Startseite goSecurity.ch
Wissen Sie, wie es um Ihre IT-Sicherheit steht?
Startseite www.goout.ch

   :: Quick Audit
   :: Teil Audit
   ::
IT-Security Audit
   :: IT-Security Review
   :: Penetration Test
   ::
IT Strategie
   :: IT-Security Beratung

   


   :: Unternehmen
   :: Team
   :: Partner
   :: Pressespiegel
   :: Kontakt
   ::
Impressum    





 

 

:: Wie kann das Netzwerk geschützt werden?

Netzwerkzugriffsschutz

   

Der Zugriff auf das eigene Netzwerk sollte nur bestimmten Personen möglich sein. Zudem soll das Clientgerät aktuell und frei von schädlicher Software sein. Dieser INFONEWS zeigt, wie dies mit Windows Server 2008 gelöst werden kann und beantwortet dabei folgende Fragen:

:: Was ist NAP/NAC?
:: Wie kann damit das Netzwerk geschützt werden?
:: Wie kann das Client-Gerät überprüft werden?

[ INFONEWS 3/09 ]

 

 
:: Was ist das Active Directory?

Active Directory

   

Das Active Directory ist die zentrale Steuer- und Konfigurationsschnittstelle in einem Windows-Netzwerk. Praktisch alles kann darüber verwalten und konfiguriert werden. Daher ist die korrekte und sinnvolle Konfiguration sehr wichtig. Dieser INFONEWS geht dabei auf die verschiedenen Aspekte ein und beantwortet unter anderem die folgenden Fragen:

:: Aus welchen Bestandteilen besteht das AD?
:: Welche Konfigurationen sind möglich?
:: Wie funktionieren Gruppenrichtlinien?

[ INFONEWS 2/09 ]

 

 
:: Was bringt ISO 2700x für die IT-Sicherheit?

Security Management nach ISO 27001

   

Schützen Sie ihre Unternehmensdaten mit einem Security Management auf Basis der ISO 2700x Standards. Dieser INFONEWS zeigt, was ISO 27001 ist und wie die Norm angewendet werden kann.

:: Wie kann ISO 27001 die IT-Sicherheit erhöhen?
:: Welche Schritte umfasst ISO 27001?
:: Wie hilft die Software |Q|SEC bei der Umsetzung?

[ INFONEWS 1/09 ]

 

 
:: Kunden spielen "Russisches Roulette" mit ihren Systemen
Win32/Conficker, MS08-067
(2. Jan. 2009, update 8. Jan. 2009, update 30. März 2009)

Diverse Benutzerkonten haben plötzlich einen gesperrten Account


   

Seit ca. 30 Dezember 2008 wütet ein neuer, bösartiger Wurm (Malware) in div. Schweizer Firmen- und öffentlichen Verwaltungsnetzwerken. Verursacht wird dies durch den Win32/Conficker und dem nicht einspielen des ende Oktober 2008 ausserordentlich ausgerollten Microsoft Patch KB 958644 (MS08-067). Firmen, die diesen Patch bis jetzt nicht ausgerollt haben, handeln sozusagen fahrlässig.

Der Wurm nützt eine Schwachstelle im Windows Server service (SVCHOST.EXE) aus. Die Verbreitung erfolgt über das Netzwerk. Kann der schadhafte Code auf dem Zielsystem ausgeführt werden, erfolgt ein cleverer Installationsablauf, der das Entfernen des Wurms nahezu unmöglich machte. Seit ca. Mitte Januar 2009 haben einige Antivirenhersteller die Signaturen soweit angepasst, dass diese den Wurm anzeigen können. Inwieweit eine erfolgreiche Isolation direkt klappt, ist uns nicht bekannt. Entfernt werden kann der Conficker mittels den Removal Tools verschiedener Antivirenhersteller.

Verschiedene Firmen wie Microsoft, Ciso, F-Secure, Kaspersky, usw. haben sich zu einer „Conficker Working Group“ zusammengeschlossen. Zudem ist es einer kleinen Gruppe gelungen, ein Scanner zu entwickeln, der über den Port 445 das Netzwerk scannen kann und aufgrund des Rückgabewerts feststellen kann, ob ein Rechner infiziert ist oder nicht. Diese Funktion wird in absehbarer Zeit auch in nmap, nessus, usw. implementiert.

Firmen, die das Lockout, nach gewissen Anzahl Falschanmeldungen, aktiviert haben, werden die Ausbreitung des Wurms am schnellsten feststellen. Der Wurm sucht nach schwachen Administratoren Passwörtern und generiert so eine Flut von Anfragen an den Domain Controllern. Dies ist zudem auch im Security Eventlog auf dem Domain Controller sichtbar.

Gefährdet sind alle Firmen, die nicht über einen top aktuellen Virenscanner verfügen und den erwähnten Patch nicht ausgerollt haben. Das Risiko erhöht sich dadurch, dass sich der Wurm auch über Wechseldatenträger verbreiten kann. Wir stellen nach wie vor fest, dass es Firmen gibt, die keine aktive Firewall beim Laptop einsetzen, die das Firmennetzwerk, wie bei einem Aussendienstmitarbeiter, verlassen.
Was gilt es zu beachten?

  1. Alle wichtigen und kritischen Updates installieren (inkl. Dritthersteller)
  2. Aktueller Antivirus
  3. Mobile Geräte mit Antivirus und aktiver Firewall
  4. Mobile Device müssen nach jedem Austausch überprüft werden
  5. Wenn möglich das Netzwerk regelmässig überprüfen

Weitere Informationen
Weitere Bezeichnungen
Win32/Conficker.worm.88064 (AhnLab)
Win32.Worm.Downadup.Gen (BitDefender)
Win32/Conficker.C (CA)
Win32/Conficker.X (ESET)
Trojan.Win32.Pakes.ngs (Kaspersky)
W32/Conficker.worm.gen.c (McAfee)
W32/Conficker.D.worm (Panda)
W32/Confick-G (Sophos)
W32.Downadup.C (Symantec)

Technische Beschreibung zum Wurm
http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm:Win32/Conficker.D
http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm:Win32/Conficker.B
http://www.confickerworkinggroup.org
http://en.wikipedia.org/wiki/Conficker

Informationen zum Patch
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

Removal Tool
http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml

RootKit zum dedektiren
http://www.gmer.net/index.php