Cyber-Bedrohung – Ukraine-Krieg – Bewertung

Sehr geehrte Damen und Herren,

der Krieg in der Ukraine ist eine schreckliche Katastrophe. Aufgrund der zusätzlichen Bedrohung durch russische Cyber-Angriffe auf ukrainische IT-Einrichtungen aber auch auf westliche Verbündete wie u.a. Deutschland, hat cubewerk eine Notfallbewertung der aktuellen Cyber-Bedrohungslage vorgenommen und möchte diese mit Ihnen teilen.

Es ist anzunehmen, dass Russland seine staatliche Macht ausspielt und russische Unternehmen zur Mithilfe bei Cyber-Angriffen verpflichtet.
Sollten Sie russische Anwendungssoftware in Ihrem Unternehmen einsetzen, besteht akuter Handlungsbedarf. Exemplarisch sei hier der AntiViren-Hersteller Kaspersky erwähnt. Das BSI warnt¹ seit 15.03 vor dem Einsatz dieser Software.

Sollten Sie mit russischen Unternehmen Geschäftsbeziehungen pflegen, besteht die Gefahr, dass Daten/E-Mails/Dokumente die über russische Infrastruktur an Sie übermittelt werden (russische Provider, Transportdienstleister, E-Mail-Anbieter, Nachrichtenseiten) Schadsoftware enthalten. Bitte beachten Sie, dass die Unternehmen selbst, häufig gar nichts von weiteren Cyber-Angriffen bemerken und nur deren Daten an Sie, als Transportmittel von Schadcode dient.
Dieser Schadcode wird durch staatliche Stellen in legitime Daten/Dokumente/E-Mails injiziert.

Zusätzlich gibt es aktuell größere Bemühungen von staatlicher russischer Seite, Russland vom weltweiten Internet abzukapseln. Was dies für den zukünftigen Nachrichtenaustausch mit Russland bedeutet ist noch nicht abzusehen.

¹ https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2022/220315_Kaspersky-Warnung.html

Windows Backup 0x81000033 – no space

Above error messages comes up if your System reserved Partition (the one that windows installer automatically creates during windows OS installation) is too small to handle temporary files during backup.

The backup process is -> data goes to SRP -> data goes to external/network storage

The SRP needs at least around 100MB free space. Windows 10 by default creates only a 50MB partition, where windows already uses around 30MB of total space.

SRP can be extended with gparted or the free tool Partition Assistant from Aomei.

Langzeitarchivierung mit Kopano

Für die automatisierte Langzeitarchivierung von E-Mails in Kopano (z.B. pro Benutzer) in jahresweise Unterordner der Inbox (z.B. 2016,2017 pro Benutzer usw.) oder aus dem Kopano-System in ein getrenntes Offline-System an einem entfernten Standort haben wir ein Archivierungstool entwickelt. Gerne unterstützen wir Sie bei Ihrer Migration damit.

Bitte sprechen Sie uns darauf an.

3cx pfsense fanvil telefon – kein audio

IP-Telefonie hat viel Ähnlichkeit mit ISDN.

Früher gab es einen Kanal für die Gesprächssteuerung/Aufbau usw. und dann beliebige weitere Kanäle für die eigentliche Sprache. Bei der IP-Telefonie ist das identisch.

Den Gesprächsaufbau übernimmt SIP (Session Initiation Protocol), die eigentliche Sprache kommt via RTP (Real-Time Transport Protocol).

Klingelt jetzt also ein Telefon bei einem Test, hört man dann nichts, ist klar erkennbar, dass dies nicht am SIP liegt.

Bleibt nur RTP.

RDP ist i.d.R. UDP-Verkehr mit einem zufälligen Port. Bei 3CX gibt es einen großzügigen Bereich. Standardmäßig 9000-10……

Wenn jetzt also ein Telefon ein anders anrufen möchte, teilt man sich bei der Gesprächsaushandlung via SIP mit, über welchen Port und unter welcher IP man denn für den anderen erreichbar ist. Und hierbei scheiterts oft, weil das Telefon selbst nicht immer so genau weißt, welche denn die eigene IP ist. Nachfolgend ein schöner TCPDUMP der ein mögliches Problem zeigt. Aufgenommen auf der Firewall, an welcher auch ein Telefon hängt:

20:05:01.850260 IP 192.168.0.184.14008 > 10.8.102.3.11030: UDP, length 24
20:05:01.850334 IP 192.168.0.184.14008 > 10.8.102.3.11030: UDP, length 24
20:05:01.850362 IP 192.168.0.184.14008 > 10.8.102.3.11030: UDP, length 24
20:05:01.850457 IP 192.168.0.184.14008 > 10.8.102.3.11030: UDP, length 24
20:05:01.850636 IP 192.168.0.184.14008 > 10.8.102.3.11030: UDP, length 24
20:05:01.858352 IP 62.155.242.79 > 192.168.0.184: ICMP net 10.8.102.3 unreachable, length 36

Was sieht man hier also schön?

DAs lokale Telefon im LAN (192.168.0.184) versucht das FREMDE und ENTFERNTE Telefon über seine lokale IP zu erreichen. Das kann nicht gehen. Bei der 3CX hat hier geholfen, unter Einstellungen -> Netzwerk

die eigene feste IP hart zu hinterlegen.

Betriebsurlaub, Erreichbarkeit und letzter Termin für IT-Änderungen

wir befinden uns vom 24.12 bis einschließlich 02.01.22 im Betriebsurlaub. In dieser Zeit ist unsere Telefonzentrale nicht erreichbar. Für Kunden mit gültigem Wartungsvertrag besteht die Möglichkeit, in Notfällen unseren Support per E-Mail zu erreichen. Bitte schildern Sie uns hierzu Ihr Anliegen – möglichst detailliert um unnötige Rückfragen zu vermeiden – per E-Mail an support AT cubewerk PUNKT de.

Bitte beachten Sie, dass wir in o. g. Zeitraum – aufgrund einer Notbesetzung – nur mit zeitlicher Verzögerung, ausschließlich Notfälle bearbeiten können.
Alle anderen Anfragen werden nach unserer Rückkehr ab dem 03.01.22 beantwortet.

Bitte beachten Sie, dass aufgrund interner Qualitätsvorgaben der letzte Tag für IT-Anpassungen / Änderungen der 22.12 ist. Änderungen die nach dem 22.12 angefordert werden, können erst wieder ab dem 03.01.22 ausgeführt werden.

Danke für Ihr Verständnis.

Kritische Sicherheitslücke in Log4j durch BSI mit 10/10 Punkten bewertet. Was ist zu tun?

Das BSI warnt – neben anderen Institutionen – aktuell vor einer gravierenden und weltweiten Sicherheitslücke mit dem Schweregrad 10/10. Diese hohe Einstufung ist extrem selten. Mit diesem Schreiben möchten wir Sie über die Lücke informieren.
Bitte leiten Sie diese E-Mail auch an Ihre Partner/Zulieferer weiter.


Wie nutzen Angreifer die Lücke aus?

Angreifer tragen dazu in Web-Formularen, Suchmasken, Chat-Fenstern oder E-Mails eine einfache Zeichenfolge ein. Bei der Verarbeitung dieser Zeichenfolge durch verwundbare Software, löst dies einen Mechanismus aus, der im Hintergrund und unbemerkt, sich von Dritten Schadcode in Ihr System nachlädt. Ist einmal Schadcode auf Ihrem System aktiv, wird dieser für weitere Aktion genutzt.


Welche Software ist betroffen?

Es gibt derzeit eine inoffizielle und nicht vollständige Liste¹ welche die Verwundbarkeit der großen Softwareprodukte protokolliert.
Jedoch besteht diese Lücke auch in einer Vielzahl von kleinen und eher unbekannten Softwareprodukten die unter Umständen noch gar nicht über die Lücke informiert wurden.


Was macht die Lücke so gefährlich?

Einerseits kann diese Lücke extrem einfach durch eine simple Text-Zeichenfolge ausgelöst werden. Andererseits muss das betroffene System nicht mit dem Internet verbunden sein. Als Beispiel kann ein E-Mail-Archiv – welches völlig unabhängig vom Internet betrieben wird – erfolgreich angegriffen werden, wenn eine eingehende E-Mail eine Zeichenfolge enthält, die im Nachgang „verarbeitet“ wird.


Bin ich betroffen?

Aufgrund der großen Anzahl verwundbarer Softwarekomponenten kann dies nicht ohne manuelle Kontrolle beantwortet werden. Exemplarisch seien nachfolgend einige Anwendungen genannt, die nicht verwundbar sind:

Benno Mailarchiv
3CX Telefonanlage
Kopano Mailserver
Proxmox Virtualisierungsumgebung
Eset-Virenschutz

Was passiert, wenn die Lücke in meiner IT ausgenutzt wird?

Angreifer laden Schadcode nach und aktivieren sich eine Hintertür in Ihr System. Ihr System wird später für weitere Angriffe genutzt oder Ihre Daten werden verschlüsselt und es folgen Lösegeldforderungen. Aus taktischen Gründen lassen sich Angreifer häufig Monate Zeit, bis die bestehende Hintertür tatsächlich für Angriffe genutzt wird.


Wie kann ich die Lücke erkennen?

Prüfen Sie nach obiger Liste¹ die Verwundbarkeit der bei Ihnen eingesetzten Software.
Leiten Sie diese Nachricht an Ihren Softwarelieferanten weiter und bitten um eine verbindliche Einschätzung.
Beauftragen Sie Ihren IT-Dienstleister mit der Sicherheitsanalyse Ihrer IT-Umgebung.


Wo erhalte ich weitere Unterstützung?

Das Bundesamt für Sicherheit in der Informationstechnik stellt weiterführende Informationen zur Verfügung:

https://www.bsi.bund.de/DE/IT-Sicherheitsvorfall/Unternehmen/

IT-Cyberübung bei cubewerk – jetzt buchen

Hackerangriffe, Datenverlust und Betriebsunterbrechungen sind der Horror. Finanziell wie auch persönlich.

Wer gut auf eine Situation vorbereitet ist, wird nicht von ihr überrascht.


Was ist eine Cyberübung?

Eine Cyberübung ist die Simulation einer kritischen IT-Situation und soll alle Beteiligten auf den Ernstfall vorbereiten sowie die internen und externen Abläufe in einer koordinierten Art und Weise erproben.


Wie läuft eine Cyberübung ab?

Ausgewählte Personen Ihres Unternehmens werden in einer Gruppenübung mit einer simulierten Situation konfrontiert. Dies könnte ein Verschlüsselungstrojaner oder der Eingang einer Lösegeldforderung per E-Mail sein. cubewerk beaufsichtigt und dokumentiert die Reaktionen, Handlungsschritte und Maßnahmen, die durch die Gruppe ausgeführt werden.

Nach Abschluss der Übung erfolgt eine technische wie auch organisatorische Bewertung der Maßnahmen, die gemeinsame Erarbeitung einer optimalen Alarmierungs- und Reaktionskette sowie deren Dokumentation.


Wie lange dauert eine Cyberübung?

Die Cyberübung inkl. anschließender Bewertung und Dokumentation dauert einen Tag und findet in Ihrem Unternehmen statt.


Was kostet eine Cyberübung?

Die IT-Cyberübung dauert einen Manntag. Bitte sprechen Sie uns an.


Welche Vorteile verschafft mir eine Cyberübung?

Sie gewinnen Erfahrung, können sich im Krisenfall auf erprobte Abläufe verlassen und besitzen einen zeitlichen Vorsprung gegenüber Angreifern. Zusätzlich kennen alle verantwortlichen Person die Alarmierungs- und Reaktionskette und werden nicht von der Situation überrascht.

Jetzt Kontakt aufnehmen!

debian/ubuntu/proxmox disable offloading features with /etc/network/interfaces

Debian/Ubuntu have a package called ethtools to adjust – next to a lot of other tunables – the offloading features of your nic.

check the features with

ethtool -k NIC-NAME
set the features with
ethtool enp1s0f3 --offload tx off

So now how can this be set up in /etc/network/interfaces?

According to /etc/network/if-up.d/ethtool (a script that is shipped with ethtool and parses /e/n/i file it can handle offloading features:

# Find settings with a given prefix and print them as they appeared in
# /etc/network/interfaces, only with the prefix removed.
SETTINGS="$(gather_settings OFFLOAD_)"
[ -z "$SETTINGS" ] || $ETHTOOL --offload "$IFACE" $SETTINGS

So a setting must start with offload in /e/n/i

To disable rxvlan and txvlan - one sets:

offload-rxvlan off
offload-txvlan off

Other options may be available but not documented and depend on the nic/firmware.


see https://linux.die.net/man/8/ethtool
https://bugzilla.proxmox.com/show_bug.cgi?id=2569

Zabbix Server is not running – Abhilfe

Diese Meldung erscheint in der Regel im Web-Interface von Zabbix. Jetzt muss man wissen, dass das Zabbix-Web-Interface sich mit dem Zabbix-Server und der Datenbank verbindet.

Beide Verbindungen können – partiell – scheitern und dann obigen Fehlermeldung auslösen.

Somit prüfen, ob die Verbindung zur DB und zum Zabbix-Server geht. Problematisch ist hier häufig, dass man für die Verbindung mit ‚localhost‘ arbeitet, hinter local ipv4 und ipv6 „lauscht“ die Dienste (DB + Zabbix-Server) aber u.u. nur auf v4 oder v6.