Security/Wireless: WPA2-KRACK-Leak

Wofür steht KRACK?

Die Abkürzung KRACK steht für Key Reinstallation Attack, was das Verfahren des Angriffs beschreibt.

Wie funktioniert der Angriff?

Wie einige von Ihnen vermutlich schon mitbekommen haben, ist jüngst eine schwerwiegende Sicherheitslücke in der Implementierung des WPA2-Standards bekannt geworden, die es Angreifern ermöglicht, den Encryption-Key für den Traffic​ innerhalb des 4-Way-Handshakes abzufangen, auszunullen und dadurch lesbar zu machen. „Security/Wireless: WPA2-KRACK-Leak“ weiterlesen

Cloud Forum 2017 by michael wessel am 2. März

Die Nutzung von Business Cloud Services ist als Plattform einer digitalen Transformation in der Realität von vielen Firmen bereits angekommen und wandelt die Anforderungen an die IT – auch in Ihrem Unternehmen.

Mit dem Cloud Forum 2017 by michael wessel am 02.03.2017 widmen wir uns intensiv und praxisnah sowohl den Auswirkungen als auch dem Potenzial von Cloud Lösungen und bieten Ihnen einen einfachen Zugang zu Cloud Services. „Cloud Forum 2017 by michael wessel am 2. März“ weiterlesen

Citrix XenMobile 10.3 mit grundlegenden Veränderungen

Citrix hat im Dezember XenMobile 10.3 angekündigt. Wir haben es getestet und es gibt einige grundlegenden Veränderungen. Sowohl das gesamte Webinterface und die Aufteilung der einzelnen Themenreiter wurde überarbeitet als auch einige Troubleshooting-Möglichkeiten, die bislang nur sinnvoll über die CLI möglich waren, sind nun ins Webinterface integriert worden.

2016-01-11 12_45_54-XenMobile

Es wurde zudem die Top-Bar überarbeitet, in der sich nun die Kategorien „Analyze“, „Manage“ und „Configure“ – in der deutschen Version diesmal auch übersetzt mit „Analysieren“, „Verwalten“ und „Konfigurieren“ – sowie die Settings für den Server selbst über ein Zahnrad-Icon befinden. Neben den Server-Settings ist ein Schraubenschlüssel-Icon zu sehen, welches zu den Support-/Troubleshooting-Funktionen und -Links führt.

2016-01-11 12_50_43-XenMobile

Desweiteren sind im Support-Menü nun Links zu den Citrix-Docs, dem APNS-Signing-Tool etc. dazugekommen.

Es wurden einige Reporting-Funktionen mit *.csv-Export hinzugefügt, sodass die XenMobile-Datensätze für Reports auch als kommaseparierte Rohdaten bereitgestellt werden können.

2016-01-11 12_46_14-XenMobile

Auch die Benutzerverwaltung wurde nun in den Top-Bar-Reiter „Verwalten“ integriert.

2016-01-11 12_47_50-XenMobile

ShareFile hat einen eigenen Unterpunkt in der Nav-Bar bekommen, hat allerdings keine weiteren Konfigurationsparameter spendiert bekommen.

2016-01-11 12_49_01-XenMobile

Unter „Einstellungen“ >> „Mobilfunkanbieter“ ist es nun möglich, ActiveSync-Geräte-/Vorgänge abzufragen.

2016-01-11 12_50_14-XenMobile

Der durch iOS 9.2 aufgetretene Fehler bezüglich des APNS & nicht funktionierender Push-Notifications ist in XenMobile 10.3 noch durch einen Workaround umgangen, wurde mittlerweile allerdings auch durch das iOS-Update 9.2.1 durch Apple behoben.

Alles in allem wird XenMobile auf Administrationsseite dadurch deutlich benutzerfreundlicher und bietet mehr Möglichkeiten hinsichtlich der Dateiauswertung. Durch den CSV-Export können so relativ schnell Inventurlisten etc. erstellt werden, ohne händisch alle Parameter pflegen zu müssen.

Citrix XenMobile: Support für iOS 9

Es ist soweit. iOS 9 steht in den Startlöchern und wird voraussichtlich durch Apple am 16.09.2015 nach PDT veröffentlicht. Wie bei vielen Betriebssystemen ist der Andrang auf die neue Software gepaart mit neuen Features voraussichtlich hoch. Viele Nutzer werden sobald die Möglichkeit besteht auch auf iOS 9 updaten. Auch die Nutzer von Unternehmensgeräten sind da nicht ausgenommen.

Das ist gleichzeitig Chance und Risiko für die lokale IT, mit Aktualität und Kompatibilität zu glänzen – oder sich den Frust der Anwender aufzuhalsen, sollte noch keine Kompatibilität der verwendeten Mobility-Lösung gegeben sein.

Nutzer von Citrix´ Enterprise Mobility-Lösung XenMobile können von der frühen Unterstützung von iOS 9 profitieren. Was ist dazu notwendig?

  • Download der aktuellsten MDX-Toolkit-Umgebung für iOS & Android,
  • Download der aktuellsten MDX-Applikationen (Worx-Apps) für iOS,
  • Update der MDX-Toolkit-Umgebung auf Toolkit-Version 10.2,
  • Erneutes Wrapping der Worx-Applikationen und ggf. Drittanbieter-Applikationen,
  • Upload der erneut gewrappten iOS-Applikationen auf den XenMobile-Server,
  • Konfigurieren der MDX-App-Policies.

Unter Anderem bietet Citrix erstmalig die Applikationen Citrix ShareConnect und Citrix for SalesForce als Container-Applikationen zum Download an. Hierfür müssen im Apple Developer Portal erstmalig App-Identifier und die dazugehörigen Provisioning Profiles erstellt und heruntergeladen werden, um die Applikation zu signieren.

Zudem ist ein von einigen Nutzern langersehntes Feature in den Funktionsumfang der Worx-Umgebung aufgenommen worden: Der Support von TouchID für die Nutzung der WorxPIN zum Entsperren des Gerätes per Fingerabdruck-Scan. Das funktioniert allerdings nur bei iOS-Geräten mit TouchID-Sensor, wie beispielsweise dem iPhone 5s, 6 und 6 Plus und dem iPad Air 2.

XenMobile 10.1 – RBAC with custom profiles and AD

To configure role based access for a customer´s XenMobile enviroment, we created own RBAC-Profiles based on Microsoft Active Directory with administrative privileges. After assigning the RBAC-Profiles to the delivery group our admin-users are in, XenMobile locked out these users from management and redirected to the self-help portal as they were assigned as normal XM users. Using the default administrative RBAC-Profile login for administrative access on https://[XMS-IP/Hostname]:4443/zdm via UPN (username@domain.tld) was permitted and no further redirection to the self-help portal was initiated from XMS 10.1 anymore.

Citrix WorxNotes Web Tech Preview verfügbar

Citrix hat vor Kurzem die Tech Preview zu WorxNotes Web bereitgestellt. Diese bietet die Möglichkeit, sich einen ersten Eindruck zur Web-basierten WorxNotes-Komponente zu verschaffen.

2015-06-29 10_19_14-XenMobileServer

Über einen vom XenMobile 10-Server bekannten Login-Screen gelangt man mit ShareFile-Credentials zum Arbeitsbereich in WorxNotes in der Web-Ausführung. Die Arbeitsoberfläche wirkt aufgeräumt und bietet die Möglichkeit, Notizen zu erstellen und zu bearbeiten. Sogenannte Notizbücher können ebenso gepflegt werden. In WorxNotes auf dem Smartphone oder Tablet tauchen diese dann wieder auf und können dort weiterverarbeitet werden. Über https://worxnotes.citrix.com gelangt man zur Webanmeldung.

Der Dienst ist Cloud-basiert und momentan nicht als On-Premise-Installation erhältlich.

2015-06-29 10_21_42-XenMobileServer

XenMobile 10: Admin lockout and password recovery

We experienced, that if the Citrix XenMobile 10 Server (XMS) recognizes a connection loss to the mapped SQL server that hosts the XenMobile-database, the service keeps running but no admin login and no new device enrollment is possible.

After fixing the SQL server´s problem the XMS needs a reboot. The XMS creates a database entry for his own administrative account(s) in the zdm-database on the remote SQL server. Because of a lack of connection the XMS rejects the valid administrative credentials, so no login to the admin pane is available anymore until the database connection is successfully reinizialized.

If you forgot your XMS-Administrator passcode you can assign a new one by editing the SQL database entry via MS SQL Management Studio.

Please be careful! If you set a wrong parameter or delete fields or rows included in the database the function of your Enterprise Mobility Solution can´t be granted anymore.

sql-xms-01

Go to Databases > ZDM > Tables and edit the first rows of the table dbo.SECURITY_CREDENTIAL. You´ll find an Entry where the PRINCIPAL_ID is equal to 7 and the full path name is /user/administrator. To reset your local zdm-Administrator account just edit the database dbo.SECURITY_CREDENTIAL and fill in your new passcode in the COLUMN_VALUE field. You also have to change the value in the IS_ENCODED field from 1 to 0. From this point on, your local administrator´s passcode isn´t stored encoded anymore in the SQL database until you logon to your XMS admin pane. Then the value should be reset to 1. To finish the operation save your changes and exit the database or quit MS SQL Management Studio and restart your virtual XMS appliance. After rebooting the XenMobile Server the changes should take effect and you´ll be able to login to your XenMobile admin pane.

Citrix XenMobile – App-Update auf 10.0

xenmobilemdxiconset

Im vergangenen Monat hat Citrix die hauseigenen Worx Apps auf die nächste Version angehoben. Zudem wurde Worx Desktop für iOS in Version 1.3 und für Android in Version 1.0.1 veröffentlicht.

WorxHome sammelt nun Protokolldaten und wertet sie aus. In WorxMail gibt es einige Neuerungen. Die Android-Version kann beispielsweise nun mit PIM-Synchronisation von IBM Notes und Lotus Notes umgehen. Es wurde zudem eine Location-Funktion in den Kalender integriert, die eine Kartenansicht des Termines mit sich bringt. Das Laden von Inline-Bildern kann nun gesteuert werden. Es können via WorxMail nun auch *.zip-Files empfangen und geöffnet werden – auch wenn sie passwortgeschützt sind. Desweiteren kann nun differenziert werden, welche Inhalte im Lockscreen angezeigt werden. WorxNotes kann seit der Version 10.0 die Notizbücher in einer Rasteransicht anzeigen und unterstützt die Synchronisation mit Exchange-Kalendereinträgen. Wie auch WorxMail kann auch WorxNotes begrenzt werden, Anhänge nur über die WLAN-Verbindung herunterzuladen. WorxWeb verfügt in der aktuellen Version für iOS nun über Funktionen zum Löschen des Caches, Cookies und der Historie, ohne dass eine Neuinstallation der Anwendung notwendig ist. WorxEdit bringt nun eine Presenter-Funktion betriebssystemübergreifend mit, mit der auch der Support für externe Displays gegeben ist. Auf Android-Geräten ist mit WorxEdit nun die Nutzung von ShareFile-Speicherorten möglich.

Die neuen Worx-Applikationen können über das Downloadportal von Citrix heruntergeladen und auf den bestehenden XenMobile 9.0-Installationen aktualisiert werden. Die vollständige Liste der Neuerungen hinsichtlich der Worx-Anwendungen ist hier zu finden. Die Liste der in diesem Release gefixten Probleme ist hier zu finden: http://support.citrix.com/article/CTX141841.

Citrix ShareFile – Neue Zone: Access Restricted!

Citrix hat vor wenigen Tagen bekanntgegeben, dass die FollowMeData-Lösung ShareFile um eine weitere Storage Zone erweitert worden ist: Die „Restricted StorageZone“. Was ist der Unterschied zwischen einer Restricted StorageZone und einer Standard StorageZone?

Im Unterschied zu den cloudbasierten Citrix-managed StorageZones und den vom Kunden verwalteten On-Premise-StorageZones sind Dateien, die in einer „Restricted StorageZone“ abgelegt werden, nur für domänenauthentifizierte Benutzer innerhalb des Unternehmens abrufbar. Citrix hat keinerlei Einfluss auf diese Zone und kann keine User außerhalb der Domäne berechtigen, auf abgelegte Dateien zuzugreifen. Die Datei- und Ordnernamen sind mit dem kundeneigenen AES256-Key verschlüsselt und Metadaten werden verschlüsselt in die ShareFile-Cloud übertragen. Die Verschlüsselung wird natürlich auch hier auf dem On-Premise-StorageZone Controller im kundeneigenen Unternehmensnetzwerk vorgenommen.

Um Zugriff auf die Daten innerhalb dieser StorageZone zu erhalten, ist eine Domänenauthentifizierung notwendig. Datei- und Ordnernamen bleiben nur innerhalb der Domäne bekannt und können von keinem anderen Account, ob extern oder Citrix-intern, abgerufen werden, sobald sich die Daten in einer solchen StorageZone befinden. Zudem müssen die User beim Zugriff nebst der ShareFile-Cloud-Authentifizierung ihre Identität über den StorageZone Controller überprüfen lassen.

Die reglementierte StorageZone muss nicht über ein Portforwarding o.Ä. dem Internet präsentiert werden. Falls die StorageZone nur mit einer internen IP konfiguriert wird, muss der User für den Zugriff über das Firmennetzwerk oder einen gesicherten VPN-Tunnel – zum Beispiel ein XenMobile Micro-VPN – verbunden sein, um auf Daten zugreifen zu können, Dateien zu teilen oder zu synchronisieren.

Und das Beste daran: Authentifizierten Benutzern geht der FollowMeData-Vorteil durch diese Lösung nicht verloren, sodass sie weiterhin auch mobil auf die Daten zugreifen und über mehrere Geräte synchronisieren können. Dateien aus der Restricted StorageZone können eben nicht mit Anwendern außerhalb des Unternehmens geteilt werden.

Quelle: http://goo.gl/qUGJVp

WireLurker – Ein Überblick und Erkennungsmaßnahmen

In den vergangenen Tagen wurden die Medien auf eine Meldung von Palo Alto Networks aufmerksam, die den OS X/iOS-Schädling WireLurker aufgespürt haben. WireLurker ist eine Malware, mit der es erstmalig möglich ist, von dem – bisher aufgrund der Systemarchitektur, basierend auf dem XNU-Kernel mit FreeBSD-Elementen als verhältnismäßig sicher geltenden – Betriebssystem Mac OS X ein via USB  verbundenes iOS-Gerät auch bei nicht-gejailbreakten Geräten zu infizieren. Aufgetaucht ist der Schädling erstmals im chinesischen, inoffiziellen AppStore Maiyadi. Schnell hat sich jedoch auch ergeben, dass der Schädling ebenfalls für die Verbreitung außerhalb dieses Stores geschrieben ist.

Möglich ist die Installation über die Ausnutzung von Enterprise-Zertifikaten, die von MDM-Systemen genutzt werden, um auf sicherer Basis Unternehmensdaten mit dem Mobilgerät zu synchronisieren und die Kommunikation mit dem MDM-Server des Unternehmens abzusichern. Zuerst wurde noch eine Sicherheitswarnung beim Ausführen gezeigt, die auf ein nicht vertrauenswürdiges Zertifikat hinweist. Mittlerweile kann es aber durchaus sein, dass ein vom Betriebssystem als vertrauenswürdig eingestuftes Zertifikat von den Angreifern genutzt wird, bei dem diese Warnung nicht erscheint. Es können über diesen Weg etliche Informationen über den Gerätezustand, installierte Apps, Kontakte und Nachrichten des Gerätes ausspioniert werden.

Ist daher eine Anschluss am PC oder Mac nicht zwingend notwendig, sollte dies vorerst vermieden werden. Geladen werden kann das Gerät über die Steckdose und einen USB/AC-Adapter, die meisten Einrichtungsschritte können mittlerweile ebenfalls ohne einen Computer erfolgen, sofern eine WLAN-Verbindung vorliegt.

Zudem sollte man unter Einstellungen„-„Allgemein„-„Profile prüfen oder bei Geräten, die durch das Unternehmen verwaltet werden durch die IT-Abteilung prüfen lassen, ob die installierten Profile zum Management der Geräte notwendig sind. Bei privaten Geräten sollten sich dort keine Profile befinden, sofern man Webmail-Dienste nutzt. Verschlüsselt man die Mailkommunikation und/oder versieht die Mailkommunikation mit einer digitalen Signatur, sollten sich dort, je nachdem, ob man nur signiert oder auch verschlüsselt, 1-2 Benutzer-Profile pro Mailpostfach befinden. Wer ganz sicher gehen will, sollte alle Profile entfernen und neu installieren bzw. das Gerät über die IT-Abteilung auf Werkseinstellungen zurücksetzen erneut ausrollen lassen.

Palo Alto hat nun auf github ein entsprechendes Erkennungstool für Mac- und Windows-Nutzer veröffentlicht. Eine Anleitung für beide Varianten ist ebenfalls github zu entnehmen. Natürlich sollte bei einem infizierten Host-System ebenfalls eine Neuinstallation durchgeführt werden.