Wenn RATen und Trojaner zuschlagen – Plötzlich werden keine Emails mehr angenommen

Bei einem Anruf eines besorgten Kunden vor einigen Tagen erfuhren wir das er Probleme mit dem Versand von eMails hatte, bzw. dass die Empfänger seine eMails nicht annähmen. Der Kunde benutzt einen externen Mailprovider. Der Support dieses Dienstes gehörten bis dato nicht zu dem mit dem Kunden vereinbarten Leistungsumfang, aber wir nahmen uns auf besonderen Wunsch des Kunden trotzdem der Sache an. Unser Kunde benutzt ein Hosting-Packet inkl. Mailserver eines großen deutschen Providers. Er hat eine Subdomain registriert, die über den MX-Eintrag zur IP des Hosters verweist.

Schnell wurde klar das die IP des Mailservers, den der Kunde benutzt, in einer Exploit Block List gelandet ist. Da der Eintrag in der Block List einen Mailware-Trojaner Namens Nymaim aufzeigte, wurde auf unser anraten die bekannte Ziel-IP und Ziel-Domain in der Firewall des Unternehmens geblockt. Auch ein umfassender Scan wurde auf wichtigen Systemen, allen voran den Rechnern der Buchhaltung, durchgeführt. Gefunden wurde bei der Adhoc-Suche im Netzwerk des Kunden glücklicherweise nichts, und der Eintrag wurde nach 24 Stunden automatisch aus der Exploit Block Liste entfernt.

Wir rieten trotzdem unserem Kunden vorsorglich gemäß den Vorgaben der DSGVO die Mitarbeiter zu informieren und den Netzwerk-Traffic für mindesten 48 Stunden mit Wireshark zu analysieren.

Schon am nächsten Tag war die IP des Mailservers, den unser Kunde nutzt, aber schon wieder in der Exploit Block List aufgeführt. Diesmal sollte ein SpamRAT-Bot als Schädling identifiziert worden sein.

Da es aber nach den Maßnahmen dafür aber augenscheinlich kein Anzeichen gab, das noch ein Schädling sich in das Netzwerk des Kunden einnisten konnte, wendeten wir uns an den Support des Providers bei dem unser Kunde sein Hosting-Packet nutzt. Schon nach wenigen Stunden erhielten wir hier eine Antwort das ein anderer Benutzer des Servers, auf dem das Hosting-Packet unseres Kunden liegt, für das Probleme verantwortlich sei.

Sicherlich ist es für User einfacher einen vorkonfigurierten und meist gut konfigurierten Mailserver eines Providers zu benutzen. Allerdings dann auch mit den hier gezeigten Risiken, dass es durchaus möglich ist, dass der Email-Verkehr geblockt wird, weil der Mailer von anderen Usern zum Versand von Spam oder anderen Schädlingen genutzt wird. Was im privaten Umfeld nur ärgerlich ist, kann als Produktiv-System eines Unternehmens arge Probleme bereiten.

Hier empfehlen wir die Nutzung eines eigenen Mailservers, der einzig vom Unternehmen genutzt wird. Dies kann auch, sollte keine Erfahrung in der Konfiguration und Wartung eines Servers vorhanden sein, ein sogenannter Managed-Server sein.

Wir bieten diesen Service für unsere Kunden gerne an, inklusive Spam- und Viren-Kontrolle bei ein- und ausgehenden Emails.

Gerne unterbreiten wir Ihnen hier ein individuelles Angebot.  Sprechen Sie uns gerne an.

Wieder Probleme mit Funktastaturen und Funkmäusen

Wir haben am 25. Juli 2019 schon von Problemem mit den Unifying und Lightspeed Funkprodukten von Logitech berichtet. Zwar gabe es bereits ein Sicherheits-Patch von Logitech, aber dieses läst sich wohl leicht aus tricksen, wie wir heute einem bericht von heise.de entnehmne mussten.

So erklärte Sicherheits-Experte Marcus Mengs gegenüber heise Security das auch nach der Installation des Sicherheitspatches die Funkeingabegeräte mit wenig Aufwand schnell wieder gehackt werden könne. Dazu sei nur ein kurzer, sekundenschneller physischer Zugriff auf den Dongel nötig.

Laut Menges müsse ein Umdenken der Benutzer stattfinden. Eingabegeräte auf Funkbasis dürfen nicht unbeaufsichtigt gelassen werden. Die Geräte sollten beim Verlassens des Büros also eingesteckt oder verschlossen werden.

Quelle: heise.de

Telefonnummern von Facebook Nutzern veröffentlicht

Wie heute in einigen Medien (u. a. focus.de) und bei heise.de berichtet, wurden von 419 Millionen Facebook-Nutzern die Telefonnummer, die User-nummern und teilweise weitere Daten ins weltweite Netz öffentlich gestellt. Der Betreiber der Seite ist unbekannt.

Die durch einen Sicherheitsexperten zufällig gefundene Datei, die inzwischen aus dem netz genommen wurde, war für Datensammler wie Spam-Anrufer durchaus nützlich.

Facebook hat die Echtheit der Daten bestätigt. Bis April 2018 war es Facebook-benutzern möglich mithilfe von Telefonnummern User in dem sozielane Netzwerk zu finden. Laut Facebook wäre durch eine automatisierte Datensammlung die Entstehung der Datei zu erklären. Wer allerdings die Datei erstellt hat, kann facebook nicht bestimmen.

Wiederinmal hat es sich also gezeigt, das der Schutz von persönlichen Daten wohl allein in der Hand jedes mündigen und verantwortungsvollen Internetbesucher allein liegt. Ein gründliches Überlegen, welche Daten ich wo Preis gebe, eine regelmäßige Überprüfung meiner Daten und ein guter Onlineschutz mit Virenscanner und Verschlüsselung der Daten sollte mittlerweile obligatorisch sein.

Unsicher surfen durch Virenschutz

Wie Heise Security am 15.08.2019 berichtet konnten Nutzer der Antiviren Software Kaspersky jahrelang beim surfen auspioniert werden.

Durch die Security-Suite von Kaspersky wurde beim benutzen von Browsern ein Code eingeschleußt, der eigentlich beim surfen sichere und unsichere Seiten anzeigen sollte. Doch der Code wurde mit einer eindeutigen ID, der sog. UUID – das steht für Universally Unique Identifier – gekennzeichnet.

Da Kaspersky den Code direkt auf die HTML-Ausgabe einschleußt, wäre es Hackern leicht möglich gewesen, diese UUID von der Seite abzugreifen. Das bedeutet, dass jede beliebige Website die UUID des Nutzers einfach auslesen und zum Tracking missbrauchen kann. Und nach Test von heise auch, wenn der Browser im sog. Inkognito-Modus läuft.

Nach Aussagen von Heise wurde die Sicherheitslücke ernst genommen und inzwischen gepatcht.

Quelle: Heise.de

Erpressungstrojaner GermanWiper

Wie Heise Online bereits am 03.08.2019 berichtet, hat CERT-Bund – das Notfallteam des BSI – in einer Twittermeldung gewarnt, das der Verschlüsselungs-Trojaner GermanWiper zwar die typische Lösegeld-Erpressung anzeigt, die Daten aber nicht verschlüsselt, sondern unwiederbringlich mit Nullen überschreibt.

Der Trojaner, der als Bewerbungsschreiben getarnt versendet wird, läd beim öffnen des angeblich im Anhange befindlichen Lebenslauf, aus dem Internet die Schadsoftware nach, überschreibt die Daten auf der Festplatte und zeigt die vermeintliche Lösegeldforderung an.

Der Lösegeldforderung sollte man auf keinem Fall nachkommen. Der einzige Weg zur Wiederherstellung seiner Daten ist hier das hoffentlich regelmäßig erstellte und somit aktuelle Backup.

NotesIT ist Ihnen gerne behilflich bei der Erstellung und Umsetzung eines Sicherheits- und Backupkonzeptes. Sprechen Sie uns gerne an.

Quelle: Heise Online, CERT-Bund

IBM Notes Logo

Persönliche Gruppe mit anderen Usern teilen in IBM Notes

Wenn in IBM Notes perönliche Gruppen erstellt werden und diese an Kollegen gesendet wird, kann es zu Probleme kommen, wenn andere Kollegen Änderungen an der Gruppe vornehmen.

Die Gruppe wird im persönlichen Adressbuch gespeichert. Die durchgeführten Änderungen werden deswegen nicht automatisch an die Gruppenmitglieder übertragen. Daher ist es notwendig das der Kollege, der die Gruppe editiert hat, diese nochmals an alle Gruppenmitglieder versendet. IBM Notes erkennt, dass die Gruppe bei den Kollegen bereits vorhanden ist, und schlägt das Ersetzen der Gruppe vor.

Impoprtieren von Gruppen

Wir haben für unsere Kunden und Leser ein kleines Infosheet zum Download zu dieser Thematik vorbereitet.

Websitebetreiber sind in der Verantwortung beim Sammeln von Daten

Der Europäische Gerichtshof (EuGH) hat heute entschieden, das die Anbieter und Betreiber von Websites, die sogenannte Like-Button von Facebook einbinden, über die Informationen des Nutzers der Website gesammelt und an Facebook übermittelt werden, den Nutzer vor Besuch der Website darüber expliziet informieren müssen.

Geklagt hatten deutsche Verbraucherverbände stellvertretten gegen das Modehaus Peek & Cloppenburg, die auf Ihrer Onlineshop das Facebook Plugin eingebunden haben. Das Modehaus hatte argumentiert das sie nicht die Daten der Besucher sammeln, sondern Dritte , also in diesem Fall Facebook, mit dem installierten Plugin.

Die Richter des EuGH nehmen jetzt die Betreiber in die Verantwortung, die aktiv die Plugins von sozialen Netzwerken in ihre Seiten einbinden. Dadurch wird es in Zukunft notwendig sein, das der Betreiber der Website die Besucher über das Plugin informiert und ihn vor die Wahl stellt, die Website mit Plugin zu besuchen und dadurch seine perönlichen Daten Preis gibt, oder ob er die Seite verlässt.

Ob und in wie Weit das der Datensammelwut von Facebook & Co. einschränkt ist abzuwartet. Es wird aber angenommen das der Besucher den zuzätzlichen Klick auf „OK“ macht und wie gewohnt mit allen konsequenzen weiter im Internet surft.

Hacked

Kabelose Mäuse und Tastaturen von Logitech angreifbar

Wie Heise Online am 25.07.2019 berichtet istes möglich durch Hanrdware für nicht einmal 10 € einen länger bekannten Bug in Logitech Unifying und Lightspeed Funkmäuse und Tastaturen auszunutzen.

Durch den Bug in der Firmware, für den Logitech aber schon an Patches arbeitet, ist es möglich durch den Einsatz von günstigen USB-Funksticks die Eingaben der Funk-Tastaturen und Mäuse mit zu tracken. Betroffen sind hier die Serie der Logitech Unifying und Lightspeed Funkdongel, die durch die im unteren Bild markierete orangefarbenen Stern zu erkennen sind.
Unifying Loigitech Dongel
Bild: Logitech.com

Dadurch ist es nicht nur möglich Zugangsdaten und Passwörter aus zu spähen sonder auch ein sogenanntes Man-in-the-Middel Szenario zu errichten um z.B. bei Onlinebänking Daten zu verfälschen.

Wir empfehlen daher unseren Kunden und Lesern dringend sich über die angeboteten Patches zu informieren und diese gegebenenfals zu installieren oder den kostenlosen Austausch für einige Serien anzunehmen.

Quelle: Heise Online

Ein neues Zuhause für unser Development & Operations Team

Zum 1. April 2019 hat unser Development & Operations Team seine neuen Räume in der Creidlitzer Strasse 3-5 in Ahorn/Finkenau bezogen und arbeitet dort teamorientiert mit viel Platz in den neu gestalteten Büros. Unsere alten Räume sind durch die gestiegenen Anforderungen an Hardware und Personal nun doch zu klein geworden. Das Backoffice mit der gesamten Verwaltung verbleibt in der Wiesenstr. 17 in Untersiemau.

Unter +49 (0) 9561 – 675 994 – 0 sind wir zwischen 8 und 17 Uhr für Sie in unseren neuen Büros zu erreichen.