Blog

Phishing via Ads

Veröffentlicht am: 23. Oktober 2024

Phising hat viele Gesichert. Die bekannteste Form ist Phising per E-Mail. Dann gibt es noch Phishing per SMS (Smishing), per Telefon (Vishing), per Brief, per QR-Codes, usw. Auch die Zielgruppen variieren, von breiten Angriffen mit der Giesskanne bis zu gezielten Angriffen auf bestimmte Personen (Spear-Phishing, Whaling). In diesem Beitrag schauen wir uns Suchmaschinen-Phishing oder Phishing via Ads an.

weiter lesen...

Kryptografie heute und in Zukunft von Quantencomputern

Veröffentlicht am: 18. September 2024

Welches ist der beste und sicherste Verschlüsselungs-Algorithmus? Diese Frage kann so nicht beantwortet werden. Je nach Anwendungsfall eignet sich der eine Algorithmus besser als der andere. Symmetrische Verfahren haben andere Vor- und Nachteile als asymmetrische oder hybride Verfahren. Deshalb muss der Kryptografie beim Thema Informationssicherheit grosse Aufmerksamkeit geschenkt werden.

weiter lesen...

InfoSec-Awarness der Mitarbeiter

Veröffentlicht am: 22. Juli 2024

Sollen oder gar müssen alle Mitarbeitenden ins Boot geholt werden, wenn es um die Informationssicherheit einer Firma geht? Hier gibt es zwei Meinungen: Nein: Informationssicherheit muss technisch gelöst werden ohne den Mitarbeitenden Ja: Ohne das Bewusstsein bei den Mitarbeitenden funktioniert Informationssicherheit nicht Schauen wir uns einige Punkte und Aspekte zu diesem Thema an.

weiter lesen...

Risikomanagement und Informationssicherheit

Veröffentlicht am: 22. Mai 2024

Gibt es noch Geschäftsbereiche, welche frei von IT sind und noch nicht von der Digitalisierung mitgezogen wurden? Es muss lange gesucht werden, um solche Geschäftsbereiche noch zu finden. Somit bekommt das Risikomanagement in der IT eine immer grössere Wichtigkeit.

weiter lesen...

Gute Passwort-Policy & Sicheres Passwort

Veröffentlicht am: 3. April 2024

Jeder IT-Administrator muss sich überlegen, was für eine Passwort-Policy er in seinem Betrieb oder für sein Produkt etablieren soll. Und wie er danach die Akzeptanz der Benutzer erlangt, welche diese Policy umsetzen müssen. Die eingesetzte Passwort-Richtlinien haben einen sehr grossen Einfluss darauf, ob die Benutzer sichere oder unsichere Passwörter auswählen.

weiter lesen...

Canary Tokens

Veröffentlicht am: 13. März 2024

Canary Tokens sind eine Art von digitalem Lockvogel, der dazu verwendet wird, unbefugten Zugriff oder unerwünschte Aktivitäten zu erkennen. Der Begriff stammt von der Praxis, Kanarienvögel in Bergwerken zu verwenden, um auf das Vorhandensein von gefährlichen Gasen hinzuweisen. Wenn der Kanarienvogel aufhörte zu singen oder tot umfiel, war das ein Signal für die Bergleute, dass Gefahr drohte. Im digitalen Kontext sind Canary Tokens Dateien, Links oder andere digitale Ressourcen, die absichtlich erstellt werden, um auf unerwünschte Aktivitäten hinzuweisen.

weiter lesen...

Subdomains sind öffentlich

Veröffentlicht am: 14. Februar 2024

DNS und die Konzepte von Top-Level-Domain, Domain und Subdomain sind bereits über 40 Jahre alt und werden täglich von fast jedem Menschen verwendet. Dennoch sind wir immer wieder mit dem Irrglauben konfrontiert, dass Subdomains nicht öffentlich oder sogar geheim sind.

weiter lesen...

4/4 Passkeys: Herausforderungen

Veröffentlicht am: 24. Januar 2024

Wie in den drei vorgängigen Blog-Beiträgen erwähnt, sind Passkeys einfacher und sicherer als Benutzernamen, Passwort und 2FA-Token. Wie bei jeder neuen Technologie, gibt es auch bei Passkeys Herausforderungen, Hürden und neue Arten von Angriffen.

weiter lesen...

3/4 Passkeys: Sicherheit

Veröffentlicht am: 13. Dezember 2023

Wie im ersten Teil gesehen, sind Passkeys für den Benutzer sehr einfach (weder Eingabe von Benutzernamen noch Passwort sind nötig). Nun lösen wir das Paradox, weshalb sie trotzdem sicherer sind als Benutzername, Passwort und 2FA-Token.

weiter lesen...

2/4 Passkeys: Integration von Passkeys in die Webapp (für Software-Entwickler)

Veröffentlicht am: 7. Dezember 2023

Die Integration von Passkeys in die eigene Webapplikation ist nicht sonderlich kompliziert. Es existieren bereits eine Vielzahl an Libraries für die verschiedensten Frameworks und Systeme. Es gilt jedoch einige Punkte zu beachten.

weiter lesen...

Top 3 Findings unserer Cyber-Security-Reviews

Veröffentlicht am: 29. November 2023

1. XSS Was ist das? Bei Cross-Site-Scripting-Angriffen (XSS) werden bösartige Skripte im Browser ausgeführt. Das gefährliche daran ist, dass der Code im Kontext eines anderen Benutzers ausgeführt wird. Es gibt XSS-Angriffe, welche z.b. durch das Öffnen eines Links ausgeführt werden oder wo das bösartige Script auf dem Server gespeichert wird und dann von diesem an andere Benutzer ausgeliefert wird.

weiter lesen...

1/4 Passkeys: Einloggen ohne Passwort

Veröffentlicht am: 22. November 2023

Das Paradox: Einfacher, schneller und dennoch sicherer. Passkey ist eine Authentifizierungs-Methode, welche ohne Passwörter auskommt. Es wurde von World Wide Web Consortium (W3C) und der FIDO Alliance vorgeschlagen. Der Begriff Passkeys wurde im Frühling 2022 durch Google und Apple populär, als diese die Implementation in ihren Systemen bekannt gaben.

weiter lesen...

5 Gründe, weshalb dein Unternehmen von einem Pentest profitiert. #Cybersecurity

Veröffentlicht am: 15. November 2023

1. Besseres Produkt Ein Pentest deckt Sicherheitslücken auf, bevor diese ausgenutzt werden. Mit realen Angriffsszenarien untersuchen Spezialisten das System und evaluieren, ob die Lösung Schwachstellen aufweist. Von uns gefundene Sicherheitslücken können sauber und durchdacht behoben werden. Ein allfälliger zweiter Pentest überprüft dann, ob die Schwachstelle erfolgreich behoben wurde.

weiter lesen...

Web-Application-Firewall

Veröffentlicht am: 2. November 2023

Eine "Web-Application-Firewall" (kurz WAF) ist eine Sicherheitslösung, die entwickelt wurde, um Webanwendungen vor verschiedenen Arten von Online-Bedrohungen und Angriffen zu schützen. Ihre Hauptfunktion besteht darin, den Datenverkehr zwischen einem Benutzer und einem Webserver zu überwachen und zu filtern, um potenziell schädliche Aktivitäten zu erkennen und zu blockieren.

weiter lesen...

Alte Nginx-Miskonfiguration: Eine aktuelle Analyse

Veröffentlicht am: 28. September 2023

Schon vor einigen Jahren hat Orange Tsai in einem Blackhat-Talk auf einen Konfigurationsfehler des Nginx Webservers hingewiesen. Nginx ist einer der am weitesten verbreiteten Webserver. Etwa 34% aller Webseiten im Internet werden über einen Nginx-Webserver ausgeliefert. Gemäss Docker ist Nginx einer der am meisten verwendeten Technologien in ihren Containern. Somit ist das Ausmass einer Sicherheitslücke in Nginx riesig.

weiter lesen...

Privates Netzwerk Best-Practices Teil 2/2

Veröffentlicht am: 31. August 2023

Vor kurzem hat die National Security Agency (NSA) Best-Practices für die Sicherheit von Home-Netzwerken herausgegeben. Wir greifen in zwei Blog-Beiträgen die wichtigsten Punkte auf und ergänzen diese. So erhalten Sie wichtige Tips und Informationen auf was beim Home-Netzwerk zu achten ist.

weiter lesen...

Privates Netzwerk Best-Practices Teil 1/2

Veröffentlicht am: 24. August 2023

Vor kurzem hat die National Security Agency (NSA) Best-Practices für die Sicherheit von Home-Netzwerken herausgegeben. Wir greifen in zwei Blog-Beiträgen die wichtigsten Punkte auf und ergänzen diese mit unseren Erfahrungen. So erhalten Sie wichtige Tips und Informationen auf was beim Home-Netzwerk zu achten ist.

weiter lesen...

Penetrationtest : 2-Faktor-Auhtentifizierung

Veröffentlicht am: 6. Juli 2023

In diesem Blog-Beitrag beleuchten wir einige Punkte, auf welche wir bei einem Security-Review bei 2FA besonders achten. Denn 2FA stellt einen wichtigen Layer der Sicherheit dar. Unser Ziel dabei ist immer, den 2FA Schritt zu umgehen.

weiter lesen...

"Technical Dept" und Cyber-Security

Veröffentlicht am: 29. Juni 2023

Der Tweet von Michael Käser mit einer neuen Interpretation von “Tech Dept” hat mich zu diesem Blog-Beitrag inspiriert. "Many engineers understand tech debt as 'old code' or 'outdated libraries', but in practice the biggest velocity killer for product engineering teams is when the "product model" starts to increasingly diverge from the "data model", and the UI has to bridge the gaps."

weiter lesen...

Passwörter in der Datenbank speichern

Veröffentlicht am: 22. Juni 2023

Dieser Blogbeitrag richtet sich an Entwickler. Jede Applikation mit Benutzern hat das Problem, dass die Passwörter der Benutzer in irgendeiner Form gespeichert werden müssen. Die schlechteste Idee dabei ist, dass Passwort als Klartext direkt in der Datenbank zu speichern.

weiter lesen...

2FA ist wichtig

Veröffentlicht am: 12. Juni 2023

Obwohl die Zwei-Faktor-Authentifizierung / Zwei-Faktor-Authentisierung an vielen Orten Standard ist (Bsp. E-Banking), stellen wir oft fest, dass die Akzeptanz und das Verständnis bei den Endbenutzern oft fehlen. Entweder nerven sie sich darüber oder deaktivieren diese Möglichkeit, wenn dies möglich ist. Die Zwei-Faktor-Authentifizierung erschwert es einem Angreifer jedoch erheblich, sich in ein fremdes Konto einzuloggen und sollte deshalb immer aktiviert werden.

weiter lesen...

Subdomains sind eine wahre Goldgrube für Angreifer

Veröffentlicht am: 4. April 2023

Aufs neue starteten wir unseren Scanner, welcher übrigens mit 100% selber produziertem Solarstrom läuft. Obwohl auf den Hauptdomains und unter www. oft nur Webseiten betrieben werden, waren wir trotzdem überraschend, was dort alles zu finden war. Wir ahnten bereits vor der Idee, die Subdomains anzuschauen, dass dies noch schlimmer wird, denn auf den Subdomains laufen oft Webapps mit heiklen internen Firmen-Daten.

weiter lesen...

Ungewollte Datenlecks (online und offline)

Veröffentlicht am: 22. Februar 2023

In der heutigen digitalen Welt haben wir alle irgendwann schon einmal sensitive Daten online geteilt. Obwohl die meisten von uns versuchen, vorsichtig zu sein, kann es dennoch passieren, dass wir versehentlich private Informationen veröffentlichen. Dies kann auch versehentlich passieren, ohne dass wir uns dessen bewusst sind.

weiter lesen...

Auswirkungen von Ransomware auf ein Unternehmen

Veröffentlicht am: 13. Februar 2023

Stellen Sie sich ein mittelständisches KMU vor. 142 Mitarbeiter in den Bereichen Entwicklung, Produktion, Lager, Installation, Montage, Support, Marketing und das ganze Backoffice. Vor 5 Jahren hat die IT den Schritt in die Virtualisierung gewagt.

weiter lesen...

Hinter einer Firewall bin ich geschützt. Irrglaube oder Tatsache?

Veröffentlicht am: 2. Februar 2023

Wir hören immer wieder das Argument, aber ich habe doch eine gute Firewall, die schützt mich doch. Diese Tatsache hat uns erwogen diesen Artikel zu schreiben.

weiter lesen...

security.txt und Kontaktinformationen

Veröffentlicht am: 4. Januar 2023

Wir haben eine Firmen-Policy, dass wir die Betroffenen auf von uns gefundene Sicherheitslücken aufmerksam machen. Oft fällt es uns schwer, die richtige Kontaktperson bei einer Firma zu finden. Dabei gäbe es einen definierten Ort, wo man diese Kontaktinformationen hinterlegen kann: security.txt (Ein vorgeschlagener Standard, der es Betreiber von Webapplikationen ermöglicht, Sicherheitsrichtlinien zu definieren). Auch nur ein Hinweis im Impressum würde helfen.

weiter lesen...

Frohe Feiertage

Veröffentlicht am: 24. Dezember 2022

Codepurple wünscht allen schöne und sichere Festtage.

weiter lesen...

Datenleck über phpinfo() - Teil 2/2

Veröffentlicht am: 24. November 2022

Dies ist die Fortsetzung des 1. Teiles zu phpinfo(), welcher eine Einführung und eine Übersicht über die gefundenen Daten gibt. Bei einem Scan über 2.6 Millionen .ch und .li Domains haben wir nach öffentlichen phpinfo() Dateien gesucht und die gewonnen Daten analysiert. In diesem Teil untersuchen wir die brisanteren Daten-Lecks, welche wir gefunden haben und gehen darauf ein, wie diese durch Angreifer missbraucht werden können.

weiter lesen...

Datenleck über phpinfo() - Teil 1/2

Veröffentlicht am: 17. November 2022

Weiter geht es in der Serie der Scans der .ch und .li Domains. Dieses Mal untersuchten wir mögliche Datenlecks über phpinfo, was wiederum spannende Erkenntnisse zu Tage brachte. Bei diesem Scan wurden 2.6 Millionen Domains überprüft.

weiter lesen...

Directory listing auf Webserver ist gefährlich

Veröffentlicht am: 3. November 2022

Das auflisten von Dateien (Directory listing) die auf dem Web Server gespeichert sind birgt grosse Sicherheitsrisiken. Informationen können so preisgegeben werden, welche nicht für die Öffentlichkeit bestimmt sind.

weiter lesen...

Update: Datenleck via .DS_Store Dateien

Veröffentlicht am: 26. Oktober 2022

Im Blog Post vom 15. Juni 2022 (Datenleck via .DS_Store Dateien) haben wir eine Analyse zu versehentlich öffentlich zugänglichen .DS_Store Dateien publiziert. Rund fünf Monate später haben wir uns die seit dieser Zeit neu registrierten .ch und .li Domains angeschaut. Dabei haben wir 190’359 Domains untersucht.

weiter lesen...

Update: Öffentliche .env-Dateien

Veröffentlicht am: 25. Oktober 2022

Im Blog Post vom 2. Mai 2022 (Öffentliche .env-Dateien) haben wir eine Analyse zu versehentlich öffentlichen .env Dateien publiziert. Rund fünf Monate später haben wir uns die seit dieser Zeit neu registrierten .ch und .li Domains angeschaut. Dabei haben wir 190’359 Domains untersucht.

weiter lesen...

Update: Öffentliche .git Ordner

Veröffentlicht am: 24. Oktober 2022

Im Blog Post vom 2. Mai 2022 (Öffentliche .git Ordner) haben wir eine Analyse zu versehentlich veröffentlichten Daten aus Sourcecode-Verwaltungssystemen publiziert. Rund fünf Monate später haben wir uns die seit dieser Zeit neu registrierten .ch und .li Domains angeschaut. Dabei haben wir 190’359 Domains untersucht.

weiter lesen...

State of the Swiss web Q3 2022

Veröffentlicht am: 30. September 2022

Im vergangenen Quartal haben wir keine grossen Studien oder Analysen betreffend der Schweizer Weblandschaft durchgeführt, welche wir publizieren dürfen/können. Anstelle eines Berichtes über den Zustand der Schweizer Webapplikationen möchte ich die Gelegenheit nutzen drei Beispiele aus der Praxis etwas genauer anzuschauen.

weiter lesen...

Sichere APIs?

Veröffentlicht am: 7. September 2022

APIs (Application Programming Interface) sind Schnittstellen, über welche Softwaresysteme untereinander kommunizieren können. Einige APIs sind öffentlich, wie zum Beispiel die der Wetterdienste. Bei anderen APIs geht es um persönliche Daten, so zum Beispiel beim E-Banking. APIs sind der Leim, welcher die digitale Welt zusammen hält, deshalb gilt es diese Schnittstellen besonders zu schützen und auf möglich Fehler zu prüfen.

weiter lesen...

Arten von Phishing-Angriffen

Veröffentlicht am: 10. August 2022

Phishing-Angriffe sind nach wie vor einer der Hauptangriffsvektoren im Cybersicherheitsbereich. Dabei gibt es verschiedene Arten von Phishing. In diesem Artikel gehen wir auf die Ziele und Arten von Phishing-Angriffen ein.

weiter lesen...

Interessante Fakten zu Ransomware Teil 4/4

Veröffentlicht am: 13. Juli 2022

Der letzte und somit abschliessende Teil der Ransomware-Blog Reihe beschäftigt sich damit wie man sich vor einem Angriff schützen kann.

weiter lesen...

State of the Swiss web Q2 2022

Veröffentlicht am: 6. Juli 2022

Die letzten drei Monate standen bei uns eindeutig im Zeichen von API-Keys, Datenbankzugriffen und unserem internen Domänen-Scanner.

weiter lesen...

Interessante Fakten zu Ransomware Teil 3/4

Veröffentlicht am: 29. Juni 2022

Im dritten Teil gibt es vier spannende Fakten zu Kopfgeld, Umsatz und der Top 10 der Ransomware-Gruppierungen. Viel Spass beim Lesen. Eine Einleitung zum Thema Ransomware findet Ihr im Teil 1 der Serie.

weiter lesen...

Interessante Fakten zu Ransomware Teil 2/4

Veröffentlicht am: 22. Juni 2022

Im zweiten Teil unserer Ransomware Blog-Reihe widme ich mich eher technischen Themen. Eine Einleitung zum Thema Ransomware findet Ihr im 1. Teil der Serie.

weiter lesen...

Datenleck via .DS_Store Dateien

Veröffentlicht am: 15. Juni 2022

Eine kleine Ergänzung an unserem selber entwickelten Domain-Scanner erlaubt es uns nun eine weitere Analyse eines möglichen Datenlecks zu untersuchen. Dabei hat Codepurple wiederum alle .ch und .li Domains auf öffentlich zugängliche .DS_Store-Dateien untersucht.

weiter lesen...

Interessante Fakten zu Ransomware Teil 1/4

Veröffentlicht am: 14. Juni 2022

Diese vierteiligen Blogreihe behandelt interessantes, spannendes und kurioses zum Thema Ransomware. Im ersten Teil wird erklärt was Ransomware genau ist. Danach folgen Fakten zum Thema Lösegeld. Der zweite Teil der Reihe wird technischer und behandelt Angriffsvektoren, Verschlüsselungstechniken und sehr teure Security Reports. Teil drei konzentriert sich auf Ransomware Gruppierungen. Im vierten und abschliessenden Teil werden Tipps gegeben, wie man sich am besten vor Ransomware schützt und welche Schritte eingeleitet werden sollten wenn man einen Angriff bemerkt.

weiter lesen...

Öffentliche .env-Dateien

Veröffentlicht am: 18. Mai 2022

In einer weiteren Analyse hat Codepurple bei allen .ch und .li Domains untersucht, ob .env Dateien öffentlich verfügbar sind. Dabei wurden 201 .env Dateien gefunden. Neben harmlosen Konfigurationseinstellungen wurden 135 Datenbankbenutzer und Passwörter, 48 E-Mail-Konten mit Benutzername und Passwort, 11 Zugänge zu Zahlungsanbieter, 98 Anmeldeinformationen für API’s (Schnittstellen) und 128 App-Secrets (Secret zum sicheren generieren von Session-IDs, CSRF-Tokens, JWT-Tokens oder gleich fix konfigurierte Adminaccounts) gefunden. Die Analyse der .env-Dateien brachte sehr brisante Erkenntnisse, denn Passwörter und Secrets sind in unverschlüsselter Form in der .env-Datei gespeichert.

weiter lesen...

Öffentliche .git Ordner

Veröffentlicht am: 2. Mai 2022

Eine Analyse von Codepurple aller .ch und .li Domains auf öffentliche Code-Repositories (Git) zeigte, dass 1053 öffentliche Code Repositories gefunden wurden. In den Code Repositories sind harmlose Dinge wie Templates oder statische HTML-Seiten zu finden, aber auch kompletter Code von Webapplikationen inklusive deren Konfiguration mit Passwörtern für Logins, Datenbanken, Office365 Logins, E-Mail-Konten mit Passwörtern oder Private-Keys um mit Zahlungsanbietern zu kommunizieren. Es wurden sogar Benutzernamen und Passwörter in den Meta-Daten des Repositiories selbst gefunden, welche den Zugriff auf komplette Codeverwaltungen von Firmen ermöglichten. Eine weitere spannende Entdeckung war, dass komplette Code-Repositories auch ohne Directory-Listing heruntergeladen werden können, in dem einfach direkt auf die Dateien in einem .git Ordner zugegriffen wird. So zum Beispiel der direkte Zugriff auf .git/HEAD oder .git/config.

weiter lesen...

Typosquatting

Veröffentlicht am: 8. April 2022

Typosquatting ist eine Art von Social-Engineering-Angriff auf einen Internet-User. Dabei werden ähnliche Domains zu der Zieldomain registriert, mit der Hoffnung, dass ein Benutzer einen Tippfehler macht und auf der Seite des Angreifers landet.

weiter lesen...

SPF / DMARC Analyse von .ch und .li Domains

Veröffentlicht am: 4. April 2022

E-Mail wird im Geschäftsleben jeden Tag verwendet. So ist es nicht erstaunlich, dass über 91% aller Cyberangriffe mit einem Phishing-E-Mail beginnen. Als das E-Mail-Protokoll entwickelt wurde, waren die Anforderungen an die Sicherheit ganz anders als heute. Am SMTP-Protokoll hat sich seit 1995 nicht mehr viel verändert. Um die neuen Probleme bezüglich Spam und Missbrauch in den Griff zu bekommen, wurden weitere Technologien wie SPF, DKIM und DMARC entwickelt. Inzwischen sind auch diese Technologien mehrere Jahre alt. Eine Analyse von Codepurple im Februar 2022 aller .ch und .li Domains zeigt auf, dass diese Technologien oft nicht verwendet oder falsch konfiguriert werden, obwohl sie das Potential für einen guten Schutz hätten.

weiter lesen...

State of the Swiss web Q1 2022

Veröffentlicht am: 28. März 2022

Bei unserer täglichen Arbeit kommen wir laufend in Kontakt mit diversen Sicherheitslücken und Sicherheitsmängel. Diese Daten sammeln wir laufend und fassen sie in einem Bericht zusammen.

weiter lesen...

Verwenden Sie Ihr Passwort nicht für verschiedene Konten.

Quelle: Codepurple