scip AG

Firma: Referenzen

Nachfolgend werden einige ausgewählte Referenzen der durch uns durchgeführten Projekte dargestellt. Informationssicherheit wird bei uns gross geschrieben und so verzichten wir bewusst auf die Nennung konkreter Firmennamen. Die Herausgabe dieser sowie einer Kontaktperson wird im Falle einer spezifischen Offertanfrage gerne nach Absprache mit unseren Kunden getätigt.

Auswahl Projekte

Backdoor Test HTC mit Windows Mobile

Ein nationales Versicherungsunternehmen will eine einheitliche Plattform für mobile Geräte umsetzen. Verschiedene Produkte kommen hierzu in Frage. Um die Angreifbarkeit der jeweiligen Lösungen aufzuzeigen, sollten die möglichen und zukünftigen Angriffstechniken demonstriert werden. Durch ein eigens angefertigtes Trojanisches Pferd für die Windows Mobile-Geräte von HTC liess sich das effektive Risiko illustrieren. Die individuelle Malware ist in der Lage, sensitive Informationen des Geräts (z.B. Kontakte, SMS, Emails) auszulesen und an den Angreifer zu schicken. (Permalink)

Backdoor Test Mailsteuerung

Eine Schweizer Privatbank ist um ein Höchstmass an Sicherheit bemüht. Die Arbeitsplatzrechner können lediglich mittels Outlook/Exchange Emails nutzen, welche über einen umfassenden Proxy verarbeitet werden. Anderweitige Kommunikationen ins Internet sind nicht möglich (z.B. kein HTTP, kein DNS). Durch ein eigens angefertigtes Trojanisches Pferd wurde dennoch ein zeitnahes Remote-Controlling der System über das Medium Email (mittels MAPI/RPC) realisiert. Dieser exotische Proof-of-Concept (PoC) konnte beweisen, wieviel Aufwand ein hochprofessioneller Angreifer (z.B. Nachrichtendienst) betreiben muss, um doch seine Ziele zu erreichen. (Permalink)

Backdoor Test Phishing

Ein internationales Telekommunikationsunternehmen will eine umfangreiche Prüfung der kostenintensiven Sicherheitsmechanismen – mehrere Millionen Schweizer Franken pro Jahr – durchführen. Dies wurde durch ein eigens entwickeltes Trojanisches Pferd mit Remote Control Möglichkeiten umgesetzt. Mittels Phishing/Pharming konnten 1500 Arbeitsplatzrechner innert weniger Stunden erfolgreich infiziert und ferngesteuert werden. Zu Beweiszwecken wurde ein Screenshot der laufenden SAP-Instanz erstellt und uns auf kryptografisch geschütztem Weg zugestellt. Die Limitierungen von User Awareness, Mailfilter, Firewall-Systemen, Antiviren-Lösungen und dem Monitoring-Team wurden damit konkret aufgezeigt und verbessert. (Permalink)

Backdoor Test Web 2.0 Trojaner

Unter Web 2.0 versteht man die Kombination dynamischer Techniken zur Erweiterung statischer Webseiten. Allem voran wird Ajax (Asynchronous Javascript and XML) für den dynamischen Datenaustausch eingesetzt. Lange Zeit wurde gemunkelt, dass sich damit ebenfalls Trojanische Pferde zur Kompromittierung und Fernsteuerung von Systemen über den Browser umsetzen liessen. Durch die Eigenentwicklung namens Xdoor™ (ehemals Swarm) ist es uns möglich – erstmals im Rahmen eines Tests für ein internationales Finanzinstituts -, die effektiven Sicherheitsrisiken derartiger Attacken aufzuzeigen. Durch das Besuchen einer Xdoor-Seite wird ein Zielsystem erfolgreich unter Kontrolle gebracht. (Permalink)

Concept Development Hardening Guide

Ein bekanntes Finanzunternehmen ist um die Wahrung und Erweiterung der Sicherheit ihrer Systeme bemüht. Zur technischen Umsetzung dessen soll ein Hardening stattfinden. Die durch uns entwickelten Hardening Guides wurden beim Aufsetzen und Betreuen der jeweiligen Systeme eingesetzt, um die unterschiedlichen Plattformen sicher zu machen (Microsoft Windows, Linux, IBM AIX und Sun Solaris). (Permalink)

Concept Development Single Sign On

Eine Bank aus dem nahe gelegenen Ausland wollte breitflächig Single Sign On (SSO) einführen, um die Authentisierungsmechanismen zu vereinheitlichen und so den Zugriff durch Mitarbeiter zu erleichtern. Die unternehmensweite Einführung wurde durch ein durch uns erstelltes SSO-Konzept gestützt, welches die Realisation des Projekts erfolgreich möglich machte. Dabei konnten wir massgeblich von unseren Erfahrungen in anderen Projekten (z.B. Penetration Tests) profitieren. (Permalink)

Concept Development Software Virtualisierung

Ein im nahe gelegenen Ausland etabliertes Kreditinstitut war darum bemüht, einen Grossteil ihrer Serversysteme mittels VMware (VM) zu virtualisieren. Der Vorteil der Kosteneinsparung sollte jedoch nicht ohne Rücksicht auf die Sicherheit durchgesetzt werden. Das durch uns entwickelte Konzept war in der Lage in systematischer Weise das gleiche Mass an Sicherheit einer physikalischen Trennung zu erreichen oder die Risiken wenigstens kalkulierbar und adressierbar zu machen. (Permalink)

Concept Development VPN

Eine vorwiegend im Ausland agierende Schweizer Bundesbehörde war darum bemüht, ihren Mitarbeitern mittels VPN (Virtual Private Network) einen sicheren Zugriff auf die zentralen Systeme in der Schweiz gewährleisten zu können. Zur Bestimmung einer sicheren Strategie, der Evaluation des besten Produkts und der Erstellung eines umfassenden Sicherheitskonzepts wurden wir herbeigezogen. Weiterführend haben wir den Kunden und die ausgewählten Partner bei der Integration der Lösung begeleitet. (Permalink)

Concept Review Active Directory Restrukturierung

Eine Privatbank aus dem nahe gelegenen Ausland war um eine Restrukturierung der bestehenden Active Directory Integration bemüht. Das neue AD/ADDS-Konzept wurde mit uns besprochen und im Detail begutachtet, um die übernommenen, neu eingeführten und eliminierten Risiken bestimmen zu können. Dadurch war es möglich, eine möglichst sichere Restrukturierung voranzutreiben. Diese wurde nach einer erfolgreichen Umsetzung einem technischen Penetration Test unterzogen. (Permalink)

Concept Review Backupkonzept

Eine Schweizer Privatbank hat uns zwecks Reviewing ihr neu ausgearbeitetes Backupkonzept vorgelegt. Dieses diskutierte den Backup-Prozess sämtlicher interner Systeme (Online Banking System, OLYMPIC Banking System, Exchange/Mailserver, MS IIS Webserver, etc.). Durch unser Fachwissen und unsere Erfahrung konnten wir dieses um wichtige Punkte erweitern und auf potentielle Gefahren hinweisen. (Permalink)

Concept Review Hochsicherheitslösung

Eine Schweizer Privatbank war darum bemüht, ihre mobilen Mitarbeiter vor Entführungs- und Erpressungsversuchen in Ländern mit hohem Gefährdungspotential zu schützen. Zugriffe über VPN sollten bei einer gewalttätigen Forcierung zwar möglich sein, durch ein vordefiniertes Verhalten jedoch nur fiktive Daten angezeigt und keine echten Transaktionen ausführen lassen. Das vorgelegte Konzept dieser Hochsicherheitslösung wurde durch uns begutachtet, um die angestrebte Risikoumwälzung und -reduktion zu bewerten. (Permalink)

Concept Review VLAN-Architektur

Eine ausländische Privatbank migrierte das gesamte Netzwerk und wendete im Zuge dieser Arbeit eine umfassende VLAN-Architektur an. Hierbei kamen sowohl statische als auch dynamische VLANs zum Tragen. Das durch die interne Netzwerkabteilung vorgeschlagene Konzept wurde durch uns einer umfassenden Prüfung unterzogen, um architektonische, topologische und logische Fehlerquellen frühstmöglich ausmachen zu können. (Permalink)

Configuration Review Oracle Datenbank

Ein internationales Transportunternehmen pflegt ihre Fahrten und die damit bewegten Waren in einer geclusterten Oracle Datenbank zu verwalten. Diese Installation (IBM AIX Betriebssystem und Oracle-Datenbank) wurden einer Configuration Review unterzogen, um sicherheitstechnische Mängel (z.B. inkonsistente Benutzerkonten, fehlerhafte Zugriffsrechte, fehlendes Hardening) ausmachen zu können. Durch automatisierte Mechanismen konnte das Erstellen unserer Expertise selbst bei einer überdurchschnittlich hohen Datenmenge in akkurater Weise erstellt werden. (Permalink)

Configuration Review Reverse Proxy

Eine Schweizer Grossbank schützt die exponierten Dienste (nahezu 1’000 Stück) mit einem granular konfigurierten Reverse-Proxy. Durch eigens durch uns angefertigte Parsing-Module sind wir in der Lage die enorme Datenmenge einzulesen. Dank unseres datenbankbasierten Ansatzes können wir sodann eine moderierte Bewertung der Konfigurationseinstellungen vornehmen. Zudem können Simulationen und Planspiele, mit denen sich Änderungen und ihre Auswirkungen unmittelbar erkennen lassen, umgesetzt werden. Viele Kunden wünschen sich, so wie das erwähnte Finanzinstitut auch, eine regelmässige Querprüfung der aktuellen Konfigurationseinstellungen. Delta- und Trendanalysen sind für uns kein Problem. (Permalink)

Configuration Review SELinux

Ein internationales Industrieunternehmen wollte ihre zentralen Systeme mit dem hochsicheren SELinux, eine Entwicklung der NSA, betreiben. Diese Lösung steht oftmals auf Grund seiner enormen Komplexität in der Kritik. Die applizierte Konfiguration wurde durch uns einer Configuration Review unterzogen, um fehlerhafte und unsichere Einstellungen ausmachen zu können. Dadurch konnte das individuelle Hardening weiter vorangetrieben werden. (Permalink)

Configuration Skype Clients

Ein internationales Industrieunternehmen will durch den Einsatz von Skype bei internen Telefonkonferenzen Kosten sparen. Die Konfiguration der jeweiligen Endpunkte soll dabei möglichst solid umgesetzt werden. Durch das Entwickeln eines Tools können zentralisiert die Einstellungen (im XML-Format vorliegend) geprüft und angepasst werden. Damit wird dem Kunden ein effizientes Werkzeug bereitgestellt, die aktuellen und zukünftigen Anforderungen bewältigen zu können. (Permalink)

Data Recovery Harddisk

Eine Privatperson hat nach einem Stromausfall einen Grossteil der privaten Daten auf einer Festplatte (SATA) verloren. Besonders Familienfotos schienen von unschätzbarem Wert, weshalb eine Datenwiederherstellung angestrebt wurde. Im Rahmen der umgesetzten Datenrettung konnte mittels Carving ein Grossteil der korrupt geglaubten Bilder rekonstruiert und auf einen externen Datenträger gesichert werden. (Permalink)

Data Recovery Kopiergerät

Eine Bank ist per Zufall auf einen möglichen Betrug durch einen ihrer Mitarbeiter aufmerksam geworden. Im Rahmen einer forensischen Analyse wurde ein Kopiergerät beschlagnahmt. Die Post Mortem Untersuchung dessen sollte wichtige Beweismittel für die Belastung/Entlastung des vermeintlichen Täters liefern. Die Rekonstruktion der auf der Festplatte zwischengespeicherten Daten konnte nach einem initialen Reverse Engineering der Dateistruktur erfolgreich umgesetzt und an die Behörden zwecks Stützung der Anzeige übergeben werden. (Permalink)

Data Recovery Mobiltelefon

Ein nationales Versicherungsunternehmen hegte den Verdacht, dass einer ihrer ehemaligen Vertreter nach seinem Weggang einen Grossteil des Kundenstamms mitgezogen hat. Eine Datenrekonstruktion seiner zuvor genutzten Gerätschaften, darunter das ehemalige Nokia Mobiltelefon, sollte diesen Verdacht erhärten und weitere Massnahmen einleiten lassen. Aufgrund der proprietären Mechanismen und Datenstrukturen musste zuerst ein Reverse Engineering des Geräts angestrebt werden. (Permalink)

Evidence Collection Betrugsfall

Eine Versicherung vermutete, dass einer ihrer Kunden widerrechtliche Leistungen bezogen hat. Die Abteilung für Schadenfälle will den mutmasslichen Betrugsfall aufklären. Da die Zielperson bisweilen technische Gerätschaften missbraucht hat, werden diese durch uns einer erweiterten Untersuchung unterzogen. Die dabei zusammengetragenen Beweismittel wurden für eine Anzeige aufbereitet und wurden beim daraus generierten Gerichtsfall weiterverwendet. (Permalink)

Evidence Collection Cyberkriminalität

Eine internationale Grossfirma wurde Opfer eines breitflächig angelegten Falls von Cyberkriminalität. Wir unterstützten das Unternehmen und die involvierten Behörden bei der Informationssammlung, Auswertung und Beurteilung des komplexen Sachverhalts. Wir fungierten dabei als direkte Beratungsstelle für das Board of Directors, dessen Kadermitglieder im Rahmen der Situation ihrerseits kurzfristige strategische Entscheidungen mit weitreichendem Ausmass treffen mussten. (Permalink)

Evidence Collection Insiderhandel

Eine Privatbank ist auf uns zugekommen, da sie den Verdacht gegen einen ihrer Bankmitarbeiter hegte, dass dieser in Insidergeschäfte verwickelt sein könnte. Die beschlagnahmten Geräte – darunter sein Arbeitsplatzrechner (Windows Vista) sowie das vermeintlich durch ihn genutzte Faxgerät – wurde untersucht. Die Sammlung der Beweise sollte zur Bestätigung der Vermutung und dem weiterführenden Einreichen einer Anzeige gegen den Mitarbeiter genutzt werden. Sie hatte deshalb unter strengsten Bedingungen zu erfolgen, um die Beweisbarkeit vor Gericht aufrechterhalten zu können. (Permalink)

Firewall Rule Review komplexe Umgebung

Eine Privatbank aus dem nahe gelegenen Ausland ist um eine hochsichere Umgebung bemüht. Die jeweiligen Aussenstellen werden durch eine mehrstufige und redundante Firewall-Lösung geschützt. Die sehr komplexen Regeln der CheckPoint-Firewalls, diese werden kaskadiert angewendet, wurden durch uns einer umfassenden Analyse unterzogen. Dabei kam ein formales Modell, welches wir im Buch Die Kunst des Penetration Testing vorgestellt haben, zum Einsatz. (Permalink)

Firewall Rule Review verschiedene Produkte

Durch Firewall-Systeme wird die Grundsicherheit in Netzwerken gewährleistet. Bei einer Firewall Rule Analyse für unsere Kunden wird das Regelwerk einer solchen Sicherheitskomponente auf etwaige Fehler und Schwächen hin untersucht. Wir führen dabei mittels Parsing eine automatische Normalisierung durch, wodurch wir eine computergestützte Analyse durchführen können. Durch diese Aufbereitung wird eine produkteunabhängige Analyse – egal ob CheckPoint Firewall-1, Cisco PIX/ASA oder Astaro Security Gateway – möglich. In vielen Projekten, in denen die Netzwerksicherheit untersucht werden soll, werden früher oder später Firewall Rule Reviews angewendet. (Permalink)

Firewall Rule Review VPN-Limitierungen

Eine Bank aus dem nahen Ausland ist um die umfangreiche Absicherung ihrer Laptops bemüht. Damit die Zugriffe auf die internen Systeme und Daten stattfinden können, wird ein VPN eingesetzt. Während der Client dessen aktiv ist, soll mittels Firewalling der Zugriff eingeschränkt werden, um zum Beispiel das System für Hopping zu missbrauchen. Die durch uns durchgeführte Analyse des dafür zuständigen Firewall-Regelwerks war in der Lage technische Unschönheiten und Restrisiken bestimmen zu können. (Permalink)

Forensic Analysis digitale Fotos

Im Rahmen einer Strafverfolgung sind Computersysteme beschlagnahmt worden. Die darauf gefundenen digitalen Fotos sollten durch uns ausgewertet werden, um weitere Informationen zusammentragen zu können. Im Rahmen der forensischen Bildanalyse konnten geografischen Lokationen der Aufnahmen, die eingesetzte Fotokamera sowie ausgeschnittene Bildteile rekonstruiert werden. Diese hatten massgeblichen Einfluss auf den angestrebten Gerichtsprozess. (Permalink)

Forensic Analysis Erpressungsfall

Ein internationales Telekommunikationsunternehmen wurde durch einen ehemaligen IT-Mitarbeiter um mehrere Millionen Schweizer Franken erpresst. Da auf die Forderungen des Täters nicht eingegangen wurde, hat dieser mutwillig produktive Daten durch Backdoors zerstört (Benutzer- und Abrechnungsinformationen) und etablierte Diensteleistungen (Telefonie und Internet) durch Distributed Denial of Service-Attacken unzugänglich gemacht. Zusammen mit den zuständigen Ermittlungsbehörden haben wir die Datensammlung durchgesetzt und anhand der forensischen Untersuchungen Beweismittel gegen den mutmasslichen Täter gesammelt. Unsere Arbeit stellte die Grundlage der initialen Anzeige wegen diverser Delikte, der internationalen Rechtshilfebegehren (Deutschland, Italien, USA) und des darauf folgenden Gerichtsfalls dar. (Permalink)

Forensic Analysis Kompromittierung

Ein Dienstleister im Hostingbereich hat verdächtige Aktivitäten festgestellt. Ein erfolgreicher Einbruch auf die Systeme musste vermutet werden. Durch eine forensische Analyse der Geschehnisse mussten wir eine Kompromittierung bestätigen. Eine Desinfektion und ein nachträgliches Hardening wurden als Sofortmassnahme umgesetzt, um den Betrieb aufrechterhalten zu können. In einem zweiten Schritt haben wir mittelfristig eine komplette Neuinstallation der betroffenen Systeme empfohlen. (Permalink)

Intrusion Detection Denial of Service

Ein Hosting-Anbieter musste regelmässige Ausfälle seiner exponierten Webserver beobachten. Es schien unklar, wie diese trotz vorgeschaltetem Reverse-Proxy zustande kommen sollten. Im Rahmen der elektronischen Einbruchserkennung haben wir die Ursachen der Ausfälle sowie die exakten Auswirkungen derer identifiziert. Dadurch konnten Massnahmen zum erweiterten Schutz der Umgebung vorbereitet und integriert werden. (Permalink)

Intrusion Detection Kreditkartendiebstahl

Ein Industrieunternehmen musste die Verunstaltung ihres Online Shops beobachten. Wir sollten anhand der elektronischen Einbruchserkennung eine Aussage dazu treffen, wie der Angriff erfolgt ist und welche Zugriffe umgesetzt wurden. Unsere Untersuchungen zeigten auf, dass neben dem Defacement ebenfalls ein Diebstahl aller in der Datenbank gespeicherten Kreditkarteninformationen erfolgt ist. Diese Arbeit stellte die Grundlage für eine Anzeige gegen Unbekannt dar (Die Herkunft der Täterschaft konnte zwar geografisch eingegrenzt werden, sollte bei der Anzeige jedoch bewusst nicht berücksichtigt werden). (Permalink)

Intrusion Detection Webseiten-Defacement

Ein mittelständisches Unternehmen wurde Opfer eines Webseiten-Defacements (Verunstaltung des Webauftritts). Die Administratoren konnten selbst nicht nachvollziehen, wie der Einbruch stattgefunden hat und wie man ihn entsprechend verhindern kann. Durch unsere technische Analyse sahen wir uns genauestens in der Lage diese Eigenarten des erfolgreichen Einbruchs zu bestimmen (0-Day SQL-Injection in einem GPL-Modul). Durch die weiterführende Absicherung des Servers konnten weitere Übergriffe umfassend verhindert werden. (Permalink)

Log Management Citrix-Umgebung

Ein Finanzdienstleister betreibt eine umfassende Farm mit Citrix-Servern. Das Logging der jeweiligen Events gestaltet sich sehr schwierig, weshalb unsere quelloffene Lösung SELORSY (Security Log Reporting System™) eingesetzt wird. Durch sie können die Eventlogs der unterschiedlichen Systeme korreliert und konsolidiert werden. Dadurch wird eine zentralisierte Sichtung und Sicherung der Daten möglich. Technische Probleme und etwaige Angriffsversuche können so schnell und effizient erkannt werden. (Permalink)

Log Management Security-Systeme

Eine international tätige Bank ist darum bemüht, das Logging der unterschiedlichen Security-Systeme mittels Zentralisierung zu vereinfachen. Durch den Einsatz unserer quelloffenen Lösung SELORSY (Security Log Reporting System™) werden die Daten konsolidiert und lassen sich so zentralisiert verwalten. Das Erkennen von Angriffen wird damit durch eine mehrstufige Betrachtung verbessert oder gar erst möglich. Dabei unterstützen wir mittels eigens angefertigten Parsern auf Anforderung die vom Kunden eingesetzten Produkte. (Permalink)

Log Management Windows Eventlog

Eine schweizer Bank will mit einer eigens angefertigten Lösung die Zugriffe der Benutzer über das Netzwerk protokollieren. Das durch uns begleitete Projekt stellte als erstes ein Konzept bereit, welche Events, die durch Windows protokolliert werden, berücksichtigt werden sollen. In einer zweiten Phase wurden die technischen Stellen bei der Implementierung begleitet sowie eine Prüfung der jeweiligen Protokollmechanismen vorgenommen. Durch die individuell angefertigte Lösung konnten die Eigenarten der Umgebung sowie die spezifischen Wünsche des Kunden berücksichtigt werden. (Permalink)

Logical Flow Analysis Bankingsystem

Eine Schweizer Privatbank hat ihr Bankingsystem komplett überarbeitet. Die Abläufe der organisatorischen und technischen Implementierung wurden einer Logical Flow Analysis unterzogen, um etwaige Schwächen und Schwachstellen ausfindig machen zu können. Hierbei wurde eine durch uns entwickelte Transitionsanalyse angewendet. Durch diese sollten beispielsweise unentdeckte Transaktionen verhindert und Probleme bei Eskalationsmechanismen ausgemacht werden. (Permalink)

Logical Flow Analysis PKI

Ein Schweizer Finanzunternehmen war bemüht um die kommerzielle Einführung einer durch sie gesteuerten PKI (Private Key Infrastructure). Im Rahmen der Logical Flow Analysis haben wir den organisatorischen und technischen Prozess der Ausstellung, Zustellung und Rückforderung von Zertifikaten analysiert. Dabei konnten logische Fehler im Ablauf aufgedeckt werden, wodurch Angreifer beispielsweise die Identität anderer Benutzer temporär übernehmen (Spoofing) oder legitime Transaktionen umfassend stören konnten (Denial of Service). (Permalink)

Penetration Test Citrix

KMUs und grössere Firmen haben die Vorteile von Citrix für sich entdeckt. Durch uns werden die zentralen Citrix-Systeme auf ihre konkrete Sicherheit hin untersucht. Mit einem einfachen Netzwerkscan wird zuerst die allgemeine Angriffsfläche für externe Angreifer ermittelt. Kunden stellen uns in einem weiteren Schritt legitime Benutzerkonten zur Verfügung, um den Penetration Test im Rahmen von Citrix durchzuführen. Dabei geht es darum zu erkennen, ob erweiterte Prozesse gestartet, eigener Code ausgeführt und die lokalen Rechte auf dem System erweitert werden können. Mit der Veröffentlichung des Fachartikels Citrix under Attack, der in mehrere Sprachen übersetzt wurde, haben wir als eines der ersten Sicherheitsunternehmen weltweit die konkreten Risiken von Citrix-Installationen aufgezeigt. (Permalink)

Penetration Test Online Banking

Im digitalen Zeitalter hat das Online Banking für Finanzinstitute ein Mehr an Wichtigkeit gewonnen. Die Kommunikation mit dem Kunden ist sicherheitstechnisch besonders wichtig, um das Vertrauensverhältnis aufrecht erhalten zu können. Um die gegebene Sicherheit eines Online Banking Systems (OBS) gewährleisten zu können, wurde ein Web Application Penetration Test angestrebt. Dabei wird sich mitunter an OWASP, einem offenen Standard für Websicherheit, orientiert. Dadurch sollen typische Fehler wie SQL-Injection und Cross Site Scripting-Schwachstellen (XSS) gefunden werden. Komplementär wurden ebenso architektonische und interne Mechanismen (z.B. SOAP/SAML) überprüft. (Permalink)

Penetration Test VoIP-Umgebung

Eine nationale Versicherung hat vor kurzem die klassische Telefonie durch VoIP (Voice over IP) abgelöst. Da die Integration in das bestehende Netzwerk erfolgt ist, sollte nun mit einem Penetration Test das konkrete Risiko von Angriffen von und über die VoIP-Komponenten ermittelt werden (z.B. Call Hijacking, Spoofing, Eavesdropping, Denial of Service, etc.). Die Angriffsvektoren wurden ermittelt und die Angriffsmöglichkeiten zu Demonstrationszwecken gegenüber dem leitenden Management in einer Videoaufzeichnung illustriert. (Permalink)

Penetration Test Web Applikation

Ein Industrieunternehmen bietet eine umfangreiche Webseite mit dynamischen Inhalten an. Durch eine Prüfung der Webapplikation sollen Schwachstellen im Webauftritt ausgemacht und eliminiert werden. Dabei werden klassische und moderne Angriffstechniken (z.B. Cross Site Scripting, SQL-Injection, Directory Traversal, etc.) überprüft, wobei eine eigens erweiterte Fassung der Standardisierung durch OWASP herbeigezogen wird. (Permalink)

Penetration Test WLAN

Ein Finanzinstitut verwendet für Mitarbeiter und Gäste ein WLAN (Wireless LAN). Dieses soll ein Höchstmass an Sicherheit für die Nutzer und das Unternehmen bereitstellen. Durch einen Penetration Test wurde mittels Wardriving die Zugriffsmöglichkeiten identifiziert und durch weiterführende Attacken versucht erweiterte Rechte zu erlangen (z.B. Datenverkehr mitlesen mittels Sniffing oder Erweiterte Rechte durch das Knacken der Verschlüsselung). (Permalink)

Process Review Banking

Eine Schweizer Kantonalbank hat die Prozesse bezüglich Kundenkontaktem und -kommunikationen überarbeitet. Dabei wird definiert, wer in welcher Form kommunizieren muss. Zum Beispiel, inwiefern der Ablauf für eine Kontoeröffnung am Schalter oder die Aktivierung des Onlinebankings auszusehen hat. Im Rahmen unserer Process Review auf logischer Ebene (Logical Flow Analysis) haben wir Schwachstellen aufgedeckt, die Identitätsdiebstahl sowie Geldwäscherei ermöglichen konnten. Durch Anpassungen der Prozesse liessen sich diese Schwächen eliminieren. (Permalink)

Process Review Geldwäscherei

Ein international tätiges Kreditinstitut ist darum bemüht, die in der Schweiz gesetzlichen und behördlichen Auflagen der EBK/FINMA gegen Geldwäscherei einzuhalten und zu erweitern. Das erarbeitete Konzept und die technische Realisierung mit kdmatch/kdprevent wurde durch uns begutachtet, um Schwächen in den Prozessen – also das Umsetzen unentdeckter Geldwäsche – aufdecken zu können. Die gefundenen Schwachstellen wurden mit dem Kunden diskutiert und durch diesen mit flankierenden Massnahmen adressiert. Dadurch konnten die gegebenen Anforderungen gewährleistet werden. (Permalink)

Process Review Mailarchivierung

Ein internationales Versicherungsunternehmen ist aus betrieblichen und rechtlichen Gründen um die Archivierung sämtlicher verschickter und erhaltener Emails bemüht. Sowohl die organisatorische als auch die technische Einbindung dieses Prozesses wurde durch uns untersucht. Dabei sollten Fehler aufgedeckt werden, die die Möglichkeiten der Lösung einschränken oder diese gar durch Angreifer kompromittierbar macht (z.B. Verhindern der Archivierung von Nachrichten). (Permalink)

Reverse Engineering Chipkarten

Ein internationales Unternehmen ist darum bemüht, Komponenten von Mitbewerbern mit eigenen Produktelinien zu bestücken. Zu diesem Zweck müssen die proprietären und nicht offen gelegten Schnittstellen der fremden Chipkarten unterstützt werden. Durch ein umfassendes Reversing der Konkurrenzprodukte (Nachbilden der Datenübertragung und Kryptoanalyse der proprietären Verschlüsselung) konnte die unabhängige Eigenentwicklung vorangetrieben werden. (Permalink)

Reverse Engineering iPhone

Ein nationales Versicherungsunternehmen wollte die Produkte von Apple breitflächig als Alternative zu Blackberry unterstützen. Zur konkreten Abklärung der technischen und organisatorischen Risiken der Einbindung von iPhone-Geräten wurde ein umfassendes technisches Reverse Engineering dieser angestrebt. Schwachstellen im Betriebssystem und die Möglichkeiten der Infektion mit einem individuell angefertigten Trojanischen Pferd wurden erfolgreich umgesetzt und damit konzeptionelle Schwächen des Produkts den Entscheidungsträgern illustriert. (Permalink)

Reverse Engineering Passwortmanager

Eine Schweizer Grossbank wollte ein kommerzielles, proprietäres, geschlossenes Produkt auf den Arbeitsplatzrechnern und Laptops einsetzen, um die Flut an Zugangsdaten sicher speichern zu können. Auf Grund der Geschlossenheit der gewählten Lösung wurde ein Reverse Engineering durchgesetzt, um die Wirksamkeit und Sicherheit dessen bestimmen zu können. Neben einem softwareorientierten Reversing (z.B. Deadlisting) wurden ebenso die eingesetzten Kryptoalgorithmen mittels Kryptoanalyse (z.B. Chosen-Plaintext Attacken) auf ihre Funktionsweise hin untersucht. (Permalink)

Reverse Engineering Trojanisches Pferd

Ein bestehender Kunde hat eine erfolgreiche Infektion mit einem individuell entwickelten Trojanischen Pferd beobachtet (den Antiviren-Herstellern unbekannt). Durch das Erarbeiten des Verständnisses dieses sollten Rückschlüsse auf die Täterschaft und ihre Motive erarbeitet werden. Durch ein umfassendes Reverse Engineering des Trojaners in unserem Labor (z.B. Sniffing, API Call Interception und Deadlisting) sahen wir uns in der Lage, sämtliche technischen Details des neuartigen korrupten Programmcodes offenzulegen. (Permalink)

Risk Analysis Authentisierungsmechanismen

Eine nationale Versicherung wollte Remote-Arbeitsplätze für ihre Mitarbeiter bereitstellen. Betrieb und Sicherheit waren sich dabei uneinig darüber, welcher Mechanismus zur Authentisierung zum Tragen kommen sollte (z.B. Benutzername/Passwort, Rasterkarte, Chipkarte, SecurID Token). Durch das Identifizieren und Bewerten der jeweiligen betrieblichen und sicherheitstechnischen Risiken konnten wir bei der Wahl einer effizienten, effektiven und vor allem zukunftsträchtigen Lösungen helfen. (Permalink)

Risk Analysis iPhone App

Ein Finanzinstitut ist darum bemüht, ihren Kunden Zugriff auf Kontoinformationen und Zahlungsmöglichkeiten über eine iPhone App bereitzustellen. Im Rahmen der Entwicklung dieser App durch ein externes Unternehmen wurde eine umfassende konzeptionelle und technische Risikoanalyse vorgenommen, um etwaige Angriffsvektoren und Schwachstellen in der Umsetzung frühstmöglich identifieren und eliminieren zu können. (Permalink)

Risk Analysis Voice over IP

Ein Versicherungsunternehmen will die gesamte Telefonie-Infrastruktur überarbeiten. Hierbei soll von ISDN auf VoIP gewechselt werden. Im Rahmen der Risikoanalyse galt es aufzuzeigen, welche Risiken eliminiert, mitgetragen und eingeführt werden. Die akkurate Berechnung der Eintrittswahrscheinlichkeit (Probability) und Auswirkungen (Impact) galt als Grundlage der Diskussionen. Die gegebene Kosten/Nutzen-Analyse musste aufzeigen, dass der sichere Betrieb keine echten finanziellen Vorteile mitzubringen in der Lage ist. (Permalink)

Risk Analysis VPN-Varianten

Ein international tätiges Unternehmen wollte die bestehende VPN-Infrastruktur rekonstruieren. Dabei sollten neue und erweiterte VPN-Mechanismen zum Tragen kommen (z.B. Strenge Authentisierung, Remote-Zugriffe auf den Fileserver, etc.). Die uns erstellte Risikoanalyse verglich die jeweiligen Möglichkeiten und zeigte damit auf, welche Varianten überhaupt in Frage kommen und welche Lösung im Rahmen der Anforderungen zu empfehlen ist. (Permalink)

Risk Analysis Zufallszahlengenerator

Ein Schweizer Kreditinstitut verwendet für verschiedene Aufgaben eine Eigenentwicklung eines Zufallszahlengenerators – Zum Beispiel das Erstellen von Matrixlisten oder Session-IDs. Die gegebene Zufälligkeit dessen wurde durch eine statistische Zufallszahlenanalyse determiniert und davon das Risiko einer Kompromittierung (Voraussagen einer Zufallszahl) abgeleitet. Einige der dabei genutzten Ansäze werden in unserem Entropia-Projekt dokumentiert. (Permalink)

Second Opinion Datendiebstahl

Ein bekanntes Finanzunternehmen erfährt von einem Datendiebstahl durch einen ehemaligen Mitarbeiter. Wir beraten unseren Klienten bezüglich der möglichen Vorgehensweise des Täters (technische und organisatorische Möglichkeiten), seiner weiterführenden Motive (z.B. Verkauf der Daten ins Ausland) sowie der Möglichkeiten des Kunden (z.B. Rückkauf beim Täter oder Antrag auf Strafanzeige). Das delikate Thema wird mit grösster Sensitivität behandelt, um Details des Tathergangs trotz des grossen Medieninteresses nicht an die Öffentlichkeit gelangen zu lassen. (Permalink)

Second Opinion Netzwerkzoning

Eine Privatbank im nahegelegenen Ausland sah sich gezwungen – auf Grund der Zunahme der Komplexität der eigenen Dienstleistungen -, das Zonenkonzept des internen Netzwerks komplett zu überdenken. Die neu erarbeitete Lösung des Redesigns wurde durch uns begutachtet, um verbleibende und verborgene Risiken zu skizzieren. Durch diesen Feinschliff liess sich eine sicherheitstechnisch und betrieblich optimale Lösung aufbauen. (Permalink)

Second Opinion Virtualisierung

Eine international tätige Grossbank wollte als eine der ersten einen Grossteil ihrer Serversysteme mittels VMware virtualisieren. Die Risiken dieses neuartigen Ansatzes waren noch nicht umfassend besprochen, so dass wir eine neuartige Konzeptstudie umsetzten. Damit konnten wir die übernommenen, neu eingeführten und eliminierten Risiken aufzeigen. Dadurch konnte die Einführung für einen Grossteil der Systeme gegenüber dem Management legitimiert werden. (Permalink)

Second Opinion Vulnerability Assessment

Eine Privatbank lässt durch das hauseigene Audit-Team regelmässig eigene technische Sicherheitsüberprüfungen durchführen. Um dem angestrebten Vier-Augen-Prinzip auch hier Folge zu leisten, wurden uns die umfangreichen Resultate dieser Arbeit zwecks Vortragen einer Zweitmeinung vorgelegt. Mit der Durchsicht der Findings wurde die voraussichtliche Richtigkeit des Testvorgehens, der zusammengetragenen Daten, der Interpretation dieser sowie der angewendeten Bewertung eruiert. Dadurch kann die eigene Flexibilität gewahrt und mit einer hohen Qualität kombiniert werden. (Permalink)

Security Coaching Monetary Authorities

Eine Schweizer Bank ist darum bemüht, den Finanzmarkt in Asien (Hong Kong und Singapur) zu erschliessen. Um eine entsprechende Bewilligung zu erhalten, müssen die Compliancy-Vorgaben der jeweiligen Monetary Authority vor Ort erfüllt werden. In Bezug auf die Prüfung, Umsetzung und Erweiterung der sicherheitstechnischen Anforderungen haben wir diesen Prozess beständig begleitet und so unseren Kunden in den neuen Markt miteingeführt. (Permalink)

Security Coaching Neuaufbau

Ein Schweizer Industrieunternehmen hat über Jahre hinweg nur rudimentäre Mechanismen zum Schutz der IT-Infrastruktur eingesetzt (nur ein simpler Paket-Filter als Perimeter-Firewall sowie vereinzelte Antiviren-Installationen). Das Management hat die neuen Dimensionen der aktuellen Gefahren erkannt und einen Neuaufbau der IT Security in Auftrag gegeben. Wir haben die zuständigen Stellen bei der Ausarbeitung der jeweiligen Konzepte, der Evaluation der unterschiedlichen Produkte und der Integration der definierten Lösungen über drei Jahre hinweg erfolgreich begleitet. (Permalink)

Security Coaching Security Testing

Eine Schweizer Versicherungsgesellschaft ist darum bemüht, ein internes Team für Sicherheitsüberprüfungen (Vulnerability Scans und Penetration Tests) aufzubauen. Durch das interne Erarbeiten von Knowhow sollen langfristig Kosten gespart werden. Durch die Weitergabe unserer langjährigen Erfahrungen, dem Erarbeiten eines grundlegenden Konzepts sowie zielgerichteten Schulungen/Workshops (z.B. systematische Angriffstechniken) konnten wir beim Aufbau und der Etablierung des Audit-Teams weiterhelfen. (Permalink)

Security Coaching Sicherheitsumsetzung

Ein grosses Unternehmen aus der Autoindustrie hat sich nach einem schwerwiegenden Incident dazu entschlossen, eine komplette Überarbeitung ihrer IT Security Strukturen und Prozesse durchzuführen. Als beratendes Unternehmen haben wir sie von der Konzeptions- bis zur Umsetzungsphase begleitet. Im Rahmen des Patch-/Hardening-Managements haben wir zusammen mit dem Kunden beispielsweise ein eigenes Modell zur Einstufung von Objekten und den daraus resultierenden Sicherheitsmassnahmen entwickelt (USO: Unified Security Object™). (Permalink)

Security Scan Backdoors

Eine Privatbank vermutet, dass Mitarbeiter ungewollt oder fahrlässig Trojanische Pferde ins interne Netz gebracht haben. Die Identifikation jener Backdoors, die nicht durch die Antiviren-Lösungen ausgemacht werden konnten, sollten durch eine spezielle Form eines Security Scans identifiziert werden: Durch umfangreiche Portscans liessen sich unerlaubte Dienste ermittelt und mittels einem erweiterten Application Fingerprinting das genutzte Produkt ausmachen. Durch diese wiederkehrende Prüfung lässt sich den Schwächen etablierte Firewall- und Antiviren-Mechanismen entgegenwirken. (Ein ähnlicher Ansatz wird ebenfalls zur Entdeckung unerlaubter P2P-Applikationen genutzt.) (Permalink)

Security Scan Internetsysteme

Ein international agierendes Versicherungsinstitut führt zwei Mal pro Jahr eine umfassende Analyse ihrer über das Internet erreichbaren Systeme durch. Da das interne IT Security Team regelmässig Scans mit der kommerziellen Lösung Qualys durchführt, haben wir unsere semi-automatisierten Tests auf den jüngsten Resultaten dessen aufgebaut. Dies hat dem Kunden Geld und uns Zeit gespart, denn so konnten unsere Spezialisten unmittelbar ihr Fachwissen auf die konkreten Schwachstellen fokussieren. Durch den semi-automatisierten und datenbankbasierten Ansatz sind wir in der Lage, sehr schnell, effizient, zuverlässig und fehlerfrei auch grössere Scans durchzuführen. Die Komplexität ist für uns auch bei über 500 Hosts mit über 2’500 gefundenen Exposures und Vulnerabilities überschaubar. (Permalink)

Security Scan LAN

Ein internationales Telekommunikationsunternehmen hat historisch bedingt eine sehr flache Netzwerktopologie im LAN (Local Area Network). Die fehlende Segmentierung und das Ausbleiben von Firewall-Systemen als Common Point of Trust birgt das Risiko einer breitflächigen Kompromittierung, sowohl durch interne Angreifer als auch durch Viren/Würmer, in sich. Durch regelmässige Security Scans der Arbeitsplatzrechner (ca. 3’500 Zielsysteme) sollen komplementär Angriffsflächen eliminiert und damit das Risiko einer Birthday Attack minimiert werden. (Permalink)

Source Code Analysis CMS

Ein Schweizer KMU wollte für ihre öffentliche Webseite nach betrieblicher Evaluation ein quelloffenes CMS (Content Management System) einsetzen. Bevor die Integration erfolgen soll, haben wir eine Source Code Analyse des Produkts vorgenommen. Bisher unbekannte Fehler wurden sofort als 0-Day Schwachstellen dem Entwicklerteam gemeldet und mit einem koordinierten Advisory (inkl. Patches) veröffentlicht. Damit konnte die Qualität des Produkts bestimmt und vor dem Einsatz beim Kunden verbessert werden. (Permalink)

Source Code Analysis Online Banking

Gerade Finanzinstitute pflegen ihre kritischen und besonders exponierten Applikationen durch uns einer erweiterten Source Code Analyse (SCA) unterziehen zu lassen. So führen wir regelmässig Prüfungen von E-Banking Systemen durch. Dank der direkten Untersuchung des Programmcodes können konzeptionelle und technisches Schwachstellen determiniert werden, die bei Blackbox-Tests (z.B. Netzwerkscan und Application Penetration Test) nicht oder nur mit erheblichem Aufwand bestätigt hätten werden können. (Permalink)

Source Code Analysis Webshop

Ein grosses Schweizer Industrieunternehmen will im Rahmen eines E-Commerce Projekts einen Teil ihres Angebots ebenfalls online verkaufen können. Aufgrund der enormen Komplexität der Lösung wurde eine Quelltext-Analyse des Projekts angesetzt. Dabei wurden die zentralen Technologien wie Java, JBoss und JSP untersucht. Hierbei konnten sowohl architektonische Probleme (z.B. ineffizienter Applikationsaufbau und fehlerbehaftetes Session-Handling) als auch schwerwiegende Sicherheitslücken (z.B. SQL-Injection und Cross Site Scripting) ausgemacht werden. (Permalink)

Auswahl Technologien

In unserer langjährigen Tätigkeit kommen wir immer wieder mit komplexen und aktuellen Technologien in Kontakt. Die nachfolgende Liste zeigt eine Auswahl der uns bekannten Mechanismen:

• .NET/C#
• AJAX
• ASP
• Assembler
• Bluetooth
• C/C++
• Cloud Computing
• COBOL
• CVS/Subversion
• DNS
• FOL
• H.323
• HTML/CSS
• HTTP
• IPsec
• IPv4/IPv6
• Java
• Javascript
• LotusScript
• Microsoft API
• NASL
• NSE
• Objective-C
• PHP
• Perl
• Python
• Relationale Datenbanken
• RFID
• RSS
• Ruby
• S/MIME
• SAML
• SCADA
• SIP
• SMTP
• SOAP
• SQL
• SSH
• SSL/TLS
• UAC
• VB6/VBA/VBS
• Virtualisierung
• VLAN
• VoIP
• VPN
• WebDAV
• WLAN
• XML/XHTML

Auswahl Produkte

Ebenso haben wir immer wieder mit modernen, weit verbreiteten und exotischen Produkten als Teil unserer Untersuchungen zu tun. Die nachfolgende Liste zeigt eine Auswahl der uns bekannten Produkte:

• AdNovum NevisProxy
• Adobe ColdFusion
• Aladdin eToken
• Alcatel-Lucent Switch
• Amazon EC2
• Apache HTTP Server
• Apache Struts
• Apache Tomcat
• Apple iPhone/iPad
• Apple Mac OS X
• Arduino
• Astaro Security Gateway
• Asterisk PBX
• Avaloq Banking System
• Avaya Gateway
• Axeda Platform
• Barracuda Firewall
• Blue Coat WebFilter
• BMC Remedy
• CA Anti-Virus
• CheckPoint Endpoint Security
• CheckPoint Firewall-1
• CheckPoint VPN-1
• Cisco CallManager
• Cisco IOS Router
• Cisco IP Phone
• Cisco PIX/ASA
• Cisco Secure Agent
• Citrix NetScaler
• Citrix XenApp
• Clearswift MIMEsweeper
• Crealogix E-Banking
• Entrust Token
• F-Secure Anti-Virus
• Financial Objects ibis s2
• Finjan Vital Security
• Finnova Banking Framework
• First-Security VulnWatcher
• Galileo CRS
• Good Technology
• Google Postini
• IBM AIX
• IBM DB2
• IBM Lotus Notes
• IBM Proventia
• IBM U-Safe
• Impaq kdlabs match
• Impaq kdlabs kdprevent
• JBoss Application Server
• Joomla!
• Juniper Firewall
• Kyberna ky2help
• Linux
• Mammut SBS
• McAfee Internet Security
• McAfee Web Gateway
• Microsoft Exchange
• Microsoft IIS
• Microsoft Office
• Microsoft SharePoint
• Microsoft TMG/ISA Proxy
• Microsoft Windows Mobile/CE/Phone 7
• Microsoft Windows 9x/XP/Vista/7/8
• Microsoft Windows Server NT/2000/2003/2008/2012
• Mobile Iron
• NSA SELinux
• Nessus
• Nmap
• Nokia IP Firewall
• Olympic Banking System
• Oracle Database Server
• Oracle MySQL
• Oracle Secure Global Desktop
• Oracle Solaris
• Oracle VirtualBox
• Phion Airlock
• PGP/GPG
• PHP-Nuke
• ProxMox Gateway
• Qualys
• RIM BlackBerry
• RSA SecurID
• Red Hat Linux
• SAP ERP
• SAP NetWeaver
• Sendmail
• Skype
• SonicWALL
• Squid Proxy
• Suhosin
• Sybase Afaria/iAnywhere
• Symantec Endpoint Protection
• Temenos T24
• Totemo TrustMail
• Trend Micro Antivirus
• Tripwire
• TYPO3
• Vasco Digipass
• Vasco Vacman
• VCE Vblock
• VMware ACE
• VMware ESX Server
• VMware VirtualCenter
• VMware VMotion
• Zimbra

Zufällige Auswahl

• Kontakt
• Management
• Methoden
• Philosophie
• Referenzen
• Jobs