Admins von Firmennetzen mit Printservern stehen derzeit ungeschützt da. Die von Microsoft im Juni behobene Schwachstelle CVE-2021-1675 beseitigt nicht die neue “PrintNightmare” Schwachstelle CVE-2021-34527. Wiederholt offenbaren sich die Schwächen der festen Patchdays im Mictrosoft Updatekonzept. Mit einem “out-of-Band” Update hat Microsoft am 06.07.2021 ein Update …Weiterlesen

Selbst mit den eigenen Maßstäben von Microsoft gemessen, erstaunen die Halbwertzeiten von Produktversprechen. Seit 2015 heißt es, Windows folge nicht mehr dem klassischen Lizenz- und Versionsschema. Windows 10 sei das “letzte Windows”. Sechs Jahre später ist alles anders. Das entspricht in etwa der Lebensdauer eines PC-Büroarbeitsplatzes. Gemessen an den deutlich längeren Produktzyklen …Weiterlesen

Forscher der Ruhr-Universität Bochum, der Universität Paderborn sowie der Universität Münster haben schwerwiegende Sicherheitslücken bei der Implementierung von TLS-Verschlüsselungen in gängigen Internettechnologien entdeckt, die effektiv zum Aufbrechen bzw. Übernahme führen können. Für Ihr Paper haben Sie 1.4 Mio betroffene Systeme bei großen Herstellern und Hostern identifiziert. Nach Sichtung …Weiterlesen

Das Netz ist voller Tipps zur Absicherung von SSH-Zugängen. Die Bandbreite reicht von SSH-Schlüsseln, Zwei-Faktor-Authentifizierung nach RFC 6238 bis zu drei Faktoren für alle mit Security-Fetisch. An der Praxis gehen diese gutgemeinten Vorschläge mitunter vorbei. Hier helfen andere Konzepte und Instrumente. Best-Practice für Ports im Allgemeinen und SSH-Ports im Besonderen: Keine offenen Ports im …Weiterlesen

Teammitglieder, Verantwortliche, Unternehmen oder eine Gemeinschaft der Genannten brauchen eine sichere Umgebung für ein faires und transparentes Miteinander. Eine Versionsverwaltung wie Git leistet das by Design. Dabei ist Git längst kein Voodoo-Zauber von Nerds für Nerds noch ist es die einzige Art von Versionsverwaltung. Es bezieht sich auch längst nicht mehr nur auf Softwareentwicklung, …Weiterlesen

Am 1. April hat Microsoft seinen Servicevertrag für Dienste überarbeitet und veröffentlicht. Diese sollen kommenden Monat am 15. Juni 2021 inkrafttreten. Hier einige “Kröten” zum Schlucken für jene, die bislang keine Berührungspunkte mit Informationssicherheit, Daten- oder Geheimnisschutz hatten. Das alles ist kein verspäteter Aprilscherz, ich verweise auf die in den Fußnoten …Weiterlesen

Positionsbestimmung im Mai 2021 Ein gutes halbes Jahr ist seit dem letzten Teil dieser Serie vergangen. Zeit für eine neue Positionsbestimmung und Beantwortung der Frage: Ist das Pinephone fit für den Alltag? Das klare „Nein“ aus dem ausgehenden 2020 ist einem vorsichtigen „es kommt darauf an“ gewichen. Die Entwickler aller verschiedenen Community-Editions leisten im Hintergrund beachtliche Arbeit …Weiterlesen

Diese Stellungnahme ist unter https://digikoletter.github.io zu finden und wurde von 77 renommierten und anerkannten Sicherheitsforschern erstunterzeichnet. Ich habe mich dieser Stellungnahme als weiterer Mitunterzeichner angeschlossen. Darüber hinaus kann ich nur empfehlen, die gegenständliche App nicht zu installieren und Geschäfte, welche diese verpflichtend einfordern, zu meiden. Digitale …Weiterlesen

In der Softwareentwicklung und im IT-Operations existiert ein ungeschriebenes Gesetz. Ein Anti-Pattern zur nachhaltigen Problemlösung und Komplexitätsreduktion. Niemand ist irre genug, es vorzuschlagen. Kein Kunde der Welt bereit, es zu bezahlen. Doch es gibt sie, die lichten Momente im Lebenszyklus eines Unternehmens, wo dieses Gesetz zur Anwendung kommen kann. Es lässt sich wie folgt …Weiterlesen

Die Entwicklungen des Exchange HAFNIUM-Hacks sind haarsträubend. Mindestens zehn weitere Hacker-Gruppen sind zwischenzeitlich aufgesprungen. Zehntausende Server weltweit sind eine zu große Verlockung. “DearCry” heißt die erste Ransomware. Im Klartext: Eine Tsunami-Welle rollt auf Microsoft AD-Netzwerke mit Exchange-Servern zu. Persönlich rechne ich ab diesem Wochenende mit der ersten …Weiterlesen