von Redaktion IT-A…
Lesezeit
1 Minute
Seite 2 - Führungskräfte für IT-Sicherheit sensibilisieren (1)
Verwundbare Systeme finden
Auch die Auffindbarkeit aus dem Internet erreichbarer Systeme lässt sich mit sehr wenig Aufwand demonstrieren. Ideal dafür geeignet ist die Spezialsuchmaschine "Shodan" [7]. Shodan ist eigentlich auf IoT-Geräte spezialisiert, findet aber problemlos auch andere Dienste wie Webserver oder per VNC oder RDP erreichbare Server. Für einfache Suchanfragen erfordert Shodan keinen Account. Erst wenn Sie die erweiterten Möglichkeiten von Shodan nutzen und Ihre Suchergebnisse weiter filtern möchten (beispielsweise nach Ländern oder bestimmten Regionen), ist eine Registrierung fällig. So haben Sie bereits mit einem kostenfreien Account Zugriff auf die mächtige Shodan-Syntax. Hier einige Beispiele:
Die Eingabe mehrerer Suchbegriffe interpretiert Shodan dabei übrigens grundsätzlich als Booleschen "UND"-Ausdruck. Mithilfe des Ausrufezeichens können Sie unerwünschte Ergebnisse aber auch ausblenden. So findet Apache https !port:443,80 beispielsweise auch Apache-Webserver, die nicht auf den Standard-Webserver-Ports 443 oder 80 lauschen.
Falsches Vertrauen in E-Mails
In Phishing-E-Mails nutzen Angreifer gerne die beliebige Manipulierbarkeit des Anzeigenamens (Display Name) aus und täuschen auf diese Weise vor, dass E-Mails von einem vertrauenswürdigen Absender stammen. Wie die meisten Benutzer wissen jedoch auch viele Führungskräfte nicht, wie leicht der Anzeigename in E-Mail-Clients zu ändern ist. Sie sollten diesen Punkt daher unbedingt näher erläutern und auch erklären, wie sich Ihre Benutzer die tatsächliche E-Mail-Adresse anzeigen lassen können.
Seite 1: Verwundbarkeiten vorführen
Seite 2: Falsches Vertrauen in E-Mails
Im zweiten Teil geht es unter anderem darum, wie Sie WLAN-Schwachstellen aufspüren ujnd demonstrieren. Im dritten Teil und letzten Teil des Workshops beschäftigen wir uns damit, wie Sie die Gefahren offener Schnittstellen darstellen.
jp/ln/Thomas Zeller
[7] www.shodan.io
Auch die Auffindbarkeit aus dem Internet erreichbarer Systeme lässt sich mit sehr wenig Aufwand demonstrieren. Ideal dafür geeignet ist die Spezialsuchmaschine "Shodan" [7]. Shodan ist eigentlich auf IoT-Geräte spezialisiert, findet aber problemlos auch andere Dienste wie Webserver oder per VNC oder RDP erreichbare Server. Für einfache Suchanfragen erfordert Shodan keinen Account. Erst wenn Sie die erweiterten Möglichkeiten von Shodan nutzen und Ihre Suchergebnisse weiter filtern möchten (beispielsweise nach Ländern oder bestimmten Regionen), ist eine Registrierung fällig. So haben Sie bereits mit einem kostenfreien Account Zugriff auf die mächtige Shodan-Syntax. Hier einige Beispiele:
- SQ-WEBCAM country:"US": Findet Webcams in den USA.
- port:102 country:DE: Spürt an das Internet angeschlossene Siemens-S7-Steuerungen in Deutschland auf.
- port:22 city:"Stuttgart": Suche nach SSH-Servern im Raum Stuttgart.
Zur besseren Verdeutlichung können Sie Shodan während Ihrer Präsentation auch anweisen, nach Systemen Ihrer eigenen Firma zu suchen. Dazu verwenden Sie den Suchoperator "<hostname>:<domain.xy>".
Die Eingabe mehrerer Suchbegriffe interpretiert Shodan dabei übrigens grundsätzlich als Booleschen "UND"-Ausdruck. Mithilfe des Ausrufezeichens können Sie unerwünschte Ergebnisse aber auch ausblenden. So findet Apache https !port:443,80 beispielsweise auch Apache-Webserver, die nicht auf den Standard-Webserver-Ports 443 oder 80 lauschen.
Falsches Vertrauen in E-Mails
In Phishing-E-Mails nutzen Angreifer gerne die beliebige Manipulierbarkeit des Anzeigenamens (Display Name) aus und täuschen auf diese Weise vor, dass E-Mails von einem vertrauenswürdigen Absender stammen. Wie die meisten Benutzer wissen jedoch auch viele Führungskräfte nicht, wie leicht der Anzeigename in E-Mail-Clients zu ändern ist. Sie sollten diesen Punkt daher unbedingt näher erläutern und auch erklären, wie sich Ihre Benutzer die tatsächliche E-Mail-Adresse anzeigen lassen können.
Um weiter zu demonstrieren, wie leicht sich sehr vertrauenswürdige E-Mails erzeugen lassen, können Sie beispielsweise auch mit Microsofts Online-Mailer "outlook.com" aufzeigen. Hier erstellen Sie leicht eine E-Mail-Adresse mit dem Namen des Vorstands oder Geschäftsführers in der Domäne "outlook.de" oder "outlook.com". Als Anzeigename tragen Sie dann beispielsweise den Namen der betreffenden Person mit dem Zusatz "(geschäftlich mobil)" ein. Wenn mit diesem Absender versehene Nachrichten mit einem einigermaßen geschickt formulierten Text verschickt werden, dürfen Sie sicher davon ausgehen, dass ein Gutteil der Empfänger die in der E-Mail verlangte Aktion ausführen wird.
Seite 2: Falsches Vertrauen in E-Mails
Im zweiten Teil geht es unter anderem darum, wie Sie WLAN-Schwachstellen aufspüren ujnd demonstrieren. Im dritten Teil und letzten Teil des Workshops beschäftigen wir uns damit, wie Sie die Gefahren offener Schnittstellen darstellen.
| << Vorherige Seite | Seite 2 von 2 |
jp/ln/Thomas Zeller
[7] www.shodan.io
