Offensive Cyber Security Blog: Im NSIDE Tech Blog veröffentlichen die Analysten der NSIDE interessante technische Artikel, neue Erkenntnisse und von uns entwickelte Techniken.

Replay-Attacken im 433/868 MHz-Standard

Neben dem allgegenwärtigen WLAN-, Bluetooth-Low-Energy- oder ZigBee-Standard kommen bei Embedded Devices auch Funktechnologien aus dem ISM Band (433/868 MHz) zum Einsatz. Beispiele sind Restaurantpager, Wetterstationen, Garagentorsteuerungen, Tastaturen, aber auch Funksteckdosen, welche in nahezu jedem Baumarkt erhältlich sind. Erfahrungen haben gezeigt, dass Daten, die über diesen Standard übermittelt werden, meist unzureichend gegenüber „Replay-Attacken“ abgesichert sind. Bei diesen schneidet ein Angreifer übermittelte Daten mithilfe eines 433/868 MHz-Empfängers mit, bearbeitet sie und sendet diese manipulierten Pakete an das Empfängergerät. Das folgende Beispiel soll zeigen, wie handelsübliche Funksteckdosen über diese Technik vollständig übernommen werden können.

(Quelle: NSIDE ATTACK LOGIC)

Equipment

Das Identifizieren und Mitschneiden von übertragenen Daten im 433/868 MHz-Standard benötigt kein teures Equipment, da ein Großteil der Funksignalverarbeitung in der heutigen Zeit […]

Von |2021-09-15T13:01:12+02:0030. August 2021|

DICOM – Angriffe auf den wohl wichtigsten Standard im Medizinsektor

Fast alle Hersteller bildgebender oder bildverarbeitender Systeme in der Medizin wie z. B. Röntgen, MRT oder CT, implementieren den DICOM-Standard in ihren Produkten. Dadurch wird im klinischen Umfeld Interoperabilität zwischen Systemen verschiedener Hersteller ermöglicht.

Wahrscheinlich sind Sie selbst schon mit Bildern im DICOM-Format in Kontakt gekommen. Wurde Ihnen beispielsweise nach einer Röntgenaufnahme eine CD für Folgetermine mitgegeben, wurden auf dieser höchstwahrscheinlich Bilder im DICOM-Format gespeichert.

Neben Daten wie Vor- und Nachname, Geburtsdatum und Geschlecht werden innerhalb dieser Bilder meist auch sensible Informationen wie Befund- und Diagnosedaten gespeichert.

Um eine Verteilung solcher DICOM-Bilder zwischen Geräten und dem medizinischen Personal sicherzustellen, werden innerhalb von medizinischen Einrichtungen „PACS-Server“ verwendet. PACS steht für Picture Archiving and Communication System. Dies ist im Grunde eine Datenbank, in welcher alle medizinischen Bilder gespeichert sind. Jedes […]

Von |2021-09-15T13:01:05+02:0030. August 2021|

IT-Sicherheit: Eine Farbenlehre

Black Hats, Red Team Exercises, das Blue Team im Security Operations Center (SOC) – im Bereich IT-Sicherheit wird viel mit Farben gearbeitet. Einige der bunten Bezeichnungen sind weit verbreitet, andere weniger. In jedem Fall ist es gut zu wissen, was mit den verschiedenen Farben gemeint ist – auch, weil es einen guten Überblick über gewisse Aspekte des Feldes der IT-Sicherheit geben kann. Daher wollen wir in diesem Beitrag den Leser in die Farbenlehre der IT-Sicherheit einführen.

IT-Funktionen und Teams: Ein ganzer Regenbogen

Im Bereich Sicherheitstests sind „Red Teaming“ oder „Red Team Exercises“ aktuell bereits weit verbreitet und „Purple Teaming“, „Purple Team Trainings“ oder „Purple Team Workshops“ stark im Kommen.

Die genannten Farben leiten sich von Funktionen und den Teams, die sie durchführen, ab:

  • Rot: Angreiferfunktion und -rolle. In […]
Von |2021-09-15T13:00:58+02:0011. August 2021|

Ransomware-Angriff auf Kaseya-VSA: Wie man sich gegen Supply-Chain-Angriffe und Zero Day Exploits schützt

Vor einigen Tagen (Stand: 07. Juli 2021) hat eine Cybercrime-Gruppe – man vermutet, es war REvil oder ein „Geschäftspartner“ (Affiliate) – eine neue Schwachstelle in der Fernwartungssoftware VSA des Herstellers Kaseya innerhalb eines kurzen Zeitraums bei vielen Zielfirmen ausgenutzt. Dieser Angriff nahm schnell sehr große Ausmaße an – unter anderem mussten in Schweden landesweit Supermärkte schließen. Nach aktuellem Kenntnisstand sind mindestens 40 Kunden von Kaseya betroffen. Insgesamt sind aber vermutlich noch mehr Firmen Opfer dieses Angriffs geworden, da unter den Kunden von Kaseya wiederum viele IT-Dienstleister sind, deren Kunden über die Zugänge dieser IT-Dienstleister infiziert wurden. Aktuell wird von mehreren Hundert bis hin zu 1.500 ausgegangen. Wie der Angriff technisch von statten ging, lässt sich bei Heise nachlesen.

Dieser Angriff ist in vielerlei Hinsicht […]

Von |2021-09-30T13:20:03+02:007. Juli 2021|

Security Engineering und Secure Development Lifecycles: Wie kann man Sicherheit von Anfang an und ganzheitlich berücksichtigen?

Das Thema IT-Sicherheit ist äußerst komplex. Außerdem ist Sicherheit kein Feature, das am Ende eines Projektes – egal ob ein Softwareentwicklungs- oder ein Infrastrukturprojekt – „drangeklebt“ werden kann. Sicherheit ist eine Eigenschaft eines Systems und sollte daher über die gesamte Dauer eines Projektes berücksichtigt werden: Von der initialen Design- und Konzeptphase über die Entwicklungsphase bis zum Produktivbetrieb und darüber hinaus.

Das Feld des Security Engineering beschäftigt sich damit, wie Sicherheit bei der Entwicklung von Software und Systemen gebührend berücksichtigt werden kann. Sogenannte Secure Development Lifecycle-Modelle geben dabei einen Rahmen vor, welche Aktivitäten in welcher Projektphase üblicherweise durchgeführt werden sollten, um ein gutes Sicherheitsniveau für das fertige System zu erreichen.

In diesem Blogpost gehen wir darauf ein, welche Aktivitäten in der jeweiligen Phase üblicherweise durchgeführt werden sollten. Wir […]

Von |2021-08-31T16:32:19+02:009. Juni 2021|

Penetration Testing im agilen Entwicklungsprozess

Immer mehr Software wird nach agilen Prozessen (z.B. Scrum) und in kleinen Iterationen (Sprints) sukzessive (weiter-)entwickelt. Dies hilft zwar dabei, Software schneller auf den Markt zu bringen und an neue Marktanforderungen anzupassen, stellt aber das Thema Sicherheit und Sicherheitstests vor eine große Herausforderung. Wenn sich Software regelmäßig, schnell und umfangreich ändert oder sie oft erweitert wird, wie kann man dann Sicherheitstests bzw. Penetrationstests in den Entwicklungsprozess integrieren? Wie kann man Sicherheit trotz steter Änderungen auf hohem Niveau halten? Wie oft sollte man testen und in welchem Umfang? Um diese Fragen zu klären, geben wir in diesem Blog-Artikel einen Überblick über das komplexe Thema „Sicherheitstests im agilen Software-Entwicklungsprozess“.

Vorgehensweise: Mischung aus vollständigen und inkrementellen Penetrationstests

Penetrationstests sind in der modernen Softwareentwicklung eine unabdingbare Maßnahme, um Sicherheitsrisiken für Systeme, […]

Von |2021-08-31T16:36:23+02:001. Juni 2021|

IT-Sicherheit in der Cloud

Der Trend der letzten Jahre, immer mehr Anwendungen und Daten in die Cloud zu verschieben und dort zu verarbeiten, geht natürlich auch an der IT Security Branche nicht spurlos vorbei. Jedoch war die Cloud bisher für die meisten fachlich und technisch für diese Anwendungen und Datenverantwortlichen maximal eine Spielwiese. Zusätzlich ist gerade dem Management meist nicht bewusst, dass jemand, der viel Erfahrung in klassischer on-premise-Administration von Systemen hat, diese nicht zwangsweise auch eins zu eins in die Cloud-Welt übertragen kann. Gerade aus Sicherheitssicht, sowohl technischer als auch organisatorischer Natur, ergeben sich viele neue Abhängigkeiten und Anforderungen, die in einem klassischen Umfeld nicht gegeben wären.

Wenn es um IT-Sicherheit in der Cloud geht, ist der erste Gedanke bei vielen: „Darum kümmert sich doch jetzt der Cloud-Anbieter?“ Leider […]

Von |2021-09-01T12:06:00+02:0028. Mai 2021|

Sicherheitsstandards, Normen und Kataloge für IoT und IIoT Security

Die Sicherheit von Geräten, die den Bereichen IoT (Internet of Things) oder IIoT (Industrial Internet of Things) zugeordnet werden, wird für eine steigende Zahl von Unternehmen immer wichtiger: Die Verschmelzung von IT und Netzwerken mit OT (Operational Technology) bedeutet, dass sich IT-Sicherheitsrisiken auch auf Produktionsanlagen und ganz generell auf die physische Welt auswirken können. Dies kann zu großen finanziellen Schäden oder sogar gesundheitlichen Gefahren für Menschen führen. Im privaten Umfeld können unsichere IoT-Geräte Angreifern als Einstiegspunkt ins Heimnetzwerk dienen oder dazu, die Bewohner in ihren privaten Räumlichkeiten zu überwachen. Folglich ist die Sicherheit von IoT und IIoT von großer Wichtigkeit: Für private Anwender, Unternehmer und für die Hersteller dieser Geräte.

IoT- und IIoT-Sicherheit ist aber auch ein kompliziertes Thema, bei dem viele Dinge beachtet werden müssen. […]

Von |2021-08-31T16:37:58+02:0014. Mai 2021|

Keylogging mal anders: wdigest & tspkg

In einem Red Team Assessment kommt es häufig vor, dass man Administratorrechte auf einem einzelnen Windows-Server erlangt. Meistens geschieht dies durch Kompromittieren der Zugangsdaten eines Administrators des Servers, aber auch ein veraltetes Betriebssystem oder eine Sicherheitslücke in einer Anwendung auf dem Server sind häufige Gründe. Zunächst einmal ein kleiner Erfolg für uns als simulierte Angreifer (also Red Teamer), der uns aber nicht notwendigerweise weiter bringt auf unserem Weg zu kritischen Funktionen des Zielunternehmens. Nach der initialen Überprüfung der defensiven Kapazitäten des Server (also Identifizierung der Antiviren- und EDR-Systeme sowie der aktiven Härtungsmaßnahmen wie AppLocker oder Constrained Language Mode) erfolgt als nächstes das „Looting“ des Servers, also das Suchen nach für uns wertvollen Informationen. Ob nun das Auslesen von Zugangsdaten aus dem Arbeitsspeicher mit Mimikatz […]

Von |2021-08-24T13:36:23+02:0013. April 2021|

IT-Sicherheit im Homeschooling

In der Coronakrise ist der Heimunterricht quasi über Nacht verpflichtend geworden. Während vor der Krise nur ein paar hundert Kinder deutschlandweit von Zuhause unterrichtet wurden, sind Schulen nun teilweise komplett geschlossen oder betreiben einen Notunterricht auf Sparflamme. Der Unterschied zum traditionellen Heimunterricht ist, dass die Lehrer nach wie vor die Kinder beschulen, allerdings aus der Ferne bzw. remote über das Internet.

Da die Inhalte nun nicht mehr analog im Klassenzimmer übertragen werden, sondern digital über das Internet ins Kinderzimmer, ergeben sich ganz neue Gefahren für die Schüler. Angefangen beim Datenschutz und der Problematik der Speicherung von persönlichen Daten bei US-Amerikanischen Clouddiensten über digitale Übergriffe beim „Cybergrooming“. Aber die Gefahr kann sich auch intern ergeben, wie der Fall eines 14 Jahre alten Schülers einer Mittelstufe im Oberallgäu […]

Von |2021-08-31T16:41:58+02:0018. März 2021|
Nach oben