Das Mirai-Botnetz oder die Rache des IoT

bots-pexel

Anfang 2016 haben wir mit Penetrationstester Ken Munro ein Gespräch über die Sicherheit von IoT-Geräten geführt: Funkgesteuerte Türklingeln oder Kaffeemaschinen und all die zahlreichen Haushaltsgeräte mit Internetanbindung. Seine Antwort auf die Frage nach grundlegenden Schutzmechanismen dieser Geräte: „Dass Hersteller auch nur einen Gedanken an Hacker-Angriffe verschwendet haben, halte ich für eine gewagte These.“ Privacy by […]

Weiterlesen →

Insiderbedrohungen und E-spionage

hack

„100 Milliarden Schaden durch Wirtschaftsspionage“. Das hatte 2014 bereits der Verein Deutscher Ingenieure (VDI) ermittelt. Zahlen, die sich mit den Ergebnissen einer vom Center for Strategic and International Studies (CSIS) im Juni 2014 veröffentlichten Studie weitgehend decken. Kurz darauf forderte die Nationale Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS) mehr staatliches Engagement und legte dazu […]

Weiterlesen →

Top 10 Active Directory Tutorials im Internet

Wir alle haben von den vielen Vorteilen gehört, die Active Directory (AD) für IT-Administratoren hat – es vereinfacht die Arbeit, da es einen zentralen Tresor von Benutzerinformationen gibt. Darüber hinaus ist es skalierbar und unterstützt Millionen von Objekten in einer einzigen Domain. Die Implementierung und Pflege innerhalb der ACLs kann jedoch ziemlich vertrackt sein – […]

Weiterlesen →

Wie finde ich heraus, zu welchen Active Directory-Gruppen ich gehöre?

Die Fähigkeit aktuelle Benutzerlisten und Gruppen zu verwalten und zu pflegen ist ganz wesentlich für die Sicherheit eines Unternehmens. Es gibt eine Reihe von Wegen um zu bestimmen zu welchen Gruppen ein Benutzer gehört. Zunächst können Sie den GUI-Ansatz verwenden: Gehen Sie zu „Active Directory Users and Computers“. Klicken Sie auf „Users“ oder den Ordner, […]

Weiterlesen →

Einführung zu OAuth (in verständlicher Sprache)

Wir haben bereits über die Weitergabe Ihrer Passwörter gesprochen, und dass das etwas ist, dass unter keinen Umständen zulässig ist. Wenn eine Website die Dienste einer anderen Website verwenden will – wie wenn etwa Bitly auf Ihrem Twitter-Stream posten möchte – sollte man nicht sein Passwort weitergeben, sondern stattdessen OAuth benutzen. OAuth ist ein Authentifizierungsprotokoll mit dem Sie erlauben, […]

Weiterlesen →

Würde die DSGVO bereits gelten, müsste Yahoo einen großen Scheck ausstellen

money-finance-bills-bank-notes

Die Datenschutz-Apokalypse bei Yahoo wird nun von zwei EU-Datenschutzbehörden unter die Lupe genommen. Die britische Datenschutzaufsichtsbehörde ICO, die das Ausmaß der Attacke als „erschütternd“ bezeichnete, kündigte an, den Fall genauer zu untersuchen. Anmerkung am Rand: das ICO äußert sich übrigens eher selten in dieser Art und Weise zu aktuellen Sicherheitsereignissen. Auch der Leiter der Datenschutzbehörde […]

Weiterlesen →

Datenschutz für VIPs: Was wir aus dem Hack von Colin Powells E-Mail-Konto lernen können

neuschwanstein-castle-germany-disney-40735

Man kann getrost die Frage stellen, inwieweit sich Führungskräfte, Entscheidungsträger in Regierungen und andere Repräsentanten einer gesellschaftlichen Elite sich tatsächlich von uns Normalsterblichen unterscheiden. Sie tun es, wenn auch nicht unbedingt zum besseren. Das Gmail-Konto des früheren Secretary of State Colin Powell, wurde ebenso erfolgreich gehackt wie das AOL-Konto des ehemaligen CIA Director John Brennan […]

Weiterlesen →

Best Practices für SQL-Server, Teil 2: Virtualisierte Umgebungen

lion

Wir schreiben das Jahr 2016, und teilweise gehen Anwender immer noch davon aus, dass man SQL-Server nicht in virtuellen Umgebungen ausführen kann. SQL-Server kann durchaus erfolgreich auf virtuellen Maschinen (VMs) genutzt werden. Allerdings ist das Programm ein Ressourcen-Fresser. Ohne bestimmte Best Practices geht es in virtuellen Umgebungen nicht. Genau die machen den Unterschied zwischen einer […]

Weiterlesen →

Malware-Coding für IT-ler, Teil II: Fun mit FUD-Ransomware!

pexels-photo-51415

Ransomware ist – nüchtern betrachtet – nur ein kleines Stückchen Schadcode, entwickelt mit primär einem Ziel: sämtliche Dateien des betroffenen Benutzers zu verschlüsseln. Ist noch kein Entschlüsselungs-Tool verfügbar, bleibt dem Opfer nicht viel anderes übrig als den geforderten Lösegeldbetrag zu zahlen, will es den notwendigen Schlüssel erhalten. Aber wie komplex ist Ransomware wirklich? Gegenstand dieses […]

Weiterlesen →

Der Unterschied zwischen Jeder/Alle und authentifizierten Benutzern

protips3

Um Zugriffskontrollen ordnungsgemäß zu pflegen ist es wichtig, zu verstehen, wofür jedes Element einer Zugriffskontrollliste (ACL) steht, einschließlich der implizierten Identitäten, die in eine Windows-Umgebung integriert sind. Es gibt eine Menge integrierter Konten mit seltsamen Namen und vagen Beschreibungen, sodass die Auswertung verwirrend werden kann. Eine Frage, die häufig gestellt wird, ist: „Was ist der […]

Weiterlesen →