Faxgeräte als Angriffspunkt In vielen Unternehmen werden immer noch Faxgeräte, häufig als Multifunktionsgeräte, betrieben. Kaum jemand verschwendet noch einen Gedanken an diese Systeme und ausgerechnet über Fax gibt es einen Angriff und einen Weg in das interne Netz. Die Forscher von Checkpoint haben im letzten Jahr festgestellt, dass ein Angreifer lediglich eine Faxnummer benötigt, um […]
Thorsten Kamp
Posts by Thorsten Kamp:
IT-Sicherheitsgesetz 2.0 – Massive Ausweitung
Am 29.3.2019 hat das Bundesinnenministerium einen Referentenentwurf zum geplanten IT-Sicherheitsgesetz 2.0 in die Ressortabstimmung eingebracht. Neue KRITIS-Sektoren und Bereiche Eine zentrale Änderung ist die Ausweitung der Unternehmen, die als Kritische Infrastruktur betrachtet werden. So wird der Bereich der Abfallentsorgung neu in die Liste der Sektoren aufgenommen. Die bisher schon bestehende Kategorie „Unternehmen mit hoher Bedeutung […]
Kritische Lücke bedroht containerbasierte Virtualisierung
Container-Anwendungen sollen normalerweise keinen Zugriff auf das Hostsystem haben. Eine Sicherheitslücke ermöglicht es Eindringlingen derzeit allerdings aus priviligierten Containern auszubrechen um das komplette System / Host zu übernehmen. Schadcode Durch diese Sicherheitsanfälligkeit kann ein Angreifer aufgrund des Bugs in runc, der Container-Runtime von Docker, Kubernetes, containerd und weiteren Container-Systemen mittels eines schädlichen Containers die Host-Runc-Binärdatei […]
Ein sicheres Startup
Egal ob Blockchain, Internet of Things oder AI – viele gute Ideen werden von Startups an den Markt gebracht. Doch während die Unternehmen sich bemühen möglichst schnell ein Produkt auf den Markt zu bringen, bleibt die IT-Sicherheit dabei häufig auf der Strecke. Das kann sowohl die Sicherheit des Produkts als auch die Sicherheit des Startups […]
Cryptomining und wie man sich schützt
Der Missbrauch von Browsern, um Cryptowährungen zu erzeugen, ist ein scheinbar wachsender Trend. Zuletzt war es Angreifern gelungen, ein entsprechendes Programm auf 4275 Webseiten, darunter auch US-Regierungs-Webseiten, zu installieren. Auch sind es nicht nur Angreifer, die sich Zugriff auf eine Webseite verschafft habe, die solche Programme in Webseiten einbinden. Auch die Betreiber der Webseiten haben […]
Erfolglose Videoüberwachung
Am 1.8.2017 hat am Berliner Bahnhof Südkreuz ein Praxistest zur Videoüberwachung begonnen, der von Anfang an heftig kritisiert wurde. Nun wurde zum Jahresabschluss eine erste Bewertung der Testergebnisse veröffentlicht. Darin zieht das Bundesministerium des Inneren (BMI) eine positive Bilanz. „Bei 70 Prozent und mehr haben wir eine positive Erkennung der Gesuchten – das ist ein […]
Was ist Belastbarkeit im Sinne von Art. 32 DSGVO?
In Artikel 32 Abs 1 lit. b DSGVO wird das neue Schutzziel der „Belastbarkeit“ eingeführt. Allerdings wird nicht definiert, was damit gemeint ist. Schnell drängt sich der Gedanke auf, dass der Verordnungsgeber an dieser Stelle robuste Systeme fordert. Ein technisches System gilt dann als robust, wenn es die meisten erwartbaren Störereignisse bewältigt, ohne dass seine […]
Weihnachtshilfe für Admins
Wie heißt es doch so schön: „Und es begab sich zu der Zeit, dass alle Admins nach Hause zogen, um dort die IT-Probleme ihrer Familien zu lösen.“ Doch nun gibt es (Teil-)Hilfe. Für Einsteiger … Das Citizen Lab der University of Toronto hat die Webseite securityplanner.org gestartet. Auf dieser Webseite werden Tipps zur Absicherung der […]
Denial of Service gegen Windows
Auf der Defcon in Las Vegas haben Sean Dillon und Zach Harding, zwei Forscher von RiskSense, eine Schwachstelle in Windows SMB vorgestellt, die es einem einzelnen Angreifer ermöglicht, den gesamten Arbeitsspeicher eines Servers zu füllen und so das System zum Absturz zu bringen. Microsoft hat bereits mitgeteilt, diese Schwachstelle nicht zu beheben. Anfangs war noch […]
Passwörter – A new Hope
Cogito ergo sum, ich denke also bin ich. Die Auseinandersetzung des Menschen mit der eignen Identität hat schon vor vielen Jahren begonnen. In unserer heutigen Welt können wir im Netz so sein, wie wir wollen. Problematisch ist nur: Wie beweise ich, dass ich es bin? Die Antwort ist: Indem ich etwas weiß, was sonst niemand […]
33c3: Schwerer Angriff gegen SSL/TLS – The Drown Attack
Auf dem 33. Chaos Communication Congress wurde ein neuer Angriff gegen die aktuelle TLS-Verschlüsselung gezeigt. TLS wird im Internet u.a. zur Absicherung von Zugriffen auf Webseiten und zur gesicherten Übertragung von Emails genutzt. Der sogenannte DROWN-Angriff (https://drownattack.com) ermöglicht die Entschlüsselung dieser Übertragungen in kurzer Zeit. Grundlage für den Angriff ist, dass die meisten Server aus […]
Webserver sichern, aber wie?
Das BSI zur Absicherung von Telemediendiensten Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein „Diskussionspapier: Absicherung von Telemediendiensten“ für Internet-Dienstleister veröffentlicht. In diesem Dokument werden Empfehlungen gegeben, wie die Anforderungen aus § 13 Abs. 7 TMG erfüllt werden können. Die Maßnahmen Das BSI hat für die verschiedenen Providertypen (Content Provider, Host Provider, Access Provider […]
Gefährlicher Virenscanner
Im Rahmen einer Herz-Operation in den USA ist es zu einem Ausfall eines medizinischen Diagnosegeräts gekommen; Ursache war der Virenscanner. Der Fall Der Merge Hemo Monitor misst und überwacht die Gesundheitsdaten eines Patienten währen einer Herz-OP und kann diese auf einem angeschlossenen PC anzeigen. Während einer OP wurde die Kommunikation zwischen den Komponenten unterbrochen und […]
What`s up, WhatsApp, Verschlüsselung?
Lange Zeit ein Kritikpunkt, jetzt ein Qualitätsmerkmal? WhatsApp hat eine Ende-zu-Ende-Verschlüsselung (E2E) eingeführt. Plötzlich erschien in den Chatverläufen folgende Meldung: Klickt man auf die Schaltfläche, erscheinen weitergehende Informationen: Ende-zu-Ende-Verschlüsselung Bei einer E2E-Verschlüsselung liegen die zu transportierenden Daten während des gesamten Übertragungsvorganges ausschließlich […]
Zur Sicherheit von PINs
Im Internet ist eine Liste mit allen vergebenen EC-Karten PINs aufgetaucht: 0000 0001 0002 0003 0004 … Auch wenn es sich dabei nur um einen Witz handelt, bleibt dennoch die Frage, welche PINs häufiger verwendet werden. Mit diesem Wissen ist es für einen Kriminellen deutlich leichter, bei einem Angriff die richtige PIN zu finden. Auf […]