Microsoft hat aufgrund von Kundenfeedback den Zeitraum für das Deployment des Windows Server 2012 R2 Updates bis zum Patchday im August verlängert. In diesen vier Monaten können Security Updates auf Windows Server-Umgebungen aufgespielt werden ohne auch das komplette Update zu installieren. Ebenfalls bis zum 12. August haben Firmenkunden nun auch Zeit, das Update für Windows 8.1 zu installieren.
Der IT-Experte Domonkos P. Tomcsányi beschreibt in seinem Blog ausführlich, wie er in ein GSM-Handynetz eindrang. Das “Global System for Mobile communication” wurde 1991 als Standard etabliert. Bis 2003 gab es verschiedene Ansätze, wie Angriffe auf die weltweit gängige Technik funktionieren. Die Tools dafür waren aber sehr teuer und sie waren nur für Behörden oder Telekom-Firmen verfügbar.
Karsten Nohl setze 2009 die Theorie in die Tat um und demonstrierte Fakten, die den Mythos vom “sicheren GSM” bröckeln ließ. Dabei wurde klar, dass GSM einige verwundbare Schwachstellen hat, die angegriffen werden können.
2009 veröffentlichte Frank A. Stevenson das Tool “Kraken”, das – kombiniert mit der richtigen Hardware – die GSM-Verschlüsslung knacken kann. 2010 gelang es damit und einer programmierbaren Funkhardware (USRP), in einer Funkzelle einen Downlink-Kanal (vom Funkmast zum Handy) auszulesen.
Das GSM-Hacking beherrschten nun zwei Hardware-Lösungen: USRP und OsmocomBB. Doch es geht laut Tomcsányi noch einfacher und billiger: Ein einfacher RTL-SDR-Stick zum Empfang aus dem Netz, zum Beispiel für SMS oder für Gespräche. Damit lässt sich der GSM Downlink-Traffic einer bestimmte Frequenz auslesen, wenn diese nicht gewechselt wird.
Um eine GSM-Downlink auszulesen, benötigt man den “Temporary Mobile Subscriber Identifier” (TMSI) des Handys, das man überwachen will, die Funkzelle, in der es sich befindet, das Mitlesen des Traffics als Input für “Kraken”, welches den Schlüssel berechnet, der zur Decodierung der Daten eingesetzt werden kann.
Mit eine “stlilen SMS” lässt sich das Handy des Opfers unauffällig ansprechen, um die TSMI und die Frequenz herauszubekommen. Antwortet ein Handy, lässt sich die Konfiguration der Funkzelle analysieren, in der es sendet und empfängt.
Dazu werden die sogenannten “System Information Bursts” analysiert, die regelmäßig innerhalb der Funkzelle über eine verschlüsselte Verbindung gesendet werden. Ebenso wird eine unverschlüsselte System Information Typ 5 gespeichert und verschlüsselte Daten der gleichen Information. Das Resultat ist der so genannter Keystream, mit dem die Kraken-Software gefüttert wird. Diese kann nun mithilfe einer großen Datenbank den binären Code eines beliebigen Bursts knacken.
Da GSM in vielen verschiedenen Konfigurationen laufen kann, muss man laut Tomcsányi stets herausfinden, welche Konfiguration das zu knackende Handynetz besitzt. Das klappt zum Beispiel mit dem Tool “go.sh”.
Tomcsányi hat angekündigt, in Zukunft weitere Informationen zum GSM-Hacking zu veröffentlichen.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.
Das Information Security Forum (ISF) beleuchtet in seinem Report “Threat Horizon 2016” die Konsequenzen aus den Enthüllungen über die Informationssicherheit des vergangenen Jahres. Diese haben laut ISF “zu Vertrauensverlusten in staatliche Akteure, Sicherheitsanbieter und -lösungen geführt”.
Die Folgen: Die Sicherheitslage für Unternehmen werde in Zukunft noch unübersichtlicher. Ein absoluter Schutz ist dadurch nicht mehr möglich. Das ISF rät Unternehmen, sich “so widerstandsfähig wie möglich” aufzustellen, um die Folgen von Angriffen, Datenverlusten und Spionage bewältigen zu können.
Als wichtigste Themen nennt der Report:
Insbesondere der erste Punkt ist besorgniserregend. Microsoft hat nach den Snowden-Enthüllungen mehrere Erklärungen zu Themen wie Überwachung durch Regierungen, Anordnungen auf Basis des Foreign Intelligence Surveillance Act, dem Gesetz zum Abhören in der Auslandsaufklärung und zu Sicherheit und Datenschutz von Kundendaten in der Microsoft-Cloud gemacht. Microsoft fordert gemeinsam mit anderen Unternehmen Reformen, welche die Balance wahren sollen zwischen dem Schutz persönlicher Daten und der persönlichen Sicherheit. Als Reaktion hat die US-Regierung Änderungen angekündigt, der Kongress wurde damit beauftragt, weitere Reformen zu entwerfen und umzusetzen.
Eine Zusammenfassung des ISF-Reports: http://bit.ly/ISF_TH16. Der kompletter Report (kostenpflichtig) unter www.securityforum.org/research.
Liebe Podcast-Zuhörer,
der Podcast der letzten TechNet Newsflash Ausgabe (7/2014) ist heute schon live.
http://download.microsoft.com/download/B/5/6/B56DB709-07CA-4DE3-8F90-3CB99A2C01DD/TechNetFlash_07-2014.mp3
Link zum TechNet Newsflash in Schriftform:
http://www.microsoft.com/germany/technet/newsflash/aktuell.htm
Link zum RSS Feed:
http://www.microsoft.com/feeds/technet/de-de/newsflash/tn_flash_podcast_archiv.xml
Wie immer: viel Freude beim Zuhören und späteren Durchstöbern der angekündigten Ressourcen!
Euer TechNet-Team!
Dieser Gastbeitrag wurde uns freundlicherweise von der AvePoint Deutschland GmbH zur Verfügung gestellt.
Mit der Verwendung von Microsoft SharePoint Server für unternehmenskritische Anwendungen wird es zunehmend wichtig, die Ausfallzeiten (Downtime) der Systeme auf ein Minimum zu beschränken und damit die höchstmögliche Verfügbarkeit der Informationen und Dokumente sicherzustellen. Auch die Sicherheit der Daten wie Dokumente, Verträge und in Wikis abgelegte Informationen spielt eine zentrale Rolle.
Auf Seiten von Microsoft SharePoint Server lässt sich dieses Ziel sehr zuverlässig mithilfe von mehrfach vorhandenen Web-Frontend, Applikations- sowie Search Servern erreichen. Diese redundant ausgelegten Systeme decken jedoch nur einen Teil der Anforderungen ab. Fällt durch einen Fehler - verursacht durch Hardware, Software oder „Human Error“ - der Datenbankserver teilweise oder vollständig aus, so stehen einige oder im schlimmsten Fall alle SharePoint-Inhalte nicht mehr zur Verfügung.
Um sich vor einem solchen Szenario zu schützen, kamen bisher vor allem die zwei folgenden Lösungen zum Einsatz:
Diese beiden Ansätze haben jedoch auch Nachteile. So schützt der SQL Server Cluster nicht vor einem Ausfall des Storage - was also wieder getrennt mittels gespiegeltem SAN abgesichert werden muss - und ein Failover ist nur für die komplette Instanz mit allen Datenbanken möglich, was je nach Datenbankanzahl und Größe langwierig sein kann. Dies kann dazu führen dass SLAs bezüglich der Down Times nicht eingehalten werden.
Bei der SQL Server Spiegelung erfolgt die Konfiguration und Verwaltung auf Datenbankebene, was die Einrichtung und Überwachung aufgrund der Vielzahl von Datenbanken, die für eine SharePoint Farm notwendig sind, sehr aufwendig macht. Ein weiterer Nachteil beim „Mirroring“ ist auch, dass sich der Servername für die Verbindung bei einem Failover ändert. Dies kann zu Problemen führen, wenn die Applikation weiterhin versucht, sich mit dem primären Server zu verbinden.
Das mit der Version SQL Server 2012 eingeführte Feature „Always On“, vereint nun die Vorteile beider Lösungen:
Mehrere Datenbanken können zu Gruppen zusammengefasst werden. Wie etwa eine Gruppe für Inhaltsdatenbanken und eine weitere für Config und Service Applikationen.
Pro Verfügbarkeitsgruppe können sogenannte Listener mit DNS Name und IP Adresse angelegt werden, die immer auf den aktiven Node zeigen. Somit bleibt ein Failover für die Applikation transparent. Mittlerweile wird sogar die Verwendung von IP Adressen aus unterschiedlichen Subnetzen unterstützt.
Es ist möglich, mehr als eine Replik für unternehmenskritische Inhalte zu erstellen. So können Content DBs beispielsweise synchron in ein lokales Rechenzentrum und zusätzlich asynchron in ein remote Rechenzentrum übertragen werden.
Backups können von den sekundären Repliken der Datenbanken erstellt werden, um die Performance der produktiven Datenbanken nicht negativ zu beeinträchtigen.
Da sich die Datenbanken auf allen beteiligten Servern bereits im online Zustand befinden, können Failover Vorgänge in extrem kurzer Zeit durchgeführt werden. Das verringert die Downtime für solche Ereignisse massiv.
Diese Übersicht zeigt deutlich, warum SQL Server Always on die bevorzugte Lösung für die Hochverfügbarkeit von SharePoint Datenbanken ist. Durch den Einsatz dieses neuen Features lassen sich Downtimes verringern und die Datensicherheit erhöhen. Durch den Einsatz von 3rd Party Tools von Anbietern wie AvePoint lässt sich die Einrichtung der Verfügbarkeitsgruppen und die notwendige Konfiguration in SharePoint auch weitgehend automatisieren.
Über den Autor:
Mario Spies ist als ACS Strategic Consultant bei der AvePoint Deutschland GmbH in München tätig und beschäftigt sich schon seit den Anfängen von SharePoint mit dieser Technologie. Er hat langjährige Erfahrung in der Planung, Einrichtung und Optimierung von komplexen Microsoft SharePoint und SQL Server-Umgebungen für Unternehmen unterschiedlicher Größe und aus allen Branchen. Zusätzlich verfügt er über diverse Zertifizierungen als MCT, MCIT, MCSA und MCTS und führt Schulungen als Microsoft Trainer durch.
Liebe Leser,
heute möchte ich Sie auf eine spannende Veranstaltung aufmerksam machen.
Die Synopsis 2014 wird Ihnen an 2 intensiven Tagen verschiedenste Partnerlösungen und Kundenbeispiele präsentieren um Ihnen neue Impulse für den Umgang mit den aktuellen Megatrends „Big Data und Hybrid Cloud“, „Mobility und Modern Apps“, „Cloud“ und „Social Business“ zu geben. Verpassen Sie nicht diese Trends sondern nutzen Sie deren Mehrwert für Ihre Firma. Lassen Sie die IT zum Innovationsführer in Ihrer Firma werden und vernetzen Sie Menschen, Methoden und Technologien um Mitarbeiter flexibler agieren zu lassen, bestehende Freiräume zu entdecken und Geschäftsprozesse in Einklang zu bringen.
Als besonderes Highlight wird zum ersten Mal der neue Microsoft SQL Server 2014 vorgestellt! Kamal Hathi, Microsoft Corporation, verantwortlich für die Design, Entwicklung und Strategie von SQL Server Business Intelligence Technologien wird Ihnen Einblicke in die neue Version geben.
Melden Sie sich noch heute an und sparen Sie 100 €!
Die Synopsis 2014 vom 13. bis 14. Mai in Darmstadt. Mehr Infos zur Veranstaltung finden Sie hier.
Folgen Sie uns auch auf Twitter: #Synopsis14
Die Kontrolle und Steuerung wichtiger Auto-Funktionen, wie sie viele Hersteller schon seit einigen Jahren per App bieten, offeriert viele Möglichkeiten – auch für Hacker. Wie der Security-Experte und Autor Nitesch Dhanjani berichtet, lässt sich der elektrisch angetriebene Sportwagen Tesla S P85+ von Fremden aufsperren. Nötig ist hierzu nur das Überwinden eines Passwort-Schutzes in der Tesla-App.
Dhanjani beschreibt, dass lediglich ein sechsstelliges Passwort den Tesla S vor fremdem Zugriff schützt. Der Käufer muss dieses bei der Bestellung des Wagens angeben, wenn der unter Teslamotors.com einen Account anlegt.
Wird der Wagen geliefert, lassen sich Funktionen wie die Türschlösser per iOS-App steuern. Auch den Standort des Wagens zeigt die App an. Dabei wird zum Schutz vor fremdem Zugriff das zuvor angelegte Kundeprofil samt selbstgewähltem Passwort verwendet.
Dieses lässt sich dem Experten zufolge zum Beispiel per Brute-Force-Angriff herausfinden – einen Schutz vor mehrfachen Fehlversuchen bietet Tesla nicht. Die Daten lassen sich ebenfalls durch einen Phishing-Angriff sammeln. Auch durch Passwort-Leaks auf anderen unsicheren Seiten können Angreifer an Login und Passwort für den Tesla gelangen, wenn der Besitzer das Passwort auf mehreren Seiten verwendet. Denkbar ist zudem, dass das Passwort in fremde Hände fällt, wenn der Angreifer zuvor den E-Mail-Account des Opfers übernommen hat und anschließend den auf E-Mail basierenden Passwort-Reset ausführt.
Auch die REST-API, über die die App mit anderen Anwendungen Daten austauschen kann, könnte als Einfallstor dienen. Laut Dhanjani kann der Anbieter der Fremd-App Nutzernamen und Passwort des Tesla-Besitzers im Klartext erhalten. Der Experte rät Tesla-Besitzern dazu, keine Tesla-Anwendungen von Drittanbietern zu benutzen.
Sollte jemand den Session-Token, den die Tesla-App als Cookie bei einer erfolgreichen Anmeldung setzt und der drei Monate gültig ist, vom iPhone des Fahres kopieren, hat der Unbekannte ebenfalls Zugriff auf das Fahrzeug. Das iPhone mit der App sollte nicht in falsche Hände geraten und entsprechend gut abgesichert sein, rät Dhanjani.
Dhanjani hofft, das Tesla die genannten Sicherheitsrisiken ernst nimmt und die digitale Sicherheit des Fahrzeugs in Kürze überarbeitet. Einen Trost haben Tesla-Fahrer bis dahin: Der Diebstahl der Elektro-Fahrzeuge ist nur per Passworteingabe nicht möglich. Hierzu ist in jedem Fall noch der Schlüssel nötig.
der Podcast der letzten TechNet Newsflash Ausgabe (6/2014) ist jetzt live.
http://download.microsoft.com/download/B/5/6/B56DB709-07CA-4DE3-8F90-3CB99A2C01DD/TechNetFlash_06-2014.mp3
Euer TechNet-Team