Der Zugriff von außen auf ein Unternehmensnetzwerk erfolgt häufig über einen bunten Strauß von Fernsteuerungsanwendungen. Egal wie sie heißen, ob Teamviewer, FastViewer, PcVisit oder Anydesk, das Grundkonzept ist überall dasselbe: Auf einem Rechner, der über eine permanente Internetverbindung verfügen muss, wird eine mehr oder weniger invasive Software gestartet. Sitzungs-ID und Passwort übermitteln und schon ist die Fernsteuerung eingerichtet. Wozu ein Management, wenn alles so einfach und sicher ist? Die Realität sieht leider anders aus, auch wenn die Anbieter immer wieder Sicherheitsversprechen abgeben, die übrigens bei Closed-Source-Software nicht überprüfbar sind.1 Read more

Zum Heise iX-Beitrag “Gefühlt sicher: Sicherheitsmythen und -irrtümer”1 habe ich vor einiger Zeit einen Kommentar zur Unternehmenskommunikation nach den typischen Ransomwareangriffen auf immer die gleiche Triade aus Windows, Office und Active-Directory geschrieben. Was es bedeutet, wenn jemand Phrasen wie “Wir nehmen Sicherheit ernst…” oder “Ob es zu einem Abfluss von privaten Daten kam, ist unbekannt” schreibt. In der aktuellen iX 7/2023 wurde dieser nun aufgegriffen und veröffentlicht.2 Vielen Dank dafür! Read more

Es gibt in diesen Tagen viele berichtenswerte Fails von Microsoft. Zugegeben habe ich Probleme da noch hinter her zu kommen: Von offenen Zero-Day Lücken in Exchange-Servern1, fehlenden Patches2, kaputten Bugfixes3 mit leicht auszuhebelnden IIS RegEx-Zeilen und Bugfixes von Bugfixes4. Die gewohnte Inkompetenz möchte man meinen. So wie zuletzt beim RDP-Protokoll5 und davor bei PrintNightmare.6 Ich möchte den Blick auf etwas richten, das im medialen Echo rund um die Exchange Zero-Day-Lücke unter dem Radar geblieben ist. Das gängige Security-Theater von Closed-Source Softwareanbietern mit intransparenten Diensten, immer wieder der Kundschaft vorgeträllert und üblicherweise kaum mess- oder verifizierbar. Es sei denn die Marketing-Märchen werden binnen kurzer Zeit als Lügen entlarvt. Read more

Immer wenn ich im offiziellen Auftrag Windows-Systeme hacken darf, steht ein Ordner ganz oben auf meiner “zu untersuchen” Liste. Praktisch überall, wo Remote-Desktop oder Remote-Apps zum Einsatz kommen, wird die Brisanz von angesammelten Cache-Daten auf den verbindenden Clients unterschätzt. Im Profil eines Benutzers unter %APPDATALOCAL%\Microsoft\Terminal Server Client\Cache bzw. C:\Users(Benutzername)\AppData\Local\Microsoft\Terminal Server Client\Cache finden sich die begehrten Überbleibsel einer RDP-Sitzung. Die von einem Terminalserver übermittelten Bildschirminhalte sind hier in Gestalt von .bmc und .bin Dateien zu finden. Die Dateien sind durchnummeriert und repräsentieren Farbtiefen und Indexpositionen, die uns nicht weiter zu interessieren brauchen. Wichtiger ist das in Python geschriebene bmc-tools1, welches jedem mit Zugriff auf diese Daten Einblick auf den Bildschirm eines Anwenders gewährt, meist rückwirkend auf längst vergangene RDP-Sitzungen. Read more

Wer Anwendungen entwickelt und HTML-Inhalte oder komplette WebApps eingebettet einblenden möchte, greift normalerweise auf fertige Webview-Komponenten des Systems zurück. Ein universales und prinzipiell sinnvolles und sicheres Prinzip in allen Programmiersprachen und Systemen - nicht so bei Microsoft Windows. Vor zwei Tagen hat der Security-Forscher und Hacker mr.d0x ein wenig gegen die Webview2-Komponente “geklopft”1. Das ist der “verchromte” Nachfolger, der Trident Rendering Engine, die offiziell im Internet-Explorer abgekündigt ist, inoffiziell aber weiterhin ihr Dasein in jedem Windows fristet. Read more

Zeit zum Feststellen unbequemer Wahrheiten. Im Grunde nichts Neues und alles Wiederholung dessen, was ich hier im Blog von mir gebe. Diesmal aber mit Unterstützung und Datenbasis des aktuellen Verizon1 Data Breach Investigation Reports (DBIR)2, den ich mir gestern Abend bei einem Glas Wein angetan habe. Bitte schnallen Sie sich an, es wird ein wilder Ritt durch aktuelle Zahlen und Ursachen, ergänzt durch meine Einlassungen und Praxisbeispiele. 82% aller Ransomware-Vorfälle basieren auf Social Engineering3. Erst mit Kenntnis von Personen und tagesaktuellen Vorgängen werden Menschen dazu gebracht, auf schadhafte E-Mails zu klicken. Das meine Damen und Herren sind die Nebeneffekte von jedem Engagement in den sogenannten sozialen Medien. Zugleich wird diese Entwicklung auch mit miserablen Kommunikations-Tools befeuert, die angereichert mit “social” Elementen und Inner-Platform-Funktionen4 jedem freudig Auskunft geben, an welchen Projekten Ihre Mitarbeiter arbeiten oder wann, mit wem und wo sie im Urlaub sind. Read more

Online-Testtools gibt es wie Sand am Meer und bieten erste Orientierung bei der Bestimmung, wie es um eine Website bestellt ist. Ich nutze sie selbst und stelle diese hier gelegentlich vor.1 Für Audits und weitergehende Analysen bedarf es Tools aus dem Pentesting-Werkzeugkoffer, die tiefer graben. Eines dieser Tools ist der OWASP2 Zed Attack Proxy3, abgekürzt ZAP genannt. Es ist ein mächtiges Tool mit einer Vielzahl von Erweiterungen, einer programmierbaren API und grafischen GUI und nicht ohne Grund Bestandteil der Kali-Linux Pentesting-Distribution.4 Read more

Die Tage erhielt ich eine Einladung als Referent auf einer IT-Security Veranstaltung zu sprechen. Die Veranstaltung ist bundesweit aufgestellt und durchaus attraktiv in Hinblick auf die mediale Sichtbarkeit und dem Line-Up an Themen und der versammelten Menschen. Das Who-is-Who der Branche. Die Sache entwickelte sich vermutlich aufgrund meiner bissigen Kommentare zunächst flapsig, spontan in einem öffentlichen Forum und setzte sich später mit der gebotenen Ernsthaftigkeit in einem persönlichen Email-Wechsel fort. Read more

Software-Entwickler oder Hersteller, die Electron in Ihren Apps einsetzen, gehören geteert, gefedert und öffentlich an einen Pranger gestellt. Den gibt es sogar1. Seit vielen Jahren bekannt: Electron ist wie Flash nur für den Desktop2. Es ist Inbegriff für Bloatware3 und macht aus jedem leisen, schnellen und energieeffizienten Notebook etwas lautes, träges und nur noch am Stromkabel zu betreibendes etwas. Für überschaubaren Javascript-Code werden Millionen an Codezeilen eines Webbrowsers und Webservers als Overhead mitgeschleift. Der komplette Stack für jede einzelne App. Macht sich auch in Terminalserver-Umgebungen besonders bemerkbar, wenn irgendwelche hippe Chat-Clients gleich drölfzigfach zum Einsatz kommen. Read more

Fest verkabelte Netzwerke werden üblicherweise mit zahlreichen Sicherheitsmerkmalen bedacht. Bei Drahtlosnetzwerken hingegen bleiben Admins oft blind gegenüber Einbruchsversuchen, die sich dank kostengünstiger Gadgets auch von Laien durchführen lassen. Abhilfe schafft ein Wireless Intrusion Detection System (WIDS). Klingt teuer, ist es aber nicht. Ein Raspi, ein WLAN-Stick und freie Open-Source Software reichen aus. In der kommenden c’t Ausgabe 19/2021 ab dem 28. August zeige ich in einem mehrseitigen “Hardcore”-Beitrag, wie sich das eigene Drahtlosnetzwerk besser schützen lässt1. Read more