Allgemein, Weiterbildung

Serious Gaming im Business Continuity Management

In einer Welt, in der Cyberangriffe, Naturkatastrophen und technische Ausfälle längst keine Ausnahmen mehr sind, stehen Unternehmen vor einer zentralen Herausforderung: Sie müssen sicherstellen, dass ihre wichtigsten Geschäftsprozesse auch in Krisensituationen weiterlaufen. Das Business Continuity Management (BCM) ist hierfür das strategische Instrument. Es soll gewährleisten, dass Unternehmen selbst bei schwerwiegenden Störungen handlungsfähig bleiben. Doch auch das beste BCM-Konzept kann durch menschliche Fehler Schwachstellen aufweisen. Studien zeigen seit Jahren, dass der Mensch ein zentrales Sicherheitsrisiko darstellt. Dies geschieht häufig nicht aus […]

Allgemein, Malware, Penetrationstest, Risikomanagement

Über Zero-Click Chains und das Security Modell von Mobilgeräten

In letzter Zeit machen regelmäßig Security-Meldungen über Schwachstellen in Messengern die Runde. Erst kürzlich berichtete Heise von Zero-Click-Angriffen auf Apple-Geräte via WhatsApp. Warum die vermehrten Berichte und Panik verbreitenden LinkedIn-Posts einen weiterhin ruhig schlafen lassen sollten, versuche ich in diesem Blogpost zu erklären.

Allgemein, ISMS, Passwörter, Phishing, Weiterbildung

Klassische Phishing-Simulationen sind tot, lang lebe der Phishing Drill 

Was sind Phishing-Simulationen und welchen Zweck haben sie bisher verfolgt?  Phishing-Simulationen werden bisher als eine etablierte Methode eingesetzt, um Mitarbeitende gegenüber der Gefahr, welche von potentiell schädlichen E-Mails ausgeht, zu sensibilisieren und zu schulen.    Bei klassischen Phishing-Angriffen per E-Mail wird ein Szenario ausgearbeitet, welches einer authentischen E-Mail sehr nahekommt. Allerdings verweist der Link in der E-Mail nicht auf die zu erwartende Website, sondern auf eine präparierte nachgebaute Seite eines Angreifers. Dies verfolgt häufig den Zweck, Nutzerdaten abzufangen und für weitergehende […]

Allgemein, Forensics, Weiterbildung

A Tale of Practical Keylogger Forensics

On a recent engagement, an interesting hardware side quest popped up. A client had found a keylogger and, naturally, we wanted to know what the adversary had seen and if we could gather any useful traces towards the perpetrator. Since our analysis included some twists, we decided to document parts of our process to perform a forensic analysis on a keylogger. We hope to shed some light on the forensic possibilities and encourage others to expirement with similar hardware. Passive […]

Advisories

Security First: Sichere Softwareentwicklung

Bei der Entwicklung einer Software stehen meist funktionale Anforderung im Fokus, um den ermittelten Bedarf schnellstmöglich erfüllen zu können. Erst nachrangig (oder auch gar nicht) werden Sicherheitsaspekte betrachtet, deren Umsetzung dann nicht nur ressourcen-, sondern auch kostenintensiv werden kann.
Unser Sicherheitsexperte zeigt, wie man Sicherheitsaspekte von Beginn an mitdenken kann.

Allgemein, Penetrationstest, Schwachstelle

Windows-Angriffe entgegen der Vertrauensstellung

Windows Domänen lassen sich durch Vertrauensstellungen zusammenbringen. Wird der Zugriff nur in eine Richtung benötigt kann man das Vertrauen auch nur einseitig aussprechen – aber sind damit Angriffe in die andere Richtung ausgeschlossen? Leider nicht, denn es gibt Wege um das Vertrauen entgegen der „Direction of Access“ auszunutzen. Das Problem ist schon länger bekannt und die Ausnutzung ist fester Bestandteil von einigen Pentest-Tools. Wir stellen aber immer wieder fest, das erfahrene Windows-Administratoren überrascht sind, wenn wir diesen Angriffsweg in Pentests nachweisen.