DSGVO-Ernstfälle: Datenschutzlücken bei Facebook und Veeam (Update 15.10.2018)

Es könnte zumindest ein weitreichender Prüfstein für die Ernsthaftigkeit in der Durchsetzung der EU-Datenschutzgrundverordnung (DSGVO) sein: In den vergangenen Wochen wurden Vorfälle bei Veeam und Facebook bekannt, über die gesprochen und geprüft werden muss.

„DSGVO-Ernstfälle: Datenschutzlücken bei Facebook und Veeam (Update 15.10.2018)“ weiterlesen

Security/Wireless: WPA2-KRACK-Leak

Wofür steht KRACK?

Die Abkürzung KRACK steht für Key Reinstallation Attack, was das Verfahren des Angriffs beschreibt.

Wie funktioniert der Angriff?

Wie einige von Ihnen vermutlich schon mitbekommen haben, ist jüngst eine schwerwiegende Sicherheitslücke in der Implementierung des WPA2-Standards bekannt geworden, die es Angreifern ermöglicht, den Encryption-Key für den Traffic​ innerhalb des 4-Way-Handshakes abzufangen, auszunullen und dadurch lesbar zu machen. „Security/Wireless: WPA2-KRACK-Leak“ weiterlesen

Nach Sicherheitsvorfall: Citrix stellt neue NetScaler Builds bereit

Es war ein beispielloses Szenario: Für mehrere Tage waren keinerlei Firmware-Versionen von Citrix NetScaler zum Download verfügbar, zurückgezogen aufgrund eines nicht näher spezifizierten „Issues“, der gefunden worden sei.

Die Verweise auf Best Practises und Secure Deployment Guides legten bereits nahe, dass ein Sicherheitsrisiko im Bereich des Management Access vorliegen dürfte. Dieser ist immer auf der NetScaler IP (NSIP) als der primärer Management-IP zugänglich und kann auf jeder Subnet IP (SNIP) ebenfalls aktiviert werden. Welcher Dienst genau betroffen sei (in Frage kamen SSH oder der Webserver für die GUI), war nicht erkennbar. In den allermeisten Deployments  jedoch dürfte der verwundbare Dienst ohnehin nur im Management-Netz erreichbar gewesen sein, gemäß Best Practises sogar nur für explizit berechtigte Admin-Arbeitsplätze. Insofern erschien die Maßnahme überraschend heftig, zu der Citrix mit dem Zurückziehen sämtlicher Builds griff.

Jetzt hat Citrix neue Builds der supporteten Versionen 10.1, 10.5, 10.5e, 11.0, 11.1 und 12.0 bereitgestellt. Im zugehörigen Security Bulletin ist nun auch ausgeführt, worum es sich handelt: Die Authentifizierung am Management Interface kann unter bestimmten Umständen umgangen werden, so dass Unbefugte administrativen Zugriff erlangen können.

Zeitnahe Updates sind dringend angeraten. Derweil die schon empfohlenen Best Practises zum sicheren Deployment. In allen Punkten unterstützen wir zahlreiche Unternehmen aktiv – kommen Sie gerne auf uns zu, wenn Sie Fragen haben.

Dateilose Malware DoublePulsar: Angriff via SMB

Aktuell kursiert eine dateilose Malware mit Namen DoublePulsar​, die – nicht zuletzt aufgrund von durch die NSA zurückgehaltenen Exploits – einfach Systeme via SMB-Protokoll auf TCP-Port 445 mit weiterem Schadcode versorgt. Es handelt sich dabei um einen sehr versteckt agierenden Malware-Downloader, der auf bereits infizierten Systemen einfach Malware nachladen kann. Die Schwachstelle und Scripte sind auf GitHub verfügbar, sodass mittlerweile auch Script-Kiddies einfachen Zugang dazu erhalten. „Dateilose Malware DoublePulsar: Angriff via SMB“ weiterlesen

Ransomware will Freunde infizieren

Ransomware“Popcorntime“ im Umlauf – dass Ransomware, also Verschlüsselungs-Malware im Umlauf ist, ist mittlerweile den meisten bekannt. Die schadhafte Software verschlüsselt Daten des Opfers und fordert meistens Lösegeld für die Entschlüsselung. Manche durch Ransomware verschlüsselte Dateien können mittlerweile entschlüsselt werden, hier kommt es aber auf die Art der Ransomware an. Außerdem gibt es keine Garantie, dass bei Zahlung der meist zwei bis vierstelligen Lösegeldsummen ein Key zur Entschlüsselung bereitgestellt wird, der dann auch funktioniert. Nun geht die Malware Popcorntime noch einen Schritt weiter.

„Ransomware will Freunde infizieren“ weiterlesen

Krypto-Trojaner Locky, Cryptowall und Co.

Seit einigen Wochen bis wenigen Monaten kursieren sehr unangenehme Krypto-Trojaner wie Locky, TeslaCrypt, Cryptowall und seit kurzem auch ein Erster für MacOS. Im folgenden Text finden Sie Informationen und Handlungsempfehlungen, die helfen, sich möglichst gut gegenüber den neuen Schädlingen abzusichern. Dabei spielen das Bewusstsein und eine gute Sicherheitsinformationspolitik im Unternehmen eine wichtige Rolle neben den technischen Schutzmaßnahmen.

„Krypto-Trojaner Locky, Cryptowall und Co.“ weiterlesen

PAN OS 7.0 angekündigt

Palo Alto Networks hat vor Kurzem die neueste Version seines Firewall-Betriebssystems PAN OS angekündigt und die Kernfeatures und Neuerungen hervorgehoben. In einem Punkt hat Palo Alto noch deutlich zugelegt: Das schon vergleichsweise sehr gute Reporting wurde um einige weitere Möglichkeiten und Filter ergänzt, um noch besser den Kundenanforderungen gerecht zu werden.

Die Automated Correlation Engine steht fortan ab der PA-3000er-Reihe zur Verfügung und sucht das Netzwerk nach Bedrohungen ab. Die Analyse der Daten kann auch auf einer Panorama Appliance (Hardware und Virtual Appliance) stattfinden. Ziel der Automated Correlation Engine ist das Aufspüren von Bedrohungsquellen im Netz, wie beispielsweise infizierte Hosts. Reports können nun nach virtuellem System bzw. Systemnamen generiert werden. Die Adressgruppenbeschränkung wurde von 500 Objekten je Adressgruppe auf 2500 Objekte angehoben.

Zudem ist eine sogenannte „Global Find“-Funktion, also eine Suche über alle Elemente hinweg, implementiert worden. Das erleichtert, Zusammenhänge beispielsweise von Objekten und Policies zu analysieren und zu verstehen. Thematisch angrenzend ist der neue Tag-Browser, mit dem sich Objekte finden lassen, die zuvor mit einem digitalen Anhängeschild versehen wurden.

Beim Sichern der Candidate Config werden nun zusätzliche Validierungs-Checks vorgenommen, die die Syntax und Semantik prüfen.

Natives LLDP und LLDP via SNMP wird nun auch unterstützt, um benachbarte Geräte abzufragen. Auch bei der Content Inspection hat sich einiges getan. So können beispielsweise Dateien, die mindestens fünf mal verschlüsselt wurden, von den PA Firewalls geblockt werden. Von nun an wird auch Kerberos SSO (v5) zur Authentifizierung am Admin Web Interface und dem Captive Portal unterstützt. TACACS+ und eine Backend Authentication Connectivity-Prüfung sind ebenfalls ab PAN OS 7 mit an Bord.

Die Wildfire Appliance WF-500 unterstützt nun Java AV-Signaturen und eine Prüfung von E-Mail Links.

Weitere Features, die hinzugekommen sind, sind u.a.

  • IKEv2 Support für VPN-Tunnel
  • IPv6 IPsec Support
  • Licensing:
    • Lizenz-Neuzuweisung kann nun über das Self Service Portal vorgenommen werden
    • Amazon AWS wird nun möglich, nach Nutzung zu lizensieren
  • Per Virtual System Service Routes
  • TCP Split Handshake Drop
  • Session-based DSCP Classification
  • QoS on Aggregate Ethernet (AE) Interfaces
  • ECMP (Equal Cost Multi Path)