cyber-Sicherheit verfügbar ist. Ich persönlich finde diesen Leitfaden sehr gut gelungen, da er die wichtigsten IT-Themen bewertet. Sehr ähnlich aufgebaut ist auch der schon länger bestehende IT-Assessment Standard in der Automobilindustrie der VDA und durch das kostenfreie verinice Tool hat man die einfache Möglichkeit, die Fragen strukturiert durchzugehen und am Ende einen Reifegrad-Report zu erzeugen (Wo stehe ich und wo sind die größten Baustellen?).

Brandaktuell hat sich nun auch die VdS dem Thema „Cyber-Sicherheit“ angenommen und ausgezeichnetes, kostenfreies Material zur Verfügung gestell (als auch die offizielle Zertifizierung nach VdS 3473). Gerade für den Mittelstand empfiehlt sich folgende Vorgehensweise. (nehmen Sie sich die Zeit die Fragen ehrlich zu beantworten, nur somit ensteht ein klareres Bild Ihrer IT-Sicherheit im Unternehmen):

  • Selbstbewertung Online durchführen (Dauer: ~30min): https://www.vds-quick-check.de/
    Beispiel Ergebnis (Kompakt- und Ergebnisbericht wird am Ende erzeugt):
    VDS_Quick_Check (PDF, 5 Seiten) | VDS_Quick_Check_2 (PDF, ~44 Seiten)
  • Wie sinnhaft die VdS 3473 Zertifizierung wirklich ist, möchte ich nicht bewerten. Am Ende des Tages sollte man als Unternehmen genau überlegen, ob es nicht gleich  sinnvoller ist die offizielle ISO27001 anzustreben, den dieser Compliance Standard wird international anerkannt und auch die VdS 3473 Anforderungen sind nicht mal zwischendurch getan!

Alle Audits benötigen gewisses Erfahrungspotential und Selbsteinschätzung hin oder her, es bedarf schon an erfahrenen Infrastruktur- und Audit Personen, die hier gezielt eine Roadmap, mit Ihnen gemeinsam entwerfen.

Hier ist aber vorsichtig geboten, denn es gibt eine Vielzahl von sogennanten „Security Quick-Checks“ die mehr auf Herstellerlösungen abzuielen, oder am Ende eine „Lösung“ platzieren wollen. Ein seriöser Anbieter, verwendet offizielle Vorgehensweisen und Standards und ist auch in der Lage einzuschätzen, was für Sie wichtig, oder nicht relevant ist. Ebenso hat er einschlägige zertifizierte Auditoren mit umfangreichen IT-Infrastruktur Know-How und einschlägigen Comliance Standards-/Datenschutz- Wissen (Bsp.: CISSP, CISA, CISM, TISP, IT-Grundschutz/ISO27001 Auditor usw.)!

.

Bei Anregungen, Fragen und Kritik, gerne kontaktieren/kommentieren!

So long,
Gerald Fehringer aka zerohat

hacking-team-100594987-primary.idge

Nachdem letztes Jahr FinFisher (Gamma Int.) gehackt wurde, hat es nun auch den unpopulären Spionagesoftware Hersteller Hacking Team erwischt. Letztes Jahr haben sich diese intern noch groß lustig gemacht, über den „Epic-Fail“ von FinFisher und jetzt nach deren Leak, kann man nur lächelnd den Kopf schütteln.

Die Lösung die Hacking Team verkauft, nennt sich RCS und wird exklusiv für Militär, Regierungen und Nachrichtendienste vertrieben. Darunter fallen natürlich auch exklusive Bereitstellung von sog. 0-Day-Exploits, die nicht nur selbstgeschrieben, sondern auch häufiger von einschlägigen Firmen eingekauft wurden, wie VUPEN, Immunity oder individuelle Exploit-Schreiber.

Noch gibt es keine 100% Bestätigung, aber es könnte der selbe Hacker/Hackgruppe sein, die auch FinFisher geknackt haben. Nach dem Leak zu beurteilen, hat der Angreifer auf die kompette Infrastruktur Zugriff gehabt.

Da es anscheinend intern massiv an Security-Best-Practices gefehlt hat, gibt es eine Vielzahl an brisanten und ungeschützten Dokumenten, als auch keinerlei Emailverschlüsselung – das ist richtig peinlich und bedeudet massiven Schaden für die Firma, wenn nicht das aus!

Was auch für die Öffentlichkeit sehr wichtig ist, zu sehen mit welchen Mitteln Geheimdienste vorgehen. Den die RCS-Software bündelt eine Vielzahl von sehr fragwürdigen Angriffstechniken, wie zum Beispiel:

  • Unterjubeln von illegalem Material
  • Weltweite Anomyzer, um die RCS-Kommunikation zu verschleiern
  • Umgehung/Manipulation von Verschlüsselung (Bitlocker, SSL/TLS, UEFI-Bios Rootkit …)
  • Platzierung von Spionagesoftware im Providerumfeld (Taps, BGP Hijacking …)
  • Geolocation für alle Wireless-Schnittstellen (GSM, WLAN, APPs …)
  • Hocheffektives Spamming für gezielte Spearphishing Angriffe

Veröffentlicht wurden über 400GB Material, darunter unzählige Internas wie Kundenrechnungen, Developer Releases, Dokumentationen, tausende von Emails (Wikileaks hat hierzu eine komfortable Suchmaschine zur Verfügung gestellt). Jedoch es wurde von den Angreifern/dem Angreifer nicht alles veröffentlicht und sicherlich noch einige 0-Day-Exploits zurückgehalten, für welche Zwecke auch immer (angeblich wurden über 800GB entwendet)!

Mittlerweilen wurden auch einige Java- und Adobe Updates kurzfristig zur Verfügung gestellt, da die Antiviren-Community bereits einige Hacking Team 0-Day-Exploits ausgewertet und Hersteller darüber informiert hat.

Infografik hierzu anklicken, um die Tragweite in Zahlen zu sehen, an wem hier primär verkauft wurde:

HackingTeambyNumbers

Wer sich nicht den kompletten 400GB Torrent runterladen möchte, der kann eine aufgeräumte Version hier Online einsehen und sich selbst ein Bild machen: https://ht.transparencytoolkit.org

Brisante Beispiele:

Die ganze Exploit-Szene ist mittlerweilen sehr fragwürdig, da teilweise über 50.000€ für 0-Day Exploits bezahlt (zeigen auch viele Rechnungen von Hacking Team) werden, ist dies für sehr viele Researcher ein extrem lukrativer Job geworden. Am Ende bezahlt der Steuerzahler, damit unwissende Geheimdienste auf fertige eSpionage-Software Zugriff haben und Click-Point-Attack-GUI’s!

Dies zeigt erneut, wie schwer sich Unternehmen tun, Ihre Infrastruktur abzusichern und wie das Beispiel Hacking Team zeigt, einfache Hilfsmittel (nein, auch FireEy, Lastline & Co hätte hier nur bedingt geholfen!!) hätten hier deutlich weniger Schaden verursacht, unter anderem:

  • Rigorose Emailverschlüsselung, auch für sensible, interne Kommunikation (S/MIME oder GnuPGP)
  • Festplattenverschlüsselung mit Pre-Boot Authentifizierung (TPM, oder noch besser mit USB-Tokens)
  • Bei Rechner Neukauf darauf achten, sofort auf aktuellste Bios Firmware zu aktualisieren und danach Bios Passwort setzen und kein
    Start von CD oder USB erlauben
  • Multifaktor-Authentifizierung von kritischen Webportalen (Twitter, GMail, o365, Kundenportale usw.)
  • Basis Security Analytics (Netzwerk-Basline Monitoring, Log-Eventauswertung der kritischen Systembereiche – im Zeitalter von Elasticsearch+Logstash+Kibana+Hadoop+Spark/Azure HDInsght … keine Ausrede mehr!)

Als sehr großer Azure & O365 Bekenner, interessiert mich als Security Experte, was im Hintergrund so passiert. Heute möchte ich mal aufzeigen, worauf man bei einer AD-Synchronsierung mit Microsoft Azure achten sollte.

Die Office 365 Services laufen auf den Microsoft Cloud (Azure) Foundation Services. Daher werden Standarddienste wie Active Directory Premiumbenötigt, um ein vernünftiges Active-Directory Hybrid Szenario aufzubauen. Zur AD-Synchronisation stehen folgende Methoden zum Einsatz bereit, wobei unter „Azure AD Connect“ nun alles zusammenläuft und die primäre Methode bei Ihrer Auswahl sein sollten (Upgrade von DirSync ist ebenso möglich):

zum Vergrößern, Bild anklicken!

Dahinter verbergen sich die guten alten Bekannten, wie Microsoft’s Forefront Identity Manager, Azure AD Sync & Dirsync – diese werden zukünftig|sind bereits nur noch über „Azure AD Connect“ zusammengefasst. Umfassende Information auf deutsch, finden Sie hierzu unter: https://msdn.microsoft.com/de-de/library/azure/dn790204.aspx .

Normalerweise kann man bei allen Microsoft Azure Diensten bestimmen, in welcher Region sich diese befinden, Bsp. Sie erstellen eine Webapp oder VM und bestimmen diese soll in der Nord- oder Westeurope Region stehen. Dann werden diese Daten auch nur zwischen RZ Dublin und Amsterdam gespiegelt (+ den Content Delivery Knoten in Europa). Bei Active Directory Synchronisation sieht das etwas anders aus, da die Microsoft Architektur, gewisse AD-Objekte weltweit synced, für maximale Performance und Geo-Verfügbarkeit.

Was sind die mindest-erforderlichen LDAP/AD-Objekte für Nutzung Office 365?

displayName: optional – wird zum Beispiel verwendet, um den vollständigen Anmeldenamen in Office-Applikationen anzuzeigen
givenName: gesynced – wenn befüllt, jedoch nicht in O365 verwendet
mailNickname: gesynced – Exchange Email Aliase
proxyAddresse: gesynced – korrekte Email Adresse
userPrincipalName: sollte dieses Feld nicht befüllt sein, dann wird sAMAccountName verwendet (unbedingt eine unique Kennung für den jeweiligen Nutzer, doppelte Werte vorher bereinigen bzw. werden bei der erstmaligen Synchronisierungsüberprüfung als Fehler angezeigt – hierzu kann man vorab auch das Idfix Tool laufen lassen!).
sn: gesynced – wenn befüllt, jedoch nicht in O365 verwendet
mail: gesynced – wenn befüllt, jedoch nicht in O365 verwendet

Für Nutzung der Globalen Adressliste (GAL) folgende Benutzer-Attribute (Bsp. für Lync):

givenName
surname
displayName
Job Title
Department
Office
Office Phone
Mobile Phone
Fax Number
Street Address
City
State or Province
Zip or Postal Code
Country or Region

Genaue Details hierüber: https://support.office.com/en-ie/article/Prepare-to-provision-users-through-directory-synchronization-to-Office-365-01920974-9e6f-4331-a370-13aea4e82b3e

 So long, zerohat

Mit Office Sway hat Microsoft eine weitere Innovation in den Markt gebracht und auf der Ignite 2015 eindrucksvoll vorgestellt. Für alle die schon immer eine einfache Methode für Webseitenerstellung und Content-Darstellung suchen, sei Sway sehr zu empfehlen (Darstellung & Editierung auf jedem Endgerät möglich, egal ob mobiles Endgerät, Tablet oder PC)!

Die Sway-Benutzeroberfläche ist sehr einfach und intuitiv – schauen Sie sich die Ignite Präsentation vom 4. Mai 2015 an:

Facebook, Twitter, Tumbler, Youtube was auch immer Sie schon an existierenden Content haben, venetzen Sie diesen in einem übersichtlichen, modernen User-Interface (UI).

Zusammen mit Office Graph, Delve und den neuen Surface 3 Tablets, hat Microsoft einen Meilenstein in moderner Zusammenarbeit gelegt und sollte von jedem Unternehmen evaluiert werden!

So long, zerohat

P.S.: nicht verzweifeln über den nicht immer ganz rasanten Aufbau der Sway-Seite, aber ist im Preview-Status und von einigen huntertausend Leuten benutzt!

Immer wieder gibt es große Vorurteile zum Thema „Datenschutz in der Cloud“. Als großer O365 & Azure Fan (ja, dies ist ein non-sponsored Blog ;-), möchte ich OneDrive von der technischen Seite beleuchten.

Continue reading…

Sign In

Reset Your Password