Penetrationstests

22. März 2017

secuvera auf der 5. VDI-Fachkonferenz Industrial IT Security

Vom 21. – 22. Juni 2017 findet in Darmstadt die 5. VDI-Fachkonferenz Industrial IT Security statt. Auf der zweitägigen Veranstaltung berichten Experten u. A. von VW, AXA Versicherung oder Evonik Technology & Infrastructure über Herausforderungen und Lösungsansätze. Zusätzlich finden die Spezialtage „Industrial Internet of Things – Next Level Automation“, „Social Engineering – Risikofaktor Mensch“ und „IT-Sicherheit von industriellen Steuerungen – […]
weiterlesen …

20. März 2017

SSH-Server Konfiguration – Technische Richtlinie TR-02102-4 des BSI

Findet man bei Penetrationstests einen SSH-Server, so wirft man einen Blick auf die angebotene Konfiguration der Transportverschlüsselung und Authentisierung. Viele verlassen sich dabei auf die Standardkonfiguration, nicht zuletzt, weil niemand weis, welche Algorithmen und Einstellungen zu wählen sind. Wir helfen uns bei Penetrationstests damit, indem wir bei SSH-Servern einen Abgleich der Konfiguration mit den Empfehlungen aus der Technischen Richtlinie TR-02102 […]
weiterlesen …

30. Januar 2017

secuvera-SA-2017-01 Privilege Escalation in OPSI-Umgebungen (“Rise of the Machines”)

Im Rahmen des intern stattfindenden LabDays habe ich das quelloffene Client-Management-Werkzeugs „Open PC Server Integration“ (=OPSI) der Firma uib GmbH aus Mainz bzw. die auf den Clients ausgebrachte Komponente „opsiclientagent“ mittels Pentesting-Methoden näher unter die Lupe genommen. Dabei konnte ich eine Schwäche identifizieren, die es mir erlaubt, Befehle auf anderen Systemen auszuführen. Dadurch war ich schließlich in der Lage, administrativen […]
weiterlesen …

8. September 2016

secuvera erneut für Penetrationstests durch das BSI zertifiziert

Seit 2013 ist secuvera vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als die Sicherheitsdienstleister für Penetrationstests zertifiziert. Jährlich prüft das BSI die Einhaltung der Qualitätsmanagementstandards und Sicherheitsvorgaben. Darüber hinaus müssen alle zertifizierten Penetrationstester im Dreijahresrhythmus erneut zertifiziert werden. Nur so lässt sich die Zertifizierung als IT-Sicherheitsdienstleister aufrecht erhalten. Die im September 2016 notwendige Re-Zertifizierung aller unserer zertifizierten Penetrationstester war […]
weiterlesen …

1. Juli 2016

Episode 3 – TR-02102-2 und Postfix

Dieser Blogpost ist Teil der Blogserie zur TLS-Konfiguration – Technische Richtlinie TR-02102-2 des BSI. In Episode 1 habe ich erläutert, was der Richtlinie zweiter Teil empfiehlt. In Episode 2 wurden die Empfehlungen beim Apache HTTP Webserver umgesetzt. In diesem Teil möchte ich veranschaulichen, wie man das mit einem zum Zeitpunkt der Erstellung dieses Dokuments aktuellem Mail Transfer Agent (MTA) Postfix […]
weiterlesen …