Hallo zusammen,
das BSI hat auf [0] eine Ausschreibungssuche für das Projekt 351 formuliert:
"Sicherheitsanalyse VeraCrypt"
Da der eine oder andere hier bestimmt VeraCrypt als Alternative zu dem
nicht weiter entwickeltem TrueCrypt verwendet dürfte das eine gute
Nachricht sein. Daher hier erst einmal FYI.
Wer noch mehr Details hat bzw. andere Alternative besser findet darf dies
gerne hier in der Liste verewigen/fallen lassen ;)
Sobald hier erste Ergebnisse publiziert werden denke ich hoffentlich daran, diese
hier als Antwort weiter zu geben - ansonsten wer hier schneller ist ...
VG
Bernd
[0]
http://www.evergabe-online.de/tenderdetails.html?id=230461
--
Bernd Kohler
IT Center
Abteilung: Netze
RWTH Aachen University
Wendlingweg 10
52074 Aachen
Tel: +49 241 80-29793
Fax: +49 241 80-22666
kohler(a)itc.rwth-aachen.de
https://www.itc.rwth-aachen.de
Am 29.04.20 um 08:53 schrieb Janowitz, Thomas:
> Darfst Du den Anlass nennen? Wordpress oder Joomla?
Es wurden genannt:
- Apache Flink
- Confluence
- Horde
- Jenkins
- phpMyAdmin
- Zimbra
Hi,
kann jemand von Euch mit einem Alice.DE oder O2 Account,
wohl MXed über
"megamailserver.com" (*)
noch E-Mail mit der RWTH austauschen?
Wenn nein, beschwert Euch bitte umgehend.
Ansonsten kappen wir die Leitungen dahin,
und wenn, dann gründlich.
Gruß, Jens Hektor
(*) Ungefähr so "MEGA" wie Trump.
P.S. Noch keinen so depperten Provider erlebt.
Hallo,
habe zu den 63 Webservern, die auf TCP/8080 laufen,
und die eine Freischaltung für das Internet haben, zusätzlich
a) ein Protokollmodul für HTTP aktiviert
b) Deep Inspection aktiviert
c) den Viren Scanner aktiviert
Es gab durchaus einen Anlass dafür.
Könnte Nebenwirkungen haben, hoffe aber nicht.
Gruß, Jens Hektor
--
Dipl.-Phys. Jens Hektor, Security Operations
RWTH Aachen University, IT Center RWTH Aachen University
Room 2.04, Wendlingweg 10, 52074 Aachen (Germany)
Phone: +49 241 80 29206 - Fax: +49 241 80 22100
http://www.itc.rwth-aachen.de - hektor(a)itc.rwth-aachen.de
Hallo,
auf einigen meiner Endgeräte ist mittlerweile die zoom App installiert
worden.
Und ich habe es noch nicht geschafft, dass die App sich automatisch
aktualisiert,
oder dass ich einen email Verteiler abonnieren kann, der mich über neue
Versionen informiert.
Kennt jemand eine elegantere Lösung wie 'Erinnern Sie ihre Benutzer
daran, die App zu aktualisieren'
um das Problem in den Griff zu kriegen?
Sollte ich mich an dieser Stelle wirklich mit opsi / ocs-inventory oder
puppet beschäftigen und das ausrollen?
Viele Grüße
Frank Knoben
Hier mal eine Zusammenfassung bzgl. der Angriffe via SSH.
SSH ist mit 809 weltweit freigeschalteten IP-Adressen
nach HTTPS (1333) und HTTP (1122) auf Platz drei
der Freischaltungsrangliste in der RWTH-Firewall.
Dazu kommen noch 60 Server auf anderen Ports
bzw. mit reduzierten (auf DE+BeNeLux) Freischaltungen.
Teilweise werden diese Freischaltungen in nachgelagerten
ACLs auf den Routern reduziert.
* Wünschenswert wäre hier sicherlich mehr Server in
der DE+BeNeLux Gruppe zu haben, als diese weltweit
zu exponieren. *
Bei den gescannten Diensten ist SSH (wie auch RDP)
eigentlich immer in den Top10, Top ist hier (mit Abstand)
Telnet, gefolgt von HTTP.
Quellen der Scans sind zu großen Teilen Würmer auf
Geräten der Klasse IoT, also Home-Router, IP-Kameras,
Video-Abspieler und SAT-Empfänger, usw.
Diese versuchen dann per Brute-Force weitere Geräte zu finden,
meist mit Standard Credentials.
Eine besondere Rolle spielen hierbei ältere Raspberry PI,
da diese meist mit Defaultpassworten betrieben wurden.
Wir hatten in den letzten 3 Jahren vier Zwischenfälle
mit SSH, die im wesentlichen 2 Ursachen hatten:
a) leichtsinnig gesetztes simples Passwort
b) kein Bewusstsein dafür, dass diese IP weltweit erreichbar ist
Auf dem Logserver checkpoint.rz filtern wir SSH bezogene Logs
in eine Datei rein, hier mal so eine Grobauswertung der
280K Zeilen aus diesen Logs (April 2020):
Management System NOC: 50K
Security Scanner: 22K
Monitoring RZ-Cluster: 14K
Cisco-ACLs IPv4: 49K
Failed Password: 59K
Refused Connect (Wrapper): 75K
Invalid User: 9K
Management Institut: 3K
Cisco-ACLs IPv6: 1K
RWTH-Firewall: 1K
(gibt in der Summe Rundungsfehler)
Wir betreiben auch einen kleinen SSH-Honeypot,
der die versuchten Passworte abspeichert.
Das Ding wurde seinerzeit von Jan Göbel entwickelt,
Nils Neumann war ebenfalls dran (oder war es andersrum),
ich hab das Ding vor ein paar Jahren mal IPv6 fähig gemacht.
Attached habe ich mal die Hitliste der Passworte aus
dem vorigen Monat. Ich hoffe, keiner findet sein Lieblingspasswort.
Insgesamt hatten 115K Einträge, knapp 18K verschiedene Passworte.
Zugriffe erfolgten aus ca. 2K verschiedenen Class-C's.
76K Zugriffe erfolgten aus zwel Class-B's von den
Cloud Providern Tencent und Digital Ocean.
134.209.0.0/16
134.175.0.0/16
Top 10 der getesteten 207 verschiedenen Accounts:
106916 root
3402 admin
924 ubnt
328 user
221 test
203 guest
191 oracle
184 ubuntu
125 22
120 debian