Blog

Es soll Kollegen geben, die da mit dem Laptop sitzen 🙂

Findet man bei Penetrationstests einen SSH-Server, so wirft man einen Blick auf die angebotene Konfiguration der Transportverschlüsselung und Authentisierung. Viele verlassen sich dabei auf die Standardkonfiguration, nicht zuletzt, weil niemand weis, welche Algorithmen und Einstellungen zu wählen sind. Wir helfen uns bei Penetrationstests damit, indem wir bei SSH-Servern einen Abgleich der Konfiguration mit den Empfehlungen aus der Technischen Richtlinie TR-02102 […]
weiterlesen …

„Penetrationstests – Planungsaspekte, Stolpersteine und Nutzen in der Praxis“ lautet der Titel eines Vortrags von Tobias Glemser, BSI-zertifizierter Penetrationstester und Geschäftsführer der secuvera, bei der Java User Group Stuttgart. „Penetrationstests“ – eine Angriffssimulation. In vielen Unternehmen bereits etabliert, vielen Unternehmen unbekannt. Was ist denn nun eigentlich ein Penetrationstests? Welche Prüfungsarten und -objekte gibt es? Der Vortrag definiert aus der Praxis […]
weiterlesen …

Im Rahmen des intern stattfindenden LabDays habe ich das quelloffene Client-Management-Werkzeugs „Open PC Server Integration“ (=OPSI) der Firma uib GmbH aus Mainz bzw. die auf den Clients ausgebrachte Komponente „opsiclientagent“ mittels Pentesting-Methoden näher unter die Lupe genommen. Dabei konnte ich eine Schwäche identifizieren, die es mir erlaubt, Befehle auf anderen Systemen auszuführen. Dadurch war ich schließlich in der Lage, administrativen […]
weiterlesen …

Dieser Blog Post ist Teil der Blogserie zur TLS-Konfiguration – Technische Richtlinie TR-02102-2 des BSI. In Episode 1 habe ich erläutert, was der Richtlinie zweiter Teil empfiehlt. In dieser Episode möchte ich veranschaulichen, wie man das mit einem NGINX Webserver umsetzt. Dafür habe ich in unserer Testumgebung einen NGINX auf einem Ubuntu Server 16.04.1 installiert. Wichtig: Ich setze in diesem […]
weiterlesen …