Ich möchte ein "Red Teaming"
Michael Schneider
So sichern Sie Cisco WebEx Meetings ab
In der kostenlosen Version können mit einem aktuellen Special Offer 100 Teilnehmer für eine unbegrenzte Zeit an virtuellen Meetings teilnehmen und diverse Kollaboration-Features wie Chat, File- und Whiteboard-Sharing etc. nutzen. Genauere Details zu den Features und auch den premium Versionen können auf der Pricing-Seite von WebEx gefunden werden.
Wer Meetings hosten möchte, muss ein Account bei Cisco WebEx erstellen. Dazu muss eine Mailadresse, auf welche man Zugriff hat, sowie Namen und Standort angeben werden.
Mittels initialer Mail wird der Benutzer aufgefordert ein Passwort mit folgenden Anforderungen zu definieren:
Folgendes darf nicht enthalten sein:
Besser würden hier 10 Zeichen oder mehr sowie auch Sonderzeichen verwendet werden. WebEx überprüft bei der Eingabe der Passwörter die gestellten Anforderungen und dies grundsätzlich wie angegeben.
Spanend hierzu ist, dass bezüglich der Anforderungen “Leicht zu erratende Wörter” z.B. folgende Wörter erkannt werden: webex
, cisco
, pass
(wie in Password). Jedoch werden Wörter, welche aus unseren Analysen, aus öffentlichen Leaks, häufig in Passwörtern gesehen werden, nicht erkannt. Zum Beispiel Status
, Dragon
oder auch Liverpool
. Übrigens wird der Benutzername bei WebEx als komplette Mailadresse definiert, somit kann bei der Wahl vontestaccount@xxx.xxxx ein Teil des Passworts testaccount
nutzen (was nicht zu empfehlen ist).
Adhoc-Meetings können mittels “Persönlichem Raum” aufgesetzt werden. Die Teilnahme erfolgt über die Eingabe der entsprechenden Benutzer-ID des Gastgebers auf der Meetings-Seite von WebEx.
Diese Variante ist jedoch nicht zu empfehlen, da sie nicht mit einem Passwort abgesichert werden kann. Einzig der Eintritt nach Starten des Meetings kann nach einer definierten Zeitperiode verhindert werden; standardmässig ist diese auf 10 Minuten gesetzt. Stattdessen sollten geplante Meetings umgesetzt werden.
Setzt man konkret ein Meeting auf, besteht WebEx darauf, ein Passwort für das Meeting zu definieren. Ausserdem schlägt WebEx gleich ein Passwort vor, welches aus 11 Zeichen mit Zahlen, Gross- und Klein-Buchstaben besteht. Per Refresh-Button können andere Varianten generiert werden.
Auch ein eigenes Passwort, mit folgenden Anforderungen, kann gesetzt werden:
Auch hier wäre eine etwas schärfere Passwort-Policy wünschenswert, damit schwache Passwörter wie 1111
nicht möglich sind. Ausserdem ist hier nun z.B. das Wort Cisco
erlaubt. Dies würde bedeuten, dass unterschiedliche Bibliotheken von “leicht zu erratenden Schüsselwörter” bei Account-Passwort und Meeting-Passwort verwendet werden.
Obwohl hier standardmässig ein Passwort beim Erstellen des Meetings generiert wird, heisst dies nicht, dass die Teilnehmer das Passwort auch eingeben müssen. Da der Link, den die Teilnehmer per Mail erhalten, bereits das “Passwort” in Form einer ID enthält, bietet dies die Möglichkeit den Link weiter zu senden und so Personen einzuladen, welche ohne Eingabe des Passworts teilnehmen können. Dem kann aber Abhilfe geschaffen werden.
Setzt man eine Meeting auf, sind leider etwas versteckt, die entsprechenden Einstellungen zu finden. Unter Ein Meeting Aufsetzen / Erweiterte Optionen anzeigen / Ansetzoptionen / Passwort entfernen. Damit muss aber das Passwort explizit dem Teilnehmer übermittelt werden.
Diese Einstellung ist grundsätzlich sinnvoll, da nun Teilnehmer explizit durch den Gastgeber bestätigt werden müssen, bevor diese am Meeting teilnehmen können. Das Feature wird aktiviert mit der Checkbox bei Teilnehmer-Registrierung anfordern unter Registrierung.
Über die Meeting-Übersicht im Hauptmenu können anschliessend, unter dem jeweiligen Meeting-Eintrag, die Registrationen der eingeladenen Teilnehmer bestätigt werden.
Die Registration verläuft etwas umständlich. Eine initiale Mail für die Registration, danach eine weitere Mail für die effektive Teilnahme am Meeting.
Unter den Teilnehmer-Privilegien sollten alle Rechte entzogen werden, die nicht explizit benötigt werden. Diese können ebenfalls unter den Ansetzoptionen beim Erstellen von geplanten Meetings angepasst werden.
Das Sperren von Meetings, respektive die Zutritts-Verweigerungen nach dem Start eines Online Meetings, ist bei Adhoc-Meetings standardmässig auf 10 Minuten gesetzt und kann unter Einstellungen / Mein persönlicher Raum / Automatische Sperre eingesehen werden.
Für geplante Meetings existiert leider keine solche Einstellung beim Erstellen des Meetings. Jedoch kann nach dem Start eines Meetings die entsprechende Funktion im Menu aktiviert werden.
Zu guter Letzt sollten die konfigurierten Security-Einstellungen als Template gespeichert werden, um für zukünftige Meetings ebenfalls abgesichert zu sein. Gespeicherte Vorlagen können oben Rechtes beim Erstellen eines Meetings ausgewählt werden.
Die gratis Version von WebEx Online Meetings kommt etwas unbedarft daher. Für Adhoc-Meetings kann kein Passwort gesetzt werden. Die Standard Einstellungen für geplante Meetings erzeugt den Eindruck, dass ein Passwort für die Teilnahme nötig ist, dies stimmt jedoch so nicht, den Teilnehmer können mittels des zugestellten Links ohne Eingabe des Passworts teilnehmen. Jedoch bietet WebEx entsprechende Einstellungen, um seine Online-Meetings abzusichern. Idealerweise wäre diese bereits als Standard-Einstellungen vorhanden. Mit der Speichern-Als-Vorlage-Funktion kann dies jedoch selbst nachgeholt werden.
Wir führen gerne für Sie ein Monitoring des Digitalen Untergrunds durch!
Michael Schneider
Marisa Tschopp
Michèle Trebo
Andrea Covello
Unsere Spezialisten kontaktieren Sie gern!