Im Thema dieser Episode geht es darum, wie Systeme ihre Angriffsfläche gegenüber Angreifern minimieren können. Stefan und Sven diskutieren allgemeine Prinzipien der Systemhärtung und geben aber auch konkrete Tips, wie für verschiedenste Systeme, Plattformen und Software eine Härtung durchgeführt werden kann.
Datenverluste
- 26.07.2020: Tech unicorn Dave admits to security breach impacting 7.5 million users
- 27.07.2020: Source code from dozens of companies leaked online
- 27.07.2020: Kampf gegen Malware: Unbekannte ersetzen Emotet gegen animierte Bildchen
- 28.07.2020: Hacker leaks 386 million user records from 18 companies for free
- 29.07.2020: Business giant Dussmann Group’s data leaked after ransomware attack
- 27.07.2020: Nintendo-Leaks: Quellcodes früher Mario- und Zelda-Spiele aufgetaucht
News
- 24.07.2020: Garmin services and production go down after ransomware attack
- 26.07.2020: Garmin beantwortet Fragen zum Ausfall
- 27.07.2020: Garmin confirms ransomware attack, services coming back online
- 24.07.2020: Bericht: Corona-Warn-App hat bei Millionen nicht richtig funktioniert
- 24.07.2020: Corona-Warn-App: SAP erläutert Problem mit der Hintergrundaktualisierung
- 24.07.2020: Corona-App funktioniert auf iPhones fehlerhaft
- Image „Cloaking“ for Personal Privacy
- 27.07.2020: NSU 2.0 & Co.: Hunderte Verfahren wegen Missbrauch von Polizeisystemen
- 27.07.2020: Bayern: Neue Software gegen Cyberkriminalität soll Licht ins Darknet bringen
- 21.07.2020: BKA nutzt WhatsApp-Webfunktion zum Mitlesen bei Verdächtigen
Thema: Härtung
chroot, Mandatory Access Control, Härten (Computer), CIS – Center for Internet Security, Wikipedia, CIS Benchmarks, CIS-Mitglieder
Aufgenommen am 29.07.2020
Veröffentlicht am:30.07.2020
Intro & Outro Chiptune CC BY SA 4.0: Pumped by ROCCOW
Logo CC BY 2.0 Richard Patterson
Disclaimer
In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, externe Geräte anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a, §202b, §202c StGB).
Hallo,
Wie immer amüsant. Euer Abo Button funktioniert nicht wegen CSP. Könnt ihr ja mal selber nachgucken; bei mir steht in der Konsole:
Content Security Policy: Die Einstellungen der Seite haben das Laden einer Ressource auf eval blockiert („default-src“).
Da hat wohl jemand die Apache-Config Verhärtet.
Den transmission-daemon könnte man auch prima unter einem unbekannten Server Directory https://0x0d.de/blafoo auf das lokale Interface forwarden, dann fallen beim nmap auch keine dubiosen Ports auf. *hust*
Euer rdns zeigt auf unitycom.net. Da dieses projekt schon älter ist, würde ich empehlen den Record auf 0x0d.de zu ändern.
LG
Hiho,
ist euer Mangel an IPv6 (zumindest AAAA-RR) eine „Härtemaßnahme“? 😀
Zu Maru anschließend:
Euer Port 53 ist offen (hoffe das soll so)
Statt 143 vll. imap deaktivieren, da ihr ja imaps (993) habt
Benutzt ein Wildcardcert, ein cert pro subdomain, um diese zu „verstecken“, bzw. da {meet, imap, smtp, mail}.0x0d.de auf https reagiert aber „failed“
SSH auf 9999 nice try, aktuelle version ist 7.6p1-4ubuntu0.3
Ich hör dann mal das Härtungskapitel an 😉
LG
Hey,
bin seid rund 3 Monaten nun großer Fan vom Podcast und wollte euch mal für dieses Meisterwerk der Vermischung von Informationen und Humor danken. 😀
Zu den Fragen im Podcast:
– Nmap Scan usw. wurde unten ja schon angemerkt.
– Abo Button funktioniert bei mir unter Firefox auch nicht.
– Forum in dem ShinyHunters aktiv ist, müsste das Forum „https://raidforums.com“ sein. Dort kann man sich mit objektivem Blick echt nen paar spannende Insights hinter Leaks usw. verschaffen. (Anschauen darf man das ja alles 🙂 )
LG ?
Hallo ihr beiden,
erstmal ein Lob an euch, ich höre jetzt seit ca. 3 Monaten euren Podcast (um alle Folgen aufzuholen) und mittlerweile gehört er zum 2wöchentlichen Standart hier..macht weiter so!
Zuerst einmal zu einem „älteren“ Thema: ich arbeite im Bereich InfoSec Management eines größeren Unternehmens und habe immer wieder mit Social Engineering bzw. OSINT zu tun. Den Hinweis auf die Preisgabe eurer persönlichen Daten hatte ich auch schon im Kopf, gebe euch allerdings Recht, das gehört zu einem Teil zum Leben eines Podcasters. Und auch ich würde mich freuen falls jemand die Zeit dazu findet heraus mal eine OSINT-Map zu erstellen. Ich schaffe es zeitlich leider nicht…aber das Problem haben bestimmt viele….
Zum Thema CIS-Benchmarks empfehle ich euch mal das Tool CIS-CAT-Pro bzw. CIS-CAT-Lite anzuschauen, das erleichtert eine Menge. Wir setzen das bei uns aktiv ein, allerdings immer verbunden mit Diskussionen zwischen InfoSec, Admins und den Product Ownern (Thema Useability vs. Security).
Auch eine Integration in SCAP ist vorgesehen.
Also, weiter so! Freue mich auf weitere Folgen (vielleicht mal zum Thema OSINT ;-))
Kurz zur CWA: „PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing) bezeichnet eine Initiative …, die vom PEPP-PT-Gründungskonsortium zertifiziert werden. “ Dort “ …. soll bei der deutschen Variante ein Push-Mechanismus verwendet werden. Wie der Push-Mechanismus Anonymität wahren soll, wird nicht dargelegt.“
Der Herr Chris Boos von der CWA ist ein wirklich sympatischer Typ. Zum Glück hat der schon letztes Jahr an der Bilderberg-Konferenz teilgenommen und ist damit bestens vernetzt und die freundliche Firma KKR, die gerade auch die Bildzeitung übernommen hat, hat auch schon kräftig bei ihm investiert. Die kennt man ja noch von anderen „interessanten“ Übernahmen, bzw. „Ausschalchtungen“.
de.wikipedia.org/wiki/Liste_von_Teilnehmern_an_Bilderberg-Konferenzen
gruenderszene.de/allgemein/arago-kkr
CIS benchmark wird eigentlich recht häufig benutzt.
Eine kommerzielle Platform die das explizit anbietet ist Azure Cloud von Microsoft.
Hier kann man alle Ressourcen in der cloud gegen CIS controls prüfen und kriegt ständig aktuelle Zahlen inkl schicker Grafiken fürs Reporting und sehr konkrete Vorschläge zur Optimierung/Härtung.
Hi, ich höre schon seit einigen Monaten regelmäßig Euren Podcast. Auch wenn es manchmal etwas anstrengend ist, wenn vor allem Stefan mal wieder abschweift :-), sind doch eigentlich immer ein paar interessante Infos dabei.
Diese Folge, in der Ihr die CIS-Benchmarks vorgestellt habt, ist mir besonders in Erinnerung geblieben.
Ihr hattet nach Alternativen oder Tools fürs Benchmarking gefragt. Ich hätte da zwei Empfehlungen:
– Technische Umsetzungs-Empfehlungen des amerikanischen Militärs für alle Regierungsorganisationen. STIG steht für „Security Technical Implementation Guides“. Gibt es zu seeehr vielen Themen. Diese sind unter https://public.cyber.mil/stigs/downloads/ herunterladbar.
– das Open Source Tool lynis von cisofy.com, mit dem man einfach per Shell-Skript eine umfangreiche Liste von Controls prüfen lassen kann. Am Ende gibt es ein „Hardening Score“, und im Logfile kann man nachlesen, welche Probleme gefunden wurden (Suche nach „Hardening“).
Grüße, Olaf.
Hi Olaf,
das klingt beides sehr interessant, das werde ich mal im Auge behalten.
Viele Grüße
Sven