feed-image Feed-Einträge

WEP steht nicht wie vielfach zitiert für "Wireless Encryption Protocoll" sondern für Wired Equivalent Privacy. Die Wi-Fi Alliance veröffentlichte WEP unter dem Standard IEEE 802.11 im Jahre 1997. Lange konnte sich WEP nicht halten. Der zu kurze Initialisierungsvektor und weitere Schwachstellen ermöglichen es heute WEP innerhalb kürzester Zeit (wenige Sekunden bis Minuten) zu knacken. Bereits im Jahre 2003 wurden dann die ersten Geräte nach WPA (Wi-Fi Protected Access) zertifiziert. Nur kurz darauf, im Jahre 2004 wurden bereits Geräte nach WPA2 zertifiziert. Spontan könnten Sie denken, dass WPA und WPA2 verwandt sind. Dem ist aber nicht so. Die WiFi Alliance hatte eigentlich geplant mit dem Standard IEEE 802.11i auch einen Nachfolger für WEP einzuführen. Aufgrund des hohen Zeitdrucks nachdem klar wurde, dass WEP nicht mehr zu retten ist, wurde mit WPA ein "notdürftig geflicktes WEP" veröffentlicht. WPA2 ist dagegen neu aufgebaut worden. Es ist bis heute weit verbreitet und kann sowohl für die (heute veralteten) Standards 802.11a, b und g (bis ca. 50MBit/s) wie auch für 802.11n (bis ca. 300 Mbit/s) und 802.11ac (bis ca. 1.5 Gbit/s) verwendet werden.

Was Lateral Movement ist, sollte Ihnen seit unserem Blog vom 14. März 2018 bewusst sein. Das Verwenden der gleichen Passwörter macht diese Attacke besonders attraktiv. Gerade in einer Domänenumgebung kommt es nach wie vor (zu) oft vor, dass auf allen Clients und Server die lokalen Administratorenpasswörter dieselben sind. «Wer hat denn schon Zeit, auf allen Systemen separate Passwörter zu vergeben und dann auch noch der ständige Wechsel.» «Es ist für den Support so viel einfacher zu handhaben.» Das sind die Aussagen, die man von Systemadministratoren zu diesem Thema hört.

Wollen Sie einen Baum pflanzen oder einen Baum fällen? Die meisten Menschen werden sich spontan wohl eher für das Pflanzen entscheiden. Ausgenommen vielleicht diejenigen, welche sich gerade über den Schattenwurf einer 100-jährigen Eiche des Nachbarn ärgern.

Ein wichtiger Teil eines Audits ist die Kontrolle der Firewall. Denn die Firewall regelt den Datenverkehr in und aus ihrer Firma. In folgendem Blog werden die am häufigsten angetroffenen Schwachpunkte in Firewalls behandelt und wie Sie Ihre Firewall auf Vordermann bringen.

 

Bei der heutigen Fülle an Online Diensten fallen entsprechend viele Passwörter an. Bei jedem Dienst dasselbe Passwort zu verwenden, birgt hohe Sicherheitsrisiken. Doch ab einer gewissen Anzahl wird es schwierig, sich an das korrekte Kennwort zu erinnern. Aufschreiben? Keine gute Idee. Ein Passwortsafe bringt zwei Vorteile: Sicherheit und Komfort.

In einer sicheren Infrastruktur muss für jeden Dienst (Service) und jede Aufgabe (Scheduled Task) ein Service Account eingesetzt werden. Da sind auch unsere Auditoren, wenn sie bei Kunden die Infrastruktur durchleuchten, sehr gründlich. Wichtig ist, dass ein Service Account nicht für weitere Dienste eingesetzt wird. Ansonsten können bei einer allfälligen Kompromittierung die anderen Dienste in Mitleidenschaft gezogen werden. Ein Dienst oder eine Aufgabe darf auch niemals als LocalSystem (dabei handelt es ich um einen speziellen Account mit lokalen Administratorenrechten) ausgeführt werden.

Häufig unterschätzte Schwachstellen im Unternehmen sind nicht ordnungsgemäss geschlossene Remotedesktop (RDP)-Verbindungen, auch Sessions genannt. Eine Session entsteht, wenn sich ein Benutzer an einem Windows-System anmeldet. Sperrt der Benutzer den Bildschirm oder beendet eine RDP-Session ohne sich abzumelden, bleibt diese Session bestehen. Erlangt ein Angreifer die Berechtigung eines Administrators oder LocalSystem, kann dieser unteranderem, je nach Konfiguration des Systems, Anmeldeinformationen, wie beispielsweise den Kennworthash, aus dem Arbeitsspeicher auslesen. Im schlimmsten Fall kann sogar das Kennwort im Klartext ausgelesen werden. Diese Informationen können dann wiederum für Lateral Movement verwendet werden. Lesen Sie dazu den goSecurity BLOG: Lateral Movement.

In einer Windows-Umgebung wird das Kennwort nicht direkt gespeichert, sondern in einer mathematisch verschlüsselten Form als Hash-Wert. Sehr vereinfacht beschrieben, wird beim Anmelden an einem System das vom Benutzer eingegebene Kennwort in einen Hash-Wert umgerechnet. Der Hash-Wert wird anschliessend an einen Anmeldeserver übertragen und mit dem Hash-Wert aus der Datenbank verglichen. Bei einem lokalen System wird mit der SAM-Datenbank und bei einer Windows-Domänen-Umgebung mit der Active-Directory-Datenbank (ntds.dit) verglichen. Stimmen die Hashes überein, wird der Benutzer authentifiziert.

Im folgenden Blogartikel erfahren Sie, warum ein wichtiger Faktor zur Kontrolle eines Phishing-Mails ausgehebelt wird und wie Sie sich effektiv davor schützen können. Eine wenig bekannte Technik ermöglicht, dass ein vorhandener Link in E-Mails nicht mehr eindeutig geprüft werden kann.

"Alles brennt, alles geht in Flammen auf"… singt Johannes Oerding in einem seiner Songs. So oder so ähnlich mag sich der eine oder andere Administrator in den letzten Tagen gefühlt haben, wenn er die Nachrichten zu der unter Meltdown und Spectre bekanntgewordenen Schwachstellen verfolgt hat. Tatsächlich handelt es sich um massive Schwachstellen. Meltdown und Spectre bezeichnen allerdings nicht die Schwachstellen, sondern Angriffsszenarien von Googles Project Zero.