Kritische Sicherheitslücke in Log4j durch BSI mit 10/10 Punkten bewertet. Was ist zu tun?

Das BSI warnt – neben anderen Institutionen – aktuell vor einer gravierenden und weltweiten Sicherheitslücke mit dem Schweregrad 10/10. Diese hohe Einstufung ist extrem selten. Mit diesem Schreiben möchten wir Sie über die Lücke informieren.Bitte leiten Sie diese E-Mail auch an Ihre Partner/Zulieferer weiter. Wie nutzen Angreifer die Lücke aus? Angreifer tragen dazu in Web-Formularen, Suchmasken, Chat-Fenstern oder E-Mails eine einfache Zeichenfolge ein. Bei der Verarbeitung dieser Zeichenfolge durch verwundbare Software, löst dies einen Mechanismus aus, der im Hintergrund und unbemerkt, sich von Dritten Schadcode in Ihr System nachlädt. Ist einmal Schadcode auf Ihrem System aktiv, wird dieser für weitere Aktion genutzt. Welche Software ist betroffen? Es gibt derzeit eine inoffizielle und nicht vollständige Liste¹ welche die Verwundbarkeit der großen Softwareprodukte protokolliert.Jedoch besteht diese Lücke auch in einer Vielzahl von kleinen und eher unbekannten Softwareprodukten die unter Umständen noch gar nicht über die Lücke informiert wurden. Was macht die Lücke so gefährlich? Einerseits kann diese Lücke extrem einfach durch eine simple Text-Zeichenfolge ausgelöst werden. Andererseits muss das betroffene System nicht mit dem Internet verbunden sein. Als Beispiel kann ein E-Mail-Archiv – welches völlig unabhängig vom Internet betrieben wird – erfolgreich angegriffen werden, wenn eine eingehende E-Mail eine Zeichenfolge enthält, die Read more…

IT-Cyberübung bei cubewerk – jetzt buchen

Hackerangriffe, Datenverlust und Betriebsunterbrechungen sind der Horror. Finanziell wie auch persönlich. Wer gut auf eine Situation vorbereitet ist, wird nicht von ihr überrascht. Was ist eine Cyberübung? Eine Cyberübung ist die Simulation einer kritischen IT-Situation und soll alle Beteiligten auf den Ernstfall vorbereiten sowie die internen und externen Abläufe in einer koordinierten Art und Weise erproben. Wie läuft eine Cyberübung ab? Ausgewählte Personen Ihres Unternehmens werden in einer Gruppenübung mit einer simulierten Situation konfrontiert. Dies könnte ein Verschlüsselungstrojaner oder der Eingang einer Lösegeldforderung per E-Mail sein. cubewerk beaufsichtigt und dokumentiert die Reaktionen, Handlungsschritte und Maßnahmen, die durch die Gruppe ausgeführt werden. Nach Abschluss der Übung erfolgt eine technische wie auch organisatorische Bewertung der Maßnahmen, die gemeinsame Erarbeitung einer optimalen Alarmierungs- und Reaktionskette sowie deren Dokumentation. Wie lange dauert eine Cyberübung? Die Cyberübung inkl. anschließender Bewertung und Dokumentation dauert einen Tag und findet in Ihrem Unternehmen statt. Was kostet eine Cyberübung? Die IT-Cyberübung dauert einen Manntag. Bitte sprechen Sie uns an. Welche Vorteile verschafft mir eine Cyberübung? Sie gewinnen Erfahrung, können sich im Krisenfall auf erprobte Abläufe verlassen und besitzen einen zeitlichen Vorsprung gegenüber Angreifern. Zusätzlich kennen alle verantwortlichen Person die Alarmierungs- und Reaktionskette und werden nicht von der Situation überrascht. Read more…

debian/ubuntu/proxmox disable offloading features with /etc/network/interfaces

Debian/Ubuntu have a package called ethtools to adjust – next to a lot of other tunables – the offloading features of your nic. check the features with set the features with ethtool enp1s0f3 –offload tx off So now how can this be set up in /etc/network/interfaces? According to /etc/network/if-up.d/ethtool (a script that is shipped with ethtool and parses /e/n/i file it can handle offloading features: # Find settings with a given prefix and print them as they appeared in # /etc/network/interfaces, only with the prefix removed. SETTINGS=“$(gather_settings OFFLOAD_)“ [ -z „$SETTINGS“ ] || $ETHTOOL –offload „$IFACE“ $SETTINGS So a setting must start with offload in /e/n/i To disable rxvlan and txvlan – one sets: offload-rxvlan off offload-txvlan off Other options may be available but not documented and depend on the nic/firmware. see https://linux.die.net/man/8/ethtool https://bugzilla.proxmox.com/show_bug.cgi?id=2569

Zabbix Server is not running – Abhilfe

Diese Meldung erscheint in der Regel im Web-Interface von Zabbix. Jetzt muss man wissen, dass das Zabbix-Web-Interface sich mit dem Zabbix-Server und der Datenbank verbindet. Beide Verbindungen können – partiell – scheitern und dann obigen Fehlermeldung auslösen. Somit prüfen, ob die Verbindung zur DB und zum Zabbix-Server geht. Problematisch ist hier häufig, dass man für die Verbindung mit ‚localhost‘ arbeitet, hinter local ipv4 und ipv6 „lauscht“ die Dienste (DB + Zabbix-Server) aber u.u. nur auf v4 oder v6.

Die Digitalisierung beginnt im Kopf

Ich möchte Sie an meiner Theorie teilhaben lassen, wie sich die nächsten Jahre die Arbeits- und Wettbewerbssituation verändert und warum es keine Zeit zu verschenken gilt, die eigenen Arbeitsabläufe digital zu transformieren. Seien Sie versichert, dass es hier keineswegs um meine Spinnereien als IT-Unternehmer geht. Ein Ausflug nach Grünheide. Der Unternehmer Elon Musk eröffnet gerade die erste deutsche Gigafactory für das Elektrofahrzeug Tesla. Die Medien überschlagen sich seit Jahren, wie der Automobilhersteller die Branche aufmischt und im Bereich Elektromobilität – stellen wir auf die Innovationen ab – andere Hersteller vor sich hertreibt. Hier empfinde ich die Einstufung von Tesla als Automobilhersteller schon als eine Verkennung der Lage. Tesla ist ein extrem leistungsfähiges IT-Unternehmen und stellt auch erfolgreich Autos her. Was macht Tesla nun so erfolgreich und was hat das mit Ihnen zu tun? Tesla kippt die eigene Erfahrung im Bereich IT, Chip- und Batteriefertigung, Service und Support, Softwareupdates und Analyse in das Produkt Automobil und erreicht dadurch eine extrem hohe Wertschöpfung der eigenen Leistungen. Jetzt zu Ihnen. Nahezu alle soeben genannten Bereiche können heute auch schon Ihre Produkte & Dienstleistungen unterstützen. Oder anders gesagt, wenn Sie Ihre Produkte & Dienstleistungen in diesen Bereichen digitalisieren oder daran ausrichten, gewinnen Sie einen Read more…

Microsoft Ipsec/Ikev2 VPN CSP/KSP/TPM2.0 SHA2-Hashing und ECC-Ciphers mit EAP-TLS – Anleitung und Fehlersuche für Admins

Kürzliche Anforderung für einen Kunden war die Evaluierung einer sicheren VPN-Einwahl über einen zweiten Faktor ohne Einsatz von Drittsoftware oder Clients mit Windows-Boardmitteln. Was haben wir in diesem Projekt gelernt? Die Authentifizierung per EAP-TLS funktioniert, wenn die Zertifikate richtig generiert werden. SHA1-Zertifikate werden von den meisten VPN-Anbietern nicht mehr unterstützt (PFSENSE, bzw. strongswan seit 5.9.2¹) TPM1.2-Module können kein SHA2 und sind auch beschränkt hinsichtlich der Schlüssellänge. Unter Windows lässt sich zwar ein nicht unterstütztes Zertifikat in das TPM importieren oder in einen Yubikey oder Nitrokey, beim Verbindungsaufbau gibt es nur einen Mismatch. VPN-GW logged nur spärlich 14[IKE] EAP method EAP_TLS failed for peer Windows besitzt mehrere Crypto-Schnittstellen um Smartcards anzusprechen. Die alte Methode via CSP (crypto service provider) sowie die neuen Key Storage Provider². Welche der eigene Rechner anbietet, zeigt: certutil -csplist Bei der Erzeugung von SSL-Zertifikate empfiehlt sich ein Containerformat PFX/PKCS12/P12, welches so direkt importiert werden kann. openssl pkcs12 kennt den Schalter -CSP, um einem Zertifikat einen Provider aufzudrücken. Also den (angestaubten) CSP mit zu übergeben. Bei den Smartcards ist Vorsicht geboten. Manche Hersteller kennzeichnen ihre Sticks als „CSP-tauglich“ und liefern eigene Smartcard-Treiber mit. Das ist der Idealfall und garantiert die beste Unterstützung. Am Beispiel des Nitrokey ist zusätzliche Read more…

Medium E-Mail – Rechtliche Vorgaben und Fallstricke für die Unternehmenskommunikation

Die E-Mail Kommunikation ist die am häufigsten verwendete Kommunikationsart in Unternehmen. Hierdurch ergeben sich Fragen hinsichtlich der konkreten Verschlüsselungspflicht bei der Nachrichten­übertragung, dem Einfluss von Anti-Spam- und Anti-Malware-Software auf die Kommunikation, der Zurechenbarkeit einer empfangenen E-Mail, Fragen ab wann eine E-Mail tatsächlich als zugestellt gilt und wie dies rechtlich zu bewerten und auch zu beweisen ist und wie die Pflicht zur E-Mail-Archivierung in Unternehmen umgesetzt werden kann. Die E-Mail-Verschlüsselung ist Pflicht und die Transportverschlüsselung bis auf wenige Ausnahmen, ein geeignetes Mittel zur rechtssicheren Kommunikation. Diese sollte dauerhaft ausgehend erzwungen werden. Die technisch korrekte Konfiguration des eigenen E-Mail-Servers, zur Aufzeichnung von Übertragungsprotokollen zu Beweiszwecken ist empfohlen. Auch der dauerhafte Einsatz von Übermittlungs- und Lesebestätigungen für ausgehende E-Mails, liefert im Streitfall nötige Zustellnachweise. Beim Einsatz des E-Mail-Archivs für gesendete und empfangene Handelsbriefe, sollte OpenSource-Software mit offenen Schnittstellen gewählt werden, um einen späteren u.U. nötigen Wechsel zu vereinfachen. Die private Internetnutzung sollte aus Datenschutzgründen und zur Vereinfachung der Archivierung, durch Betriebsanweisung unterbunden werden, um eine Vermischung von privaten und geschäftlichen Daten von vorne herein zu vermeiden. Das Medium E-Mail kann rechtssicher eingesetzt werden und bietet wesentliche Vorteile gegenüber der klassischen Briefpost. E-Mail-Verschlüsselung, Ende-zu-Ende, Revisionssichere Archivierung, Spamfilter, DSGVO, E-Mail Annahme, E-Mail-Zustellung E-Mail encryption, end-to-end Read more…

Exchange-Server 451 4.4.397 Error communicating with target host. -> 421 4.2.1 Unable to connect -> SocketError: Failed to connect. Winsock error code: 10051, Win32 error code: 10051′

Lag bei uns daran, dass Les-Encrypt zum 30.09.21 ihr altes Root-CA-Zertifikat abgelaufen ist. Kein Problem, alle Certs ware nebenso cross-signed mit den neuen. Der Exchange hatte jedoch nicht umgeschalten auf die alternative CA. Lösung war im certmgr.msc, das alte X1 Root-CA-Cert zu löschen, welches am 30.09 abgelaufen ist. Ab dann ging die SMTP-Verbindung zu externem Smarthost auch wieder.

Erste virtuelle 3CX-Anwenderschulung am 13.10.21 – jetzt buchen!

aufgrund großer Nachfrage bieten wir am 13. Oktober 2021 von 10:30 – 12:00 Uhr die erste digitale 3CX-Anwenderschulung an. Sie erhalten diese E-Mail, da Sie über eine 3CX-Telefonanlage verfügen. Empfohlen ist die Schulung für alle 3CX-Nutzer, die ihren Arbeitsalltag noch effizienter gestalten möchten oder zukünftig mit der Anlage arbeiten. Die Schulung findet online statt und es kann von jedem internetfähigen Computer teilgenommen werden. Ein Mikrofon oder eine Kamera ist nicht nötig. Es ist nur der Dozent per Video zu sehen. Fragen werden über die Chatfunktion gestellt. Die Schulung besteht aus einem Haupt- und Nebenteil. Der Nebenteil bietet Zeit für Fragen & Antworten der Teilnehmer. Agenda & Inhalte: Allg. Anruferführung & Verwaltung (Makeln, Verbinden, Parken) Nutzung des 3CX-Webclients als Alternative zum Tischtelefon Möglichkeiten der Anbindung von Headsets Planung und Durchführung von Videokonferenzen mit Dritten Möglichkeiten der Handy-Einbindung als Telefon Zentrale Pflege des Firmentelefonbuches & Verwaltungsmöglichkeiten Verfügbare Schnittstellen zu Drittsoftware Möglichkeiten der Telefonansagen & Anruferführung (Warteschlangen, Agenten-Funktion, Digitaler-Assistent) Verwalten von Warteschlangen, Übernehmen von Telefonaten, Eingreifen in bestehende Telefonate Aufzeichnung von Gesprächen zur Dokumentation Optimierung der Telefongebühren durch intelligente Weiterleitungen Beispiele aus der Praxis zur Optimierung der Telefonie & Konferenz

BATV und Probleme der Spamabwehr mit Exchange und MDN / Lesebestätigungen

Heutiger Fall, dass Mails unserer Kunden bei Reddox Mail-Gateways abgewiesen werden mit: dsn=5.0.0, status=bounced (host ….] said: 550 Recipient not accepted. (BATV: no tag) (in reply to RCPT TO command)) Was ist passiert? Der ursprüngliche Absender nutzt mit seinem Reddox-Spam-Gateway, BATV zur Bounceabwehr. Hier erhält jede ausgehende Mail folgenden Header: Return-Path: <prvs=1901156906=absender@senderdomain.de> Die Zahl ist ein individueller Code. Erhält das Reddox-Mailgateway eine Bounce-Mail eines fremden Servers, wird bei BATV erwartet, dass jede Mail an eine mit prvs=…. und Code hinterlegte Adresse zurück geschickt wird. Trägt eine Mail keinen Code, geht Reddox/BATV davon aus, dass diese Mail nicht ursprünglich von diesem System verschickt wurde. Dies hat jedoch zwei Desigsn-Schwächen: Fordert der Absender beim Versand eine Lesebestätigung an vom Empfänger, ergänzt dieser dazu den Mailheader um: Disposition-Notification-To: Ursprünglicher Absender <absender@senderdomain.de> Jetzt sieht man hier schon das Problem. Bei Bounces muss der Absender immer <> – also leer sein um ein Ping-Pong von Bounces zu vermeiden. Der Empfänger der die Lesebestätigung beantwortet, schickt also folgende Nachricht los: from=<> to= absender@senderdomain.de Jetzt prüft der Empfänger ob die Mail einen prvs Code enthält, findet ihn nicht und lehnt die Mail ab. Aus meiner Sicht gibt es bessere Methoden zur Bounce-Abwehr. Speziell weil in o.g. Fall, Read more…