Termine & News

2-Faktor-Authentifizierung (2FA): Perfekte Sicherheit – oder Alles voller Sicherheitslücken?

In den letzten Jahren machen Unternehmen vermehrt ihre internen digitalen Dienste, also Dienste für Mitarbeiter wie z.B. E-Mail-Zugang, Intranet, Netzwerkdateifreigaben, virtuelle Desktop-Arbeitsplätze (RDP und VDI) nicht nur von innerhalb des Unternehmens, sondern auch von außerhalb zugreifbar. Dies soll es den Mitarbeitern ermöglichen, auch von unterwegs (Roadwarrior) oder von zu Hause (Home Office) auf diese Dienste zuzugreifen. Die Home-Office-Welle, die dem Ausbruch von Corona/CoViD-19 folgte, hat diesen Trend noch weiter bestärkt und beschleunigt. Um Zugriff auf diese internen Dienste zu gewähren, schützen Unternehmen diese mit verschiedenen Methoden: Zugriff aus dem Internet, nur mit Nutzername und Passwort - oft handelt es sich hierbei um das interne Nutzerpasswort, zum Beispiel aus dem Windows Active Directory Zugriff per VPN - entweder per Nutzername und…
mehr lesen

Sicherheit von Medizingeräten – Ein Ausblick in die Zukunft

Bei der Frage wie neuartige medizinische Geräte vor Hackerangriffen geschützt werden können, stehen viele Firmen vor einem Rätsel. Bis dato gibt es in Deutschland bzw. in der gesamten EU keine eindeutige, verpflichtende Vorgabe, wie diese wichtigen Geräte zu schützen sind oder getestet werden müssen, um mögliche Angriffe zu vermeiden. Man mag denken, dass in Deutschland, im Land der Bürokratie, solche Richtlinien seit langem existieren. Ein Irrtum! – So existiert zwar eine EU-Verordnung (MDR – Medical Device Regulations), welche speziell für Medizingeräte Details vorschreibt, jedoch ist der Absatz in dieser Verordnung bezüglich der Sicherheit in der IT nur sehr kurz und wenig aussagekräftig verfasst. (Quelle: https://www.medical-device-regulation.eu) Diese sehr vage formulierten Paragraphen lassen natürlich nahezu jeden Spielraum zu, wenn es darum geht,…
mehr lesen

Allrounder zum Hardware Testing

Der breitgefächerte Elektronikmarkt mit unzähligem "Spielzeug", lässt die Hackerherzen höher schlagen. Häufig werden jedoch Gadgets gekauft, die nach nur einmaliger Nutzung im Regal zuhause verstauben. Um solche Fehlkäufe zu vermeiden, werden hier zwei der wahren Allrounder zum Hardware Testing vorgestellt: Saleae Logic Analyzer Der Logic-Analyzer der Firma Saleae wird bei vielen von unseren durchgeführten Hardwareprojekten verwendet. Dieses Gadget unterstützt bei der Identifizierung und Analyse von unbekannten Pins auf einem Board / PCB. Besitzt man kein hochwertiges Oszilloskop, bietet der Logic-Analyzer eine sehr gute Möglichkeit Platinen kostengünstig zu analysieren. (Quelle: https://cdn.antratek.nl/media/product/51e/saleae-logic-pro-8-logic-analyzer-sal-00113-240.jpg) Die meisten Hardware-Black-Box-Test beginnen damit, offene Pins bzw. Kontaktpunkte zu identifizieren, welche eine Interaktion mit dem Board ermöglichen können. Stichwort sind Schnittstellen wie UART, JTAG, I2C, SPI, usw. Je nach…
mehr lesen

Angriff auf den Medizinsektor – Ein lukratives Geschäft

Hackerangriffe auf den Medizinsektor haben in den letzten Jahren stark zugenommen. Mittlerweile ist die Medizinbranche eines der beliebtesten Ziele solcher Angriffe. Abbildung 1: Top 6 Most Breached Industries / Quelle: https://www.varonis.com/blog/hacker-motives/ Abgerufen am 19.03.2020 Um zu verstehen, warum der Medizinsektor ein so beliebtes Ziel ist, muss die Motivation und aktuelle Vorgehensweisen der Angreifer betrachtet werden. Dabei unterscheidet sich das Bild eines modernen Hackers deutlich von dem Stigma eines pickligen Nerds, der in seinem Kinderzimmer im Elternhaus, das Facebook-Passwort seiner Lehrerin knacken möchte. Hackerangriffe und der entsprechende Schutz sind heute eine milliardenschwere Industrie, die weit über den Verkauf von personenbezogenen Daten hinaus geht. Das beliebteste und lukrativste Angriffsszenario von Hackerorganisationen ist aktuell das Eindringen in die Firmen-IT-Infrastruktur mit dem Ziel interne…
mehr lesen

IT-Sicherheits-Überprüfungen – welche gibt es und welche ist die Richtige für mich?

Im Bereich IT-Sicherheit gibt es viele verschiedene Test-Arten. Dies kann für Unternehmen, die sich gegen Hacker-Angriffe und andere Sicherheitsrisiken absichern wollen, mitunter verwirrend sein. Daher möchten wir von der NSIDE Ihnen in diesem Blog-Post einen Überblick über die verschiedenen IT-Sicherheits-Tests, die es gibt, bieten. Ferner gehen wir auf die Fragen ein, wer welche Tests durchführen sollte, und wofür. Grob gibt es drei größere Klassen an Überprüfungen, die sich wiederum weiter aufteilen. Diese drei großen Testklassen sind Scans, Tests und Audits. Scans Scans sind vollautomatische Sicherheitsüberprüfungen. Sie prüfen - auf Grund ihrer Automatisierung - fast immer nur auf technische Sicherheitsprobleme: das Vorhandensein gewisser technischer Sicherheitsmaßnahmen oder Schwachstellen. Ihr Vorteil ist, dass sie sehr effizient sind - aber auch weniger effektiv als…
mehr lesen

Gadget Highlights von der Embedded World

Auf der diesjährigen Embedded World konnten wir einige Gadgets ausprobieren, die oft komplizierte Hardwareanalysen um ein Vielfaches erleichtern. Natürlich möchten wir Ihnen diese nicht vorenthalten und stellen zwei Produkte vor, die besonders herausgestochen sind (ACHTUNG: KEINE bezahlte Werbung – wir finden die Produkte nur gut). Sensepeek - PCBite Unser Spitzenkandidat ist die Hardwareanalyse-Plattform PCBite von der Firma Sensepeek. Lästiges Einrichten von klobigen Stativen oder Anlöten von Datenkabeln gehören mit dem Produkt der Vergangenheit an. Je nach Type beinhaltet das Produkt eine verspiegelte Grundplatte, mehrere Sockelstative zur Arretierung von Platinen, sowie flexible Pinhalter mit Kabelanschlussmöglichkeiten, welche zielgenau auf Testpunkte oder Pins gerichtet werden können. Das Produkt ist unter folgendem Link erhältlich: https://sensepeek.com/pcbite_20 NewAE - CW308 UFO Target Ein weiteres nützliches Produkt…
mehr lesen

Purple Team statt Red Team: Effizientes Maximieren der eigenen Verteidigungsstärke

In der offensiven IT-Sicherheit gibt es verschiedene Test-Typen: Neben den altbekannten Penetrationstests und Red Team Assessments etablieren sich seit einiger Zeit auch Purple Team Assessments. Bevor wir Purple Team Assessments vorstellen können, gehen wir nochmal kurz auf Red Team Assessments ein. Wiederholung: Penetrationstests und Red Team Assessments Sie kennen wahrscheinlich Penetrationstests: Dies sind technische Sicherheitsüberprüfungen auf einzelne Systeme, Anwendungen oder Netzwerke. Bei Red Team Assessments handelt es sich hingegen um vollumfängliche (d.h. nicht nur technische) und realistische Angriffssimulationen gegen Unternehmen als Ganze mit allen Mitteln der Kunst. Bei Red Team Assessments findet und schließt man Wege, die ein professioneller Angreifer nutzen würde, um verschiedene hochschädliche Aktionen gegen das Zielunternehmen durchzuführen. Hierzu gehören beispielsweise: das Stehlen von wichtigem geistigem Eigentum (wie…
mehr lesen

Hacker im Home Office in Zeiten von Corona (CoViD-19)

Dieser Tage überhäufen sich die Social Media Posts wegen Corona-Virus (CoViD-19 bzw. SARS-CoV-2) und Home Office. Wir bei der NSIDE haben uns gedacht: Da machen wir doch mit! Der Unterschied zu den vielen anderen Posts: Wir betrachten Home Office-Settings nicht aus Firmen- und Verteidiger-, sondern aus Angreifersicht. Die Ausgangslage Sie haben Ihre Mitarbeiter ins Home Office geschickt. Dort sitzen die Kollegen nun mit ihren Arbeitslaptops oder, im schlimmeren Fall, mit ihren Privatgeräten (privater PC oder Laptop, Smartphone oder Tablet) und greifen von daheim auf sensibelste Unternehmensdaten zu. Und da fängt der Spaß für die Angreifer schon an. Angriffe daheim Wenn Ihre Mitarbeiter von daheim auf Ihre Unternehmensressourcen zugreifen, haben Sie potentiell mehrere Probleme. Wenn Sie zum Beispiel nicht den gesamten…
mehr lesen

War Story: Physischer Penetrationstest – aus dem Alltag eines Analysten

Wie in einer Pentestingfirma üblich besteht viel der alltäglichen Arbeit aus dem Überprüfen von IT –Infrastruktur, wie etwa Webapplikationen und Netzwerken. Extrem spannend wird es für uns jedoch, wenn wir im Rahmen eines Red Teams beauftragt werden, auch die physische Sicherheit zu überprüfen. In meinem letzten Fall sollte ich versuchen physisch bei einer Versicherungsgesellschaft einzubrechen. Die Thematik des physischen Zugangs finde ich persönlich sehr spannend, vor allem weil ich in meiner Freizeit bei der Freiwilligen Feuerwehr tätig bin und so früh erste Erfahrungen im Bereich des gewaltsamen Eindringens kennengelernt habe. Allerdings ist der Einbruch im Rahmen der Feuerwehr nicht mit dem unerlaubten Eindringen bei einem Red Team Assessment zu vergleich. Beim Red Team Assessment wird ein reeller Angriff von uns…
mehr lesen

Trends und Entwicklungen – Devops für RedTeam Infrastrukten

Nachdem sich die Cloud fest etabliert hat und der Vormarsch von DevOps nicht mehr aufzuhalten ist, war es nur eine Frage der Zeit bis DevOps auch Auswirkungen auf das Thema Security hat. Dabei stellt sich die Frage, welche Auswirkungen DevOps auf die Sicherheit selber hat bzw. welche Best Practices bei DevOps beachtet werden sollen, um Sicherheitsprobleme ganz von allein zu vermeiden. In diesem Beitrag geht es im speziellen um die praktischen Auswirkungen auf Red Teams. Wie auch um das Thema, in wieweit der IT-Betrieb mit DevOps in der Lage ist schnell auf Anforderungen verschiedener Stakeholder zu reagieren, und ob Red Teams durch DevOps in der Lage sind schnell Infrastrukturen aufzubauen. Dies ist vor allem nützlich, wenn das Blue Team –…
mehr lesen