Mittwoch Nachmittag ist Live-Event Tag zu Themen, Software und Technologien, die auf meiner gedanklichen Bucketlist stehen und ich längst angeschaut haben wollte. Warum nicht einfach das Screen-Recording dabei anwerfen und es zum festen Ritual machen? Alles live, ungeschminkt und mit Potential sich zum Stück Brot zu machen, wenn etwas nicht auf Anhieb funktionieren sollte. Dieses Event ist beendet, komm’ vorbei zum Nächsten am kommenden Mittwoch!

Teammitglieder, Verantwortliche, Unternehmen oder eine Gemeinschaft der Genannten brauchen eine sichere Umgebung für ein faires und transparentes Miteinander. Eine Versionsverwaltung1 wie Git2 leistet das by Design. Dabei ist Git längst kein Voodoo-Zauber von Nerds für Nerds noch ist es die einzige Art von Versionsverwaltung. Es bezieht sich auch längst nicht mehr nur auf Softwareentwicklung, sondern dient auch im Operations Technikern als Ressource für Konfigurationsdateien, Dokumentationen oder Referenz. Offene Schnittstellen zu Bots, Scripten und anderen Automatismen machen ein Git-Repository zum Grundgerüst eines Unternehmens. Zahlreiche grafische oder web-basierte Oberflächen helfen auch den technikfernen “Normalanwendern”. Read more

Am 1. April hat Microsoft seinen Servicevertrag für Dienste überarbeitet und veröffentlicht. Diese sollen kommenden Monat am 15. Juni 2021 inkrafttreten. Hier einige “Kröten” zum Schlucken für jene, die bislang keine Berührungspunkte mit Informationssicherheit, Daten- oder Geheimnisschutz hatten. Das alles ist kein verspäteter Aprilscherz, ich verweise auf die in den Fußnoten referenzierten Quellen. Disclaimer vorab: Ich bin kein Jurist und dieser Blogbeitrag stellt keine Rechtsauskunft dar. Keine Nutzung von Cortana Die in jedem Windows mit Ausnahme der Windows Enterprise LTSC Versionen enthaltene Cortana-Assistenzwanze ist ausschließlich nur für die “persönliche, nicht kommerzielle Nutzung” bestimmt und lizenziert. Die Nutzung von Cortana auf vom Arbeitgeber gestellten Geräten stellt einen Lizenzverstoß dar mit den entsprechenden Konsequenzen für Haftung und Folgekosten.1 Read more

Benjamin Delpy hat wieder zugeschlagen. Seine Aufmerksamkeit richtete sich diesmal auf das betagte SCCM1. Entwickelt in den späten 90ern blickt es auf eine wechselvolle Geschichte mit einigen Irrungen und Wirrungen zurück. Genauso sieht leider auch die Security dahinter aus, die bestenfalls mit “vergammelt” zu bezeichnen ist, wenn die Crypto zur Kommunikation mit Clients nur 3DES2 benutzt3. Das Video von einem aktuellen Windows 2019 Server mit RDS/RDP Terminalservices spricht für sich. Keine vorherige Code Injection, keine zuvor installierten Tools oder Libraries - einfach nur mimikatz4 auf einem beliebigen, mit dem Terminalserver verbundenen AD-Rechner und alle Kennwörter der aktuell angemeldeten Benutzer werden in Klartext sichtbar5. Read more

Jeden Tag wird mindestens ein Windows-AD in Unternehmen “ausgeknipst”. Das war bislang mein Spruch. Ich muß mich korrigieren. Es muss heissen: Jeden Tag werden mindestens drei Windows-AD in Unternehmen “ausgeknipst”. Das wird dokumentiert mit einer schönen Liste1 von 2.155 “geplatzten” Windows-Netzwerken aus den vergangenen beiden Jahren. Der erste Datensatz beginnt im Mai 2019, der Letzte ist datiert auf vorgestern, den 10.05.2021. Diese Liste zirkuliert aktuell in einschlägigen VX-Foren. Aus Deutschland mit dabei sind große Marken wie z.B. SIEMENS, INTERSPORT, EINHELL, IRLE DEUZ, TRACTO-TECHNIK, zahlreiche KMU, Universitäten und auch einige Anwalts- und Steuerkanzleien. Der letzte Datensatz stammt von einer Glausbau-Firma aus Augsburg und datiert vom 04.05.2021. Die Website ist erwartungsgemäß zwar in Suchmaschinen bestens indiziert, aktuell jedoch nicht aufrufbar. Read more

Es ist Freitag Nachmittag - Zeit für einen gepflegten Microsoft Rant von mir. Diesmal über den unsicheren “abgesicherten Modus” bei Windows und wie aktuelle Malware es zur Umgehung sogenannter Sicherheitslösungen ausnutzt, nachzulesen bei Heise-Security1. Windows: REvil-Trojaner trickst abgesicherten Modus aus Ich finde ein anschauliches Beispiel meines Blogs “Komplexe Schönwettersysteme” und wie usprünglich sinnvolle, gut gemeinte Funktionen zum Komplettversagen eines Systems führen2. Dabei ist Die Funktion selbst nicht neu, das mit den *Sternchen vor Jahren sogar von Microsoft dokumentiert3. Read more

Die Entwicklungen des Exchange HAFNIUM-Hacks sind haarsträubend. Mindestens zehn weitere Hacker-Gruppen sind zwischenzeitlich aufgesprungen. Zehntausende Server weltweit sind eine zu große Verlockung. “DearCry” heißt die erste Ransomware1. Im Klartext: Eine Tsunami-Welle rollt auf Microsoft AD-Netzwerke mit Exchange-Servern zu. Persönlich rechne ich ab diesem Wochenende mit der ersten Welle. Sie wird zuerst die Standard-Installationen befallen, wo die Hacker leichtes Spiel haben und anhand der Dokumente Ihre Ziele schnell identifizieren konnten. Ich tippe auf “lohnenswerte” - sprich zahlungsbereite - Behörden, Kommunen sowie große Unternehmen. Wahrscheinlich werden die Ziele noch manuell angegriffen da die benötigte Ransomware-Infrastruktur zum automatisierten Befall, Bezahlung und Entschlüsselung eingerichtet werden muß. Gleichzeitig herrscht unter den verschiedenen Hackergruppen ein harter Wettbewerb. Wer zuerst verschlüsselt, der gewinnt. Mit der zweiten Welle folgen die “low-hanging fruits”, die vielen namenlosen und automatisiert “abgefrühstückten” Server kleiner und mittlerer Unternehmen. Read more

Jeder mit einem im Internet betriebenen Microsoft Exchange-Server, Outlook Web Access (OWA) oder Exchange Active Sync (EAS) kann davon ausgehen, dass sein System seit Januar kompromittiert wurde. Das berichten Sicherheitsexperten wie Chris Krebs1 und Nachrichten-Magazine wie Golem2 oder Heise3. In Deutschland hat das BSI über 9.000 Unternehmen kontaktiert4. Die Tragweite der aktuellen Sicherheitslücken sind vergleichbar mit dem bisherigen Microsoft Super-GAU um Eternal-Blue5 und Wannacry6 vor 4 Jahren. Es ist nicht die erste Warnung vom BSI vor Microsoft Exchange7. Die Rufe erfolgen in immer kürzeren Intervallen mit immer höheren Schockwellen für die Betroffenen. Selbstverständlich sind Anti-Virus-Lösungen - Schlangenöl wie ich zu sagen pflege - kein wirksamer Schutz. Waren es noch nie in den vergangenen Jahrzehnten. Leider vertrauen noch immer zu viele IT-Verantwortliche diesem Geschäftsmodell. Read more

Zum Wochenende dieses Bild für alle Gesprächspartner der vergangenen Jahre, mit denen ich mich allgemein zur Digitalisierung oder ganz konkret bei der Frage nach Integration von Tablets oder Notebooks in einem Unternehmensnetzwerk gefetzt habe. Meine Empfehlung damals wie heute: Zero-Trust! Isoliert und segmentiert potentiell unsichere, closed-source AD-Infrastrukturen! Haltet Smartphones, Tablets oder Laptops außerhalb! Das gilt auch für unbekannte, nicht vertrauenswürdige Anwendungen. “Springer-Notebooks” sind für diese der bessere Ort. Packt Fachanwendungen auf RDP/RDS-Terminalserver1 und schafft einheitliche, web-basierte, offene Schnittstellen, die im Monitoring überwachbar bleiben. Für den Zugriff auf SMB-Dateien eignet sich Nextcloud2, für den RDP-Zugriff über HTTPS ein Apache Guacamole3. Nutzt RFC-standardisierte4 Mehrfaktor-Authentifizierungen! Technologien wie Keycloak5 oder PrivacyIDEA6 ermöglichen das unternehmensweit. Read more

Viele nutzen MS Teams unter der Annahme, dass Gäste problemlos in einem Webbrowser an Meetings teilnehmen könnten. Es ist Zeit, mit dieser Lüge aufzuräumen und sie endgültig in die Welt der Mythen zu verbannen. Folgende Einladung habe ich heute erhalten: Gleich aus mehreren Gründen sind solche Emails abzuweisen. Erstens unterlaufen Sie jede Awareness-Schulung zur IT-Sicherheit durch Auffordern des Anwenders zum Anklicken von Links in einer Email. Zweitens entspricht das nicht der Best-Practice und in seriösen Email-Programmen werden solche Mausklicks unterbunden. Drittens wäre es schön, wenigstens den vollständigen Link sehen und markieren zu können. Gerade für jene, die Ihr Handwerkszeug professionell und überwiegend mit der Tastatur bedienen ist jeder Griff in Richtung Maus oder Trackpad einer zu viel. Read more