Phished!

Als Berater und technisch äußerst erfahrener Consultant, der SMTP fließend spricht, seine Mails per Konsole bei Mailservern abliefern kann (zumindest solange diese kein TLS erzwingen) und der vor vielen Jahren seine Diplomarbeit über E-Mail-Sicherheit (Verschlüsselung und Signatur) geschrieben hat, halte ich mich für ziemlich solide vorbereitet auf Phishing-Attacken per Mail. Dazu kommt, dass ich so ziemlich alle Wellen der letzten Jahre nie in meinen eigenen Postfächern zu sehen bekommen habe.

Seit einiger Zeit bin ich intensiver Nutzer von und Evangelist für Microsoft Teams. Die moderne Art der Zusammenarbeit ist ein Segen und reduziert unter anderem die Notwendigkeit von E-Mails. So war ich durchaus interessiert daran, die Entwicklung dieser Lösung ein Wenig mit zu beeinflussen, als die Einladung eines von Microsoft beauftragten Marktforschungsunternehmens mich erreichte, an einer Umfrage zu Teams teilzunehmen. Allerdings habe ich chronisch wenig Zeit, war konkret eher gehetzt, aber zuversichtlich, dass ich die Umfrage in weniger als den avisierten 10 Minuten durchklicken könnte, um den Task damit aus meiner Liste zu schaffen.

Zum Glück ist Microsoft Edge mit aktiviertem SmartScreen mein Default Browser: nach dem Klick auf den Umfragelink leuchtete mir eine knallrote Seite entgegen, die mir mitteilte, dass die aufgerufene Adresse als unsicher gemeldet worden sei.

Welche Fehler hatte ich gemacht?

Nun, die Mail war nicht sehr auffällig; perfekter deutscher Text, bekannte Logos, eine akzeptable sichtbare Absenderadresse, kein Anhang. Im leider weit verbreiteten Stress-Modus gehen dann solche Überlegungen unter wie „Moment mal, Microsoft interagiert intensiv über uservoice.com mit den Nutzern, um Teams anhand des Anwender-Feedbacks zu verbessern, wozu brauchen Sie da noch so eine Aktion?“ – und wer kennt schon alle Executive Vice Presidents von Microsoft?

Auch bei einer näheren Betrachtung, die definitiv nicht zum Repertoire „normaler“ Anwender gehört und auch den zeitlichen Rahmen sprengt, den ich so einem Vorgang normalerweise angedeihen lassen könnte, zeigt sich, wie gut die Phishing-Mail gestaltet ist: sie trägt sogar eine valide, wenn auch „relaxed“ DKIM-Signatur, das benannte Marktforschungsunternehmen existiert wie auch die übereinstimmende Absender- und Link-Domain. Auffälligkeiten finden sich erst in den tieferen Schichten:

  • Es gibt keinen SMTP-Received-Path vor der Einlieferung bei unserem Eingangsserver (MX), die direkt von einer IP aus dem Amazon (AWS) Kosmos kam.
  • outlook-mailer.com ist undurchsichtig registriert (WhoisGuard Protected), was ein Marktforschungsunternehmen eher nicht tut.

Nochmal zum Glück war die ganze Aktion keine echte Attacke, sondern eine interne Demonstration der Wirksamkeit von Sophos Phish Threat. In den zugehörigen Anwendertrainings werden entsprechende Sensibilisierungen und Hinweise vermittelt, um auf Bedrohungen dieser Art noch besser reagieren zu können. Die simulierten Angriffe sind vielfältig und basieren auf echten Bedrohungen, die Analysten weltweit beobachten.

Ich musste mir also eingestehen, dass selbst ich nicht vor dieser Art von gezielten Attacken gewappnet bin. Wer könnte das also glaubhaft von sich behaupten?

Digitaler Nachlass – vorsorgen und verwalten

Es ist ein Thema, mit dem sich niemand gerne befasst. Allerdings ist die Regelung des digitalen Nachlasses heute mindestens so wichtig wie die klassische Nachlassregelung für „Haus und Hof“.

Neben der akuten Trauer stehen die Angehörigen nach dem Tod eines geliebten Menschen vor einem Berg von Arbeit und wahrscheinlich einem Meer von Accounts, Profilen, Konten, Verträgen und so weiter. Je besser die Bewältigung dieses Chaos vorbereitet ist, desto schneller und besser können sich die Angehörigen mit der eigentlichen Trauerarbeit befassen.

Ohne viel weitere Einführung möchte ich daher hier einige Tipps, Anregungen und Fingerzeige geben. Sowohl für jeden selbst zur Vorbereitung als auch für die Angehörigen, die den digitalen Nachlass verwalten sollen.
„Digitaler Nachlass – vorsorgen und verwalten“ weiterlesen

Die DSGVO und der „Stand der Technik“

Wie können wir sicher sein, dass wir die durch die europäische Datenschutzgrundverordnung geforderten technischen und organisatorischen Maßnahmen korrekt ergriffen haben? Einerseits ist es Aufgabe des bestellten Datenschutzbeauftragten (DSB), dies zu überprüfen, andererseits gibt es ein paar Eckpfeiler, die sichergestellt sein müssen:

  • Hat eine Feststellung des Schutzbedarfes der zu verarbeitenden Daten stattgefunden?
  • Sind am Schutzbedarf orientierte technische und organisatorische Maßnahmen (TOM) definiert, umgesetzt und dokumentiert worden?
  • Entsprechen die technischen und organisatorischen Maßnahmen dem Stand der Technik?

Moment – Stand der Technik? Was ist denn unter dem Stand der Technik zu verstehen? Da diese Bezeichnung von zentraler Bedeutung für die qualitative Bewertung der TOM ist, sollte sie genauer untersucht werden. Zum Glück gibt es eine regelmäßig aktualisierte Handreichung zu genau diesem Begriff im Rahmen des alten IT-Sicherheitsgesetzes und der DSGVO vom Bundesverband IT-Sicherheit (TeleTrusT). „Die DSGVO und der „Stand der Technik““ weiterlesen

Nach Sicherheitsvorfall: Citrix stellt neue NetScaler Builds bereit

Es war ein beispielloses Szenario: Für mehrere Tage waren keinerlei Firmware-Versionen von Citrix NetScaler zum Download verfügbar, zurückgezogen aufgrund eines nicht näher spezifizierten „Issues“, der gefunden worden sei.

Die Verweise auf Best Practises und Secure Deployment Guides legten bereits nahe, dass ein Sicherheitsrisiko im Bereich des Management Access vorliegen dürfte. Dieser ist immer auf der NetScaler IP (NSIP) als der primärer Management-IP zugänglich und kann auf jeder Subnet IP (SNIP) ebenfalls aktiviert werden. Welcher Dienst genau betroffen sei (in Frage kamen SSH oder der Webserver für die GUI), war nicht erkennbar. In den allermeisten Deployments  jedoch dürfte der verwundbare Dienst ohnehin nur im Management-Netz erreichbar gewesen sein, gemäß Best Practises sogar nur für explizit berechtigte Admin-Arbeitsplätze. Insofern erschien die Maßnahme überraschend heftig, zu der Citrix mit dem Zurückziehen sämtlicher Builds griff.

Jetzt hat Citrix neue Builds der supporteten Versionen 10.1, 10.5, 10.5e, 11.0, 11.1 und 12.0 bereitgestellt. Im zugehörigen Security Bulletin ist nun auch ausgeführt, worum es sich handelt: Die Authentifizierung am Management Interface kann unter bestimmten Umständen umgangen werden, so dass Unbefugte administrativen Zugriff erlangen können.

Zeitnahe Updates sind dringend angeraten. Derweil die schon empfohlenen Best Practises zum sicheren Deployment. In allen Punkten unterstützen wir zahlreiche Unternehmen aktiv – kommen Sie gerne auf uns zu, wenn Sie Fragen haben.

Cloud Forum 2017 by michael wessel am 2. März

Die Nutzung von Business Cloud Services ist als Plattform einer digitalen Transformation in der Realität von vielen Firmen bereits angekommen und wandelt die Anforderungen an die IT – auch in Ihrem Unternehmen.

Mit dem Cloud Forum 2017 by michael wessel am 02.03.2017 widmen wir uns intensiv und praxisnah sowohl den Auswirkungen als auch dem Potenzial von Cloud Lösungen und bieten Ihnen einen einfachen Zugang zu Cloud Services. „Cloud Forum 2017 by michael wessel am 2. März“ weiterlesen

Nutanix Community Edition nested on ESXi

Want to test drive Nutanix‘ Xtreme Computing Platform or build a lab without providing (at least) three physical hosts? Get one with decent equipment to run vSphere Hypervisor (aka ESXi) and do it like this:

Register and download Nutanix Community Edition.

Extract the ce-<version>.img from the downloaded archive, rename it to ce-flat.vmdk, create a disk descriptor file (or download it) and save it as ce.vmdk.

Install ESXi and create a vSwitch with promiscuous mode enabled. If building on an existing vSphere deployment, do NOT use an existing vSwitch and enable promiscuous mode there, but create a new one with dedicated interface(s).

Create a VM per Nutanix node (minimum 3) with the following parameters (bare minimum):

  • CentOS 64Bit
  • 4 sockets with 1 core each
  • 16GB RAM
  • 1x Intel e1000 vNIC
  • LSI SAS controller
    • disk 0:0 500GB (pretending HDD)
    • disk 0:1 200GB (pretending SSD)
  • Copy ce.vmdk and ce-flat.vmdk to VM folder on datastore (browse datastore, upload)
    • attach existing disk ce.vmdk as 1:0 (pretending flash with Nutanix OS)
  • edit VM configuration to expose virtualization functions of CPU to VM, if not able to set this through VMware web GUI, download VMX file through datastore and edit it:
    • set hardware version to „9“ (required for me as I was using ESXi 5.1)
    • add line: vhv.enable = „TRUE“

Power on the VM and enter BIOS (F2), move SCSI1:0 to top of SCSI disks in boot order. Save (F10).

Now your VM will boot the Nutanix CE image. Login as root (nutanix/4u) and edit the sysUtil.py script:

# vi /home/install/phx_iso/phoenix/sysUtil.py

Find lines “SSD_rdIOPS_thresh = 5000” and “SSD_wrIOPS_thresh = 5000” and lower the respective thresholds so the script will accept your disks as SSDs. If both VMDKs will satisfy the thresholds, Nutanix will see your nodes as all-flash, but well… Write and quit, logout. Login as install and install Nutanix CE (don’t build single node clusters).

When all nodes and CVMs are up, connect to one of the CVMs, login as nutanix (nutanix/4u) and build your cluster:

cluster -s CVMIP1,CVMIP2,CVMIP3 create

After receiving the successful cluster overview, start the cluster:

cluster start

Now you need to set some parameters to enable your cluster to talk to the outside world (required for verification of your Community Edition account and download of updates etc.) as well as your admin workstation:

ncli cluster edit-params new-name=YOURCLUSTERNAME

ncli cluster add-to-name-servers servers=“DNSSERVERIP1,DNSSERVERIP2″

ncli cluster add-to-ntp-servers servers=“NTPSERVERIP1,NTPSERVERIP2″

ncli cluster set-timezone timezone=“YOURTIMEZONE“ (e.g. „Europe/Berlin“)

ncli cluster set-external-ip-address external-ip-address=“YOURCLUSTERIP“

Ready to go! Connect your browser to your cluster ip, login as admin (admin) and use your AHV powered Nutanix cluster.

With the bare minimum parameters given above you will only have about 1,8GB of RAM available for VMs on each node. This still allows for tests like validation of transparent storage failover: forcefully rebooting a CVM during constant disk i/o in three VMs running on the three nodes of the cluster shows performance impact in the VM on the affected node only. It takes about 6-8 minutes for i/o performance to recover automatically.

Kudos and hat tip to Kalle!

Cutting Edge Technology: CloudBridge SD-WAN

Last year, Citrix presented a new edition of CloudBridge dubbed VirtualWAN. By now, they are close to finally shipping the integrated Enterprise version of CloudBridge that will include this new feature alongside all the existing WAN optimization features in a single product. The new buzzword and marketing term for this generation now is „SD-WAN“ as everything is „Software Defined“ today.

Instead of theory and lengthy explanations here, I suggest you watch the video of the live demo at Citrix Summit by the cool kids:

Quo vadis Citrix CloudPlatform?

Im Rahmen des jährlichen Sales KickOffs in Las Vegas hat Citrix Systems seine neu fokussierte Strategie bekannt gegeben. Die Konzentration geht ein Bisschen back-to-the-roots hin zum Kerngeschäft der sicheren Anwendungs- und Datenbereitstellung.

Dahinter stehen die „Core Products“ XenApp/XenDesktop, NetScaler, CloudBridge, XenMobile & ShareFile, XenServer – also schon noch etwas mehr als die ganz ursprünglichen Wurzeln. Bereits im letzten Jahr deutlicher separiert wurde der Bereich Citrix Online mit den GoTo-Produkten und Podio, übrig blieben die Themen CloudPlatform und CloudPortal Business Manager.

Diese beiden Produktlinien werden vorbehaltlich abschließender Genehmigungen aktuell von Accelerite übernommen. Dahinter steht Persistent Systems, ein mit ebenfalls über 8.000 Mitarbeitern weltweit agierendes Unternehmen, das in seiner Produkt-Sparte Accelerite bereits andere Cloud-Lösungen von unter anderem HP und Intel angesammelt hat. Diese Entwicklung sieht nach einer guten Entscheidung für die auf Apache OpenStack basierende CloudPlatform und deren Kunden aus.

Für die Citrix Partnerlandschaft, die sich mit den Themen auch ohnehin schwer getan haben dürfte – wir haben uns sogar bewusst gegen einen Einstieg in den Vertrieb der Lösungen entschieden, obwohl sie technisch auf jeden Fall gut sind – stellt es auch keinen großen Verlust dar. Ohnehin sind Unternehmenskunden von Midrange bis Enterprise in der Regel eben eher Kunden von Providern, die CloudPlatform und CloudPortal als Lösungen einsetzen, als selbst Interesse daran zu haben.

Die Übernahme inklusive der Erbringung von Services und Support durch Accelerite soll noch im ersten Quartal dieses Jahres abgeschlossen sein.