Advisories

High-Impact Vulnerabilites In Multiple USB Network Servers

Within the scope of a recent penetration test and through individual research effort, HiSolutions’ security consultants discovered multiple previously unknown high-impact vulnerabilities in USB network server firmwares (see individual issues for the CVE IDs). Devices of multiple vendors were affected by similar vulnerabilities. HiSolutions responsibly disclosed the vulnerabilities to the vendors and additionally provided feedback on the implemented patches. Background Information USB network servers or USB network MTP and printer servers are devices that can be used to make USB […]

Corona, Security Engineering

Ruck ohne Hau – Corona-Warn-App kein Security-Albtraum

Es geht diese Tage ein Ruck durch das Neuland – und zwar kein Hau-Ruck, den viele gleichwohl befürchtet hatten, als sich abzuzeichnen drohte, dass auch die deutsche Corona-Warn-App bei Datenschützenden und anderen IT-Justice Warriors von Anfang an in Ungnade stehen würde. Nun staunt der Laie – und selbst der Chaos Computer Club und sein Umfeld wundern sich: Ist die Macht der Datenverbraucherschützer wirklich so groß geworden, dass Behörden sich wandeln und plötzlich agile Open Source produzieren (lassen)? Anscheinend haben das […]

Penetrationstest

Von Penetrationstests bis Konfig-Review

Eine Beschreibung gängiger Testtypen Als technisches Audit wird gemeinhin die Untersuchung eines IT-Systems auf Schwachstellen und Sicherheitslücken mithilfe technischer Mittel beschrieben. Doch Penetrationstest ist nicht gleich Penetrationstest. Es gibt viele verschiedene Arten bzw. Typen von Tests, die jeweils unterschiedliche Arten von Fehlern aufdecken können. Die Testtypen unterscheiden sich insbesondere durch die Zugriffsmöglichkeiten, welche dem Testteam eingeräumt werden. So können durch Penetrationstests unterschiedliche Angriffsszenarien überprüft werden, von externen Angreifern bis hin zu Angreifern im internen Netzwerk der zu testenden Infrastruktur. Diese […]

Penetrationstest

HiSolutions Schwachstellen-Report 2020

Dominik Oepen, Team Manager Penetrationstests & Tom Breitkopf, Consultant, HiSolutions AG [Whitepaper als PDF] HiSolutions führt jedes Jahr eine große Anzahl von unterschiedlichen Penetrations- und Schwachstellentests durch. Immer wieder taucht dabei die Frage auf, wie die Ergebnisse des einzelnen Tests im Vergleich mit „typischen“ Pentest-Ergebnissen einzustufen sind und ob die identifizierten Probleme bei anderen Unternehmen in ähnlicher Form und Schwere bestehen. Wir haben diese Fragen zum Anlass genommen, die von uns in den letzten Jahren durchgeführten Tests jahresweise auszuwerten und […]

Corona

Death by Datenschutz? Die Grenzen der Anonymität

Einer der traurigen Corona-Hotspots, die sich als Fußabdrücke eines wild gewordenen, unsichtbaren Random Walkers wie ein sich verdichtender Flickenteppich durch die Lande ziehen, ist das Potsdamer Bergmann-Klinikum. Aufgrund eines zu spät begrenzten Corona-Ausbruchs haben sich dort fast jeder zehnte Mitarbeiter und überdurchschnittlich viele Patienten mangels Testung und Isolation infiziert, etliche sind verstorben. Ein wichtiger Grund: Im Corona-Krisenstab des Klinikums war zunächst der Betriebsarzt nicht vertreten – die einzige Person, die erfahren durfte, woran erkrankte Mitarbeiter leiden. So konnte nicht festgestellt […]

Passwörter

Passwort-Audits

Seit vielen Jahren beobachten wir problematische Trends bei der Verwendung von Passwörtern. Ob bei Incident Response Einsätzen oder bei Penetrationstests – zu schwache Passwörter sind in den heutigen IT-Umgebungen noch viel zu häufig der entscheidende Knackpunkt, der zwischen Erfolg und Misserfolg eines Angriffs entscheidet. Das wissen auch die Angreifer, und so ist wohl jeder über das Internet erreichbare Server ständigen Brute-Force-Angriffen ausgesetzt. Teilweise entwendet Schadsoftware auch nach einem erfolgreichen Angriff weitere Active Directory Passwort-Hashes, um zusätzliche Zugriffsmöglichkeiten in der Zukunft […]

Advisories

Open the Gates! The (In)Security of Cloudless Smart Door Systems

For many attack types physical access to the computer like plugging in a “Rubber Ducky” or inserting a physical keylogger is required. As access to servers and computers is commonly restricted, those threat vectors are often handled via a “When they are already in the room, we are screwed anyway” perspective. However, what if it were the other way around? What if not your servers, computers and software are dependent on your physical security, but your physical security relies on […]

Corona

Der Mensch bleibt dem Menschen ein Wolf – Cyber in Zeiten von Corona

Wäre es nicht schön gewesen? Inmitten all der schlechten Nachrichten und Prognosen wenigstens den Trost zu haben, dass die Welt sich zusammenrauft und wir uns nicht zusätzlich mit Cyberangriffen und sonstigen IT-Vorfällen das fragile Leben schwer machen… Leider ein Traum. Zwar haben einige wenige Angreifergruppen versprochen, Gesundheitsinfrastruktur bis auf weiteres auszusparen – auch Black-Hat-Hacker brauchen immerhin im Zweifel Beatmungsgeräte. Insgesamt ist jedoch die Anzahl der Angriffe gestiegen – und nicht wenige Kampagnen nutzen gerade die Unsicherheit, das Chaos und den […]

Ransomware

Ich weiß, wo Du online Geld verdienst: Cyber-OK lernt dazu

Ransomware ist seit vielen Monaten die größte Geißel der IT – und zumindest derjenigen Menschen, die für diese verantwortlich sind. Erst letztens hatten wir berichtet, dass Emotet und Co. dazugelernt haben und statt mit dummen Standard-E-Mails in schlechter Übersetzung, nun frühere Kommunikationsstränge wiederverwerten, um so die Klickrate auf die Malware deutlich zu erhöhen. Unterdessen hat die im Hintergrund die Geschäftsprozesse spinnende organisierte Cyber-Kriminalität (Cyber-OK) anscheinend gelernt, dass es noch weitere gemeine Hebel gibt, um Opfer zur Zahlung zu bewegen. Es […]

KI/ML, Veranstaltungen

Don't Train Evil – Keynote bei den Machine Learning Essentials 2020

Ethik und Sicherheit im Machine Learning Heidelberg, 17.-19. Februar 2020 Machine Learning gewinnt Einfluss auf immer größere Bereiche unseres täglichen Arbeits- und Privatlebens. Man muss nicht die Angst vor der bösartigen AGI oder der Singularität teilen, um angesichts zunehmender Überwachung und der Diskussion um autonome Waffensysteme zu erkennen: Ohne eine gewisse möglichst frühzeitig und grundsätzlich ins Design einbezogene Sicherheit droht KI mehr Schaden als Nutzen zu bringen. Die Keynote wirft die grundlegenden Fragen auf, mit denen sich alle beschäftigen sollten, […]