Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Bekannter Cyberkrimineller angeklagt, Darknet-Händler müssen ins Arbeitslager

Die russische Justiz hat in den vergangenen Tagen verschiedene Schritte gegen Cyberkriminelle unternommen und dabei hohe Strafen verhängt. Ein vom FBI mit Kopfgeld gesuchter Krimineller wartet auf seine Anklage, die Betreiber des Hydra-Untergrundmarktplatzes müssen derweil jahrelang in Haft. Der mutmaßliche Kopf der Bande wird gar lebenslang inhaftiert.

Anzeige

Einen bekannten Cyberkriminellen setzten die russischen Behörden kurzzeitig fest. Dem als "wazawaka" bekannten Mikhail M. wirft die Staatsanwaltschaft vor, Schadsoftware entwickelt zu haben. Darauf steht nach §273 des russischen Strafgesetzbuchs eine Geldstrafe oder bis zu vier Jahren Gefängnis.

In einer Mitteilung der russischen Generalstaatsanwaltschaft hieß es zunächst ohne Namensnennung, dass ein 32-jähriger Russe angeklagt worden sei. Gegenüber einem einschlägigen Telegram-Kanal bestätigte wazawaka jedoch, es handele sich um ihn. Er gab an, eine Geldstrafe bezahlt zu haben. Erhebliche Teile seines Vermögens in Krypto-Währungen seien beschlagnahmt worden, Mikhail E. selbst sei aber gegen Kaution bis auf Weiteres auf freiem Fuß.

Auf E. ist in den USA ein Kopfgeld von bis zu 10 Millionen Dollar ausgesetzt. Das FBI wirft ihm vor, maßgeblich an der Entwicklung der Babuk-Ransomware beteiligt gewesen zu sein und unter anderem die Rechner von US-Polizeibehörden angegriffen zu haben. Der Russe steht zudem auf der SDN-Sanktionsliste (Specially Designated National) der USA.

Weiterlesen
  40 Aufrufe

Identitätsmanagement: Sicherheitslücke mit Höchstwertung bedroht IdentityIQ

Angreifer können die Identitäts- und Zugangsmanagementlösung IdentityIQ von SailPoint attackieren. Klappen Attacken, können Angreifer auf eigentlich abgeschottete Bereiche zugreifen.

Anzeige

Bislang gibt es von SailPoint noch keine Warnung zur Sicherheitslücke. Alle Informationen zur "kritischen" Schwachstelle (CVE-2024-10905) basieren derzeit auf einem Eintrag in der National Vulnerability Database (NVD) des National Insitute of Standards and Technology (NIST).

Die Schwachstelle ist mit dem höchstmöglichen CVSS Score (10 von 10) eingestuft. Angreifer sollen via HTTP unbefugt auf Daten zugreifen können. Was das im Detail bedeutet und wie so eine Attacke ablaufen könnte, ist bislang unklar.

Aus dem Eintrag geht hervor, dass davon IdentityIQ 8.2, 8.3 und 8.4 betroffen sind. Die Lücke soll in den Ausgaben 8.2p8, 8.3p5 und 8.4p2 geschlossen sein. Aufgrund der kritischen Einstufung sollten Admins das Updaten nicht auf die lange Bank schieben. Zurzeit gibt es keine Berichte zu laufenden Angriffen.

Weiterlesen
  37 Aufrufe

Europäische Behörden zerschlagen Krypto-Kommunikationsplattform für Kriminelle

Eine gemeinsame Ermittlungsgruppe europäischer Strafverfolgungsbehörden hat in der koordinierten "Operation Passionflower" die verschlüsselte Kommunikationsplattform MATRIX (auch MTX, Mactrix, Totalsec, X-Quantum, Q-Safe) ausgehoben. Die Plattform wurde laut der gemeinsamen Pressemitteilung europäischer Polizeibehörden am 3. Dezember 2024 abgeschaltet.

Anzeige

MATRIX galt als Nachfolger von ANOM, Sky ECC und EncroChat. Trotz der Namensgleichheit habe die MATRIX-Plattform nichts mit der Matrix Foundation und dem Matrix-Protokoll zu tun, wie auch die niederländische Polizei betont.

"Die technische Infrastruktur war komplexer als bei den Vorgängern Sky und Encro", erläutert Stan Duijf, Leiter der Einsatzabteilung der niederländischen Landeskriminalpolizei. Die Betreiber seien überzeugt gewesen, dass die Nutzer sicher vor polizeilicher Überwachung kommunizieren könnten. Doch tatsächlich konnten die Ermittler nach eigenen Angaben über 2,3 Millionen Nachrichten in 33 Sprachen mitlesen.

Sie kamen den Anbietern des betrügerischen Dienstes auf die Spur, nachdem sie ein Smartphone, auf dem die MATRIX-Plattform lief, im Fluchtwagen nach dem Mordanschlag 2021 auf den niederländischen Journalisten Peter R. de Vries im Juli 2021 sichergestellt hatten.

Weiterlesen
  35 Aufrufe

Untergrund-Marktplatz: BKA legt Crimenetwork still und verhaftet Techniker

Das Bundeskriminalamt (BKA) meldet einen erfolgreichen Schlag gegen kriminelle Marktplätze im Internet. Gemeinsam mit der niederländischen Polizei aus Zeeland-West-Brabant und unter Federführung der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) haben Ermittler das "Crimenetwork" ausgehoben und einen Administrator festgenommen.

Anzeige

Die Plattform galt laut BKA als größter deutschsprachiger Online-Marktplatz für die "Underground Economy" mit mehr als 100.000 Nutzern und über hundert Verkäufern. Sie handelten mit illegalen Waren und Dienstleistungen, also etwa mit Drogen oder "Hacking for hire".

BKA-Schätzungen zufolge wurden auf Crimenetwork in den vergangenen sechs Jahren mindestens 1000 BTC (etwa 90 Millionen Euro) und 20000 XMR (Monero, Gegenwert derzeit etwa 3 Millionen Euro) umgesetzt. Ein bis fünf Prozent des Umsatzes gingen als Provision an den Betreiber der Plattform, der außerdem monatliche Werbe- und Lizenzgebühren von den Verkäufern kassierte.

Während der Razzia nahm das BKA die Server der Plattform vom Netz und verhaftete einen 29-Jährigen. Dem Beschuldigten werfen die Ermittler hauptsächlich den Betrieb der Plattform als technischer Administrator vor, aber auch den Handel mit Betäubungsmitteln. Der Mann sitzt seit Montag in Untersuchungshaft. Eine Million Euro in Kryptowerten sowie mehrere hochwertige Fahrzeuge landeten ebenfalls im Säckel der Strafverfolger.

Weiterlesen
  38 Aufrufe

LKA warnt vor automatischen Anrufen etwa zur WhatsApp-Kontaktaufnahme

Das Landeskriminalamt Niedersachsen warnt auf dem Portal Polizei-Praevention.de vor derzeit gehäuft auftretenden Anrufen, bei denen automatische Ansagen etwa zur Kontaktaufnahme über WhatsApp drängen. Es handelt sich offenbar um unseriöse Jobangebote.

Anzeige

"Hallo, ich muss mit Ihnen über einen Job sprechen. Bitte fügen Sie mich auf WhatsApp hinzu", lautet die Ansage zumeist, schreibt das LKA Niedersachsen. Diese Anrufe scheinen sehr weitverbreitet aufzutreten, auch in der heise-online-Redaktion kam das bereits vor. Die Anrufnummern sind immer verschieden und nutzen meist Auslandsvorwahlen. Nach der Ansage legt der Anrufer umgehend auf. Das LKA schreibt, Herkunft und tatsächliche Absicht hinter der Maßnahme seien derzeit noch unbekannt.

Die Strafverfolger vermuten, dass es sich um eine erste Kontaktaufnahme für unseriöse Jobangebote handelt. Die Betrüger hinter der Masche versuchen, Opfer als Finanzagent oder Warenagent anzuheuern und im weiteren Verlauf als Geldwäscher zu missbrauchen. Zuvor haben die Kriminalbeamten bereits Maschen gesehen, bei denen Anrufe oder einfache Nachrichten über WhatsApp die Empfänger zu einem "Jobangebot" überreden wollten.

Die Beamten sehen die Gefahr, dass die Täter bei Annahme des Jobangebots sensible persönliche Daten einfordern, etwa den abfotografierten Personalausweis oder Ausfüllen von vermeintlichen Bewerbungsunterlagen; dabei könnten sie persönliche Fotos oder Kontodaten einfordern. In dem Kontext wirkt das plausibel, die Täter können die Daten jedoch für weitere Betrügereien missbrauchen, erörtert das LKA Niedersachsen.

Weiterlesen
  33 Aufrufe

Patchday: Android 12, 13, 14 und 15 für Schadcode-Attacken anfällig

Nach erfolgreichen Attacken auf Smartphones und Tablets mit Android können Angreifer Geräte in einigen Fällen vollständig kompromittieren. Sicherheitsupdates sind für ausgewählte Geräte verfügbar.

Anzeige

In einer Warnmeldung hebt Google eine Sicherheitslücke (CVE-2024-43767 "hoch") im System als besonders bedrohlich hervor: Angreifer können Schadcode ausführen. Dafür seien keine zusätzlichen Ausführungsrechte nötig. Wie so ein Angriff genau ablaufen könnte, bleibt aber unklar.

Über zwei weitere System-Schwachstellen (CVE-2024-43097 "hoch", CVE-2024-43768 "hoch") können sich Angreifer höhere Nutzerrechte verschaffen. Von diesen drei Lücken sind Android 12, 12L, 14, 14 und 15 bedroht.

Überdies können Angreifer noch an Schwachstellen im Framework und Komponenten von unter anderem Qualcomm ansetzen. An dieser Stelle ist etwa die WLAN-Subkomponente bedroht (CVE-2024-33063 "hoch"). Hier können entfernte Angreifer einen Speicherfehler auslösen. So etwas führt in der Regel zu Abstürzen (DoS) oder es kann sogar Schadcode auf Systeme gelangen.

Weiterlesen
  32 Aufrufe

UEFI-Bootkit "Bootkitty" für Linux ist offenbar Uni-Projekt aus Südkorea

Ein kürzlich aufgetauchtes Linux-Bootkit, das sich im UEFI (Unified Extensible Firmware Interface) einnistet und dessen Sicherheitsmaßnahmen umgehen soll, ist offenbar ein Projekt südkoreanischer Wissenschaftler. Es war letzte Woche durch mehrere Analysen ins Licht der Öffentlichkeit geraten, kursiert aber bereits seit Anfang November auf Malware-Analyseplattform VirusTotal. Es handelt sich nicht um verwendbare Malware, eher um einen "Proof of Concept".

Anzeige

Anfang November fanden Mitarbeiter des Sicherheitsunternehmens ESET auf VirusTotal ein Exemplar einer neuartigen Malware, einige Wochen später stolperten Mitglieder einer Community zur Rootkit-Forschung über fast identische Dateien. Sie fanden auf einem offenen Webserver unter anderem eine Datei namens bootkit.efi und Teile eines Linux-Rootkits. Die Community-Mitglieder analysierten das Rootkit und fanden rudimentäre Funktionen zur Ausführung eigenen Shellcodes. Die Bootkit-Datei betrachteten sie hingegen nur oberflächlich, auch zwei BMP-Bilddateien ignorierten sie weitgehend.

Die Experten von ESET hingegen schauten besonders gründlich auf die Datei bootkit.efi. Laut ihrer Analyse klinkt sich die experimentelle Linux-Malware in den Bootprozess ein und verändert den ursprünglichen Grub-Bootloader, den EFI-Lademechanismus des Kernels und den Kernel selbst. Da im Code von Bootkitty feste Adressen eingebaut sind, funktioniert die Manipulation nur auf wenigen Kernel- und Grub-Versionen. Die analysierte Version des Bootkits ist lediglich unter bestimmten Ubuntu-Versionen nutzbar. Außerdem kann das Bootkit sich nicht selbstständig im System einnisten, sondern muss den Nutzer um Erlaubnis fragen, konstatierten die ESET-Forscher.

Dem widerspricht eine dritte Analyse von Binarly. Die Entdecker der "LogoFail"-Lücke wurden stutzig, als sie zwei verschieden große Bilddateien im BMP-Format vorfanden – eine davon war über 16 MByte groß und hieß bezeichnenderweise logofail.BMP. Und tatsächlich: In einen Disassembler geladen, verriet das Bild seine geheime Fracht: Shellcode, der mittels LogoFail-Exploit dem UEFI ein eigenes Zertifikat zur Codesignatur unterschiebt und so den "Secure Boot"-Prozess unterläuft.

Weiterlesen
  34 Aufrufe

38C3: Programm des Chaos Communication Congress steht

Der Chaos Computer Club hat das Programm für den 38. Chaos Communication Congress (38C3) fertiggestellt. Der "Hackerkongress" findet vom 27. bis 30. Dezember wieder im angestammten Congress Center Hamburg (CCH) statt.

Anzeige

Insgesamt sieben Tracks füllen die Vorträge – 140 an der Zahl, was insgesamt 6625 Minuten Programm bedeutet, erklärt der CCC in der Fahrplan-Ankündigung. Das Tool Halfnarp des Hacker-Kollektivs half bei der Zusammenstellung. Interessierte konnten dort ihre Präferenzen zu den Vorträgen abgeben, was die zeitliche Koordination ermöglichte.

Die Eröffnungszeremonie findet am 27. Dezember um 10:30 Uhr statt. Sie wird von Felix Reda und Gabriele Bogk geleitet. Daran schließt sich das umfangreiche Congress-Programm an, um dann am 30. Dezember um 18:00 Uhr – abermals geleitet von Reda und Bogk – unter dem Motto "Return to legal instructions" einen würdigen Abschluss des Chaos Communication Congress zu finden.

"Der Fahrplan ist Version Alpha-0.1. Traditionell gibt es noch kleinere Änderungen vor und auch während dem Congress", schreibt der CCC in der Ankündigung. Wer nachgezählt oder gar die Lücken im Programm gefunden habe, liege richtig: Es soll einige Überraschungs-Talks geben, die die Veranstalter erst kurz vor der 38. Inkarnation des Congress bekannt geben wollen.

Weiterlesen
  36 Aufrufe

heise-Angebot: iX-Workshop: IT-Sicherheit nach ISO 27001 – Herausforderungen und Chancen

Sie planen, ein Information Security Management System (ISMS) gemäß ISO 27001 einzuführen? In unserem interaktiven iX-Workshop IT-Sicherheit nach ISO 27001 umsetzen erhalten Sie eine fundierte Einführung in die Grundlagen der internationalen Norm für Informationssicherheit und profitieren von Best Practices und Lösungsansätzen für die erfolgreiche Umsetzung in Ihrem Unternehmen.

Anzeige

Trainer dieser Schulung sind Sicherheitsexperten der secuvera GmbH: Ann-Kathrin Udvary - leitende Cybersicherheitsberaterin und Viktor Rechel - leitender Cybersicherheitsberater. An zwei Vormittagen begleiten Sie unsere Trainer durch den Workshop, machen Sie mit grundlegenden Tätigkeiten, aber auch typischen Fallstricken vertraut und stellen Ihnen wichtige Meilensteine der Projektplanung vor. Die Inhalte des Workshops werden durch Gruppenarbeiten und Diskussionen veranschaulicht und vertieft, um einen praxisnahen Lernansatz zu gewährleisten.

Januar
28.01. – 29.01.2025
Online-Workshop, 09:00 – 12:30 Uhr
10 % Frühbucher-Rabatt bis zum 30. Dez. 2024

Der nächste Workshop findet am 28. und 29. Januar 2025 statt und richtet sich an Informationssicherheitsbeauftragte, IT-Mitarbeitende und Führungskräfte, die einen fundierten Einblick in das Thema erhalten möchten.

Weiterlesen
  0 Aufrufe

Monitoring-Tool Zabbix: Kritische Lücke ermöglicht Kontrollübernahme

Im Monitoring-Tool Zabbix wurde eine kritische Sicherheitslücke entdeckt. Angreifer können sie missbrauchen, um verwundbare Instanzen vollständig zu kompromittieren.

Anzeige

Wie der Hersteller der Open-Source-Software in einer Sicherheitsmitteilung angibt, können nicht-administrative Nutzerinnen und Nutzer mit der Standard-Nutzerrolle oder jeder anderen Rolle, die API-Zugriff ermöglicht, die SQL-Injection-Lücke ausnutzen. Die Lücke befindet sich in der addRelatedObjects-Funktion in der CUser-Klasse. Diese wird von der CUser.get-Funktion aufgerufen, auf die für jeden Nutzer mit API-Zugriff bereitsteht (CVE-2024-42327, CVSS 9.9, Risiko "kritisch").

Die IT-Forscher von Qualys haben mit der FOFA-Suchmaschine mehr als 83.000 aus dem Internet erreichbare Zabbix-Instanzen gefunden. Verwundbar sind die Versionen 6.0.0-6.0.31, 6.4.0-6.4.16 und 7.0.0. Die Entwickler schließen die Lücke mit den Versionen 6.0.32rc1, 6.4.17rc1 und 7.0.1rc1. Inzwischen sind jedoch deutlich neuere Fassungen verfügbar – diese bessern die genannte und weitere Schwachstellen aus, sodass Admins auf diese neueren Versionen aktualisieren sollten.

Die Release-Candidates stammen bereits aus dem Juli dieses Jahres, Informationen zu der Schwachstelle wurden jedoch erst jetzt veröffentlicht. Die neuen Versionen dichten zudem weitere Sicherheitslecks ab und korrigieren einige Fehler.

Weiterlesen
  33 Aufrufe

Medion: Webseite und mehr derzeit nicht erreichbar

Die Webseiten, E-Mails und Telefone bei Medion haben mit Störungen zu kämpfen und sind teils nicht erreichbar. Die Situation dauert bereits seit vergangener Woche an.

Anzeige

E-Mail-Anfragen von heise online blieben bis zum Meldungszeitpunkt unbeantwortet. Die Telefonnummern aus dem Impressum sind ebenfalls nicht erreichbar. Etwas Erfolg hatte die Anfrage bei der telefonischen Hotline, dort wurde eine vorbereitete Meldung vorgelesen. Demnach besteht das Problem seit dem Mittwoch vergangener Woche. Es handele sich um eine Systemstörung, wodurch Medion lediglich eingeschränkt erreichbar sei. Schriftliche Anfragen, etwa per E-Mail, seien derzeit nicht beantwortbar. Die Fachabteilung arbeite jedoch mit Hochdruck an der Lösung.

Dass die Störung derart lange andauert und zugleich auch Mail- und Telefonsysteme in Mitleidenschaft zieht, ist eher selten. Laut Leserhinweisen ist etwa auch die Medion Life+-App derzeit nicht funktionsfähig. Bislang wurde das eher bei massiven IT-Angriffen beobachtet – es war von Medion jedoch keine Information zu erhalten, die das bestätigen würde.

Die deutsche Webseite unter medion.de leitet seit Längerem auf de.medion.com um – die Domain ist ebenfalls nicht erreichbar. Beide scheinen im gleichen Rechenzentrum gehostet zu werden, der Abstand der IP-Adressen beträgt lediglich zwei. Loadbalancer, Content-Delivery-Network (CDN) oder Schutz vor dDoS lassen sich nicht erkennen.

Weiterlesen
  33 Aufrufe

Cyberkriminelle nutzen beschädigte Word-Dateien für Phishing-Angriffe

Der Sicherheitsanbieter Any.Run hat eine neue Methode aufgedeckt, mit der Cyberkriminelle versuchen, Anmeldedaten für Windows-Systeme abzugreifen. Sie setzen dabei auf absichtlich beschädigte Word-Dokumente als Anhänge von E-Mails.

Die beschädigte Dateien können von vielen Sicherheitsanwendungen nicht erkannt werden. Nach Angaben des Unternehmens umgehen die speziell gestalteten Word-Dateien auch die Spam-Filter von Outlook, weswegen die gefährlichen Nachrichten ohne Umweg die Postfächer ihrer Opfer erreichen. „Sie wurden zu VirusTotal hochgeladen, aber alle Antivirenlösungen gaben ‚clean‘ oder ‚Item Not Found‘ zurück, da sie die Datei nicht richtig analysieren konnten“, teilte Any.Run mit.

Die Opfer werden per Social Engineering dazu verleitet, die beschädigten Word-Dokumente zu öffnen. Die angehängten Dateien sollen unter anderem Gehalts- oder Bonus-Abrechnungen enthalten.

Wird eine der gefährlichen Dateien geöffnet, weist Word auf eine Beschädigung des Dokuments hin und bietet eine Wiederherstellung der Datei an. Da die Dateien so verändert wurden, dass eine Wiederherstellung möglich ist, wird anschließend der Inhalt „korrekt“ angezeigt. Laut Any.Run handelt es sich um QR-Codes, über die das eigentliche Dokument heruntergeladen werden soll. Die darin codierte Website ahmt eine Anmeldeseite für ein Microsoft-Konto nach. Die Hintermänner sind also unter Umständen in der Lage, Anmeldedaten abzugreifen.

Original Autor: Stefan Beiersmann

  36 Aufrufe

heise-Angebot: iX-Workshop: NIS 2: Anforderungen und Vorgaben

Die europäische NIS-2-Richtlinie (Network and Information Security Directive 2) stellt viele Unternehmen vor neue Herausforderungen im Bereich der Cybersicherheit. Bis Oktober 2024 mussten europäische Unternehmen die Vorgaben in nationales Recht umsetzen. In Deutschland geschieht dies durch das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz). Die Neuregelungen betreffen zahlreiche Unternehmen und erfordern eine gründliche Auseinandersetzung mit den Anforderungen sowie deren praktische Umsetzung.

Anzeige

Der Workshop NIS2: Anforderungen und Vorgaben bietet Teilnehmenden die Möglichkeit, die Kernaspekte der NIS2-Richtlinie und des deutschen NIS2UmsuCG kennenzulernen. Ein besonderer Fokus liegt dabei auf der Verbindung mit bestehenden ISO 27001-Maßnahmen. An zwei Vormittagen erwerben die Teilnehmer das notwendige Wissen, um Sicherheitsstrategien zu optimieren, Compliance zu gewährleisten und rechtliche Vorgaben zu erfüllen.

Januar
27.01. – 28.01.2025
Online-Workshop, 09:00 – 12:30 Uhr
10 % Frühbucher-Rabatt bis zum 29. Dez. 2024
März
11.03. – 12.03.2025
Online-Workshop, 09:00 – 12:30 Uhr
10 % Frühbucher-Rabatt bis zum 10. Feb. 2025

Der Workshop richtet sich primär an Personen mit Sicherheits- oder Compliance-Verantwortung. Er steht jedoch allen Interessierten offen, die einen Überblick über NIS2 im Zusammenspiel mit ISO 27001:2022 gewinnen möchten. Durch den Workshop führt Sebastian Renczikowski. Mit seinem Fachwissen zu Normen und regulatorischen Anforderungen entwickelt er passgenaue Lösungen für Unternehmen im Bereich Informationssicherheit, Compliance und beim Risiko- und Notfallmanagement.

Weiterlesen
  28 Aufrufe

Flüssigkeitsgekühlte High-Performance-Cluster

Um ihre medizinische Forschung voranzutreiben, hatte die Universität zu Köln den Bau des neuen IT-Clusters RAMSES initiiert, um das bisherige System CHEOPS zu ersetzen. Dieses Upgrade soll Software-Anwendungen in den Bereichen Astrophysik, Quantenphysik, Biowissenschaften und Genomanalyse unterstützen. Um die immensen Rechenleistungen bei komplexen wissenschaftlichen Simulationen zu bewältigen, wurde ein effektives Wärmemanagement unerlässlich, das die Zuverlässigkeit und Energieeffizienz der Server gewährleistet. Mit den Flüssigkeitskühlungslösungen von KAYTUS und NEC konnte das Rechenzentrum der Universität trotz verbesserter Leistung und hoher Datensicherheit die Kosten für die Kühlung um 40 Prozent senken.

RAMSES unterstützt umfangreiche Simulationen für komplexe wissenschaftliche Forschungen

Zur IT-Infrastruktur der Universität mit ihren vier Exzellenzclustern gehört das Regionale Rechenzentrum Köln (RRZK). Es beherbergt den im September 2024 vorgestellten Hochleistungscomputer RAMSES, der umfangreiche Simulationen für komplexe wissenschaftliche Forschungen unterstützt. Mit Grafikprozessoren (GPUs), die für die Durchführung von Berechnungen in Bereichen wie neuronale Netze, Pharmakokinetik und Proteinstrukturvorhersage entwickelt wurden, ist RAMSES in der Lage, die kritische Herausforderung zu bewältigen, Kernkomponenten über längere Zeiträume mit hoher Rechenlast und hohen Temperaturen zu betreiben. Die Universität zu Köln gewährleistet mithilfe dieser IT-Lösung die beste parallele bzw. serielle Leistung ihres HPC-Systems sowie höchste Sicherheit, Zuverlässigkeit und Energieeffizienz und wird so ihren komplexen Forschungsanforderungen gerecht.

Mit einer Rechenleistung von 4,8 PFLOPs – 48-mal mehr als beim Vorgängersystem – stellt das neue RAMSES-System für Wissenschaftler eine entscheidende Rechenressource dar. Das System umfasst 174 Knoten, die mit 384 CPUs mit insgesamt 31.576 Kernen und 74 GPUs ausgestattet sind und eine CPU-Leistung von 1,7 PFLOPs und eine GPU-Leistung von 3,1 PFLOPs bieten. Diese hohe Rechenkapazität unterstützt ein breites Spektrum von Forschungsbereichen und treibt so Innovation und Wissensbildung voran.

Ausstattung mit mehr als 140 flüssigkeitsgekühlten Knoten

NEC und KAYTUS haben das RAMSES-System mit über 170 Servern, darunter 1U2S-, 2U2S- und AI-Server, sowie mit mehr als 140 flüssigkeitsgekühlten Knoten ausgestattet, die für anspruchsvolle Anwendungen wie Gromacs für Molekulardynamiksimulationen und NWChem für computergestützte Chemie ausgelegt sind. Die Lösung umfasst flüssigkeitsgekühlte Serverschränke, eine Kühlverteilungseinheit (CDU) sowie ein komplettes Servicepaket inklusive Testverfahren und Implementierung.

„Die Analyse von klinischen Genomdaten ist kein klassisches Anwendungsgebiet für HPC-Systeme. Das ändert sich mit RAMSES – dank einer Ende-zu-Ende-Verschlüsselung während des gesamten Berechnungsprozesses und einer maßgeschneiderten Systemarchitektur, die derzeit in Deutschland einmalig ist“, erklärt Professor Stefan Wesner, Direktor des Regionalen Rechenzentrums Köln und Leiter der Abteilung für Informatik.

Weiterlesen
  31 Aufrufe

Statische Zugangsdaten in IBM Security Verify Access Appliance entdeckt

Angreifer können an vier Sicherheitslücken in IBM Security Verify Access Appliance ansetzen. Davon sind drei Schwachstellen als "kritisch" eingestuft. In einer aktuellen Version haben die Entwickler die Lücken geschlossen.

Anzeige

Mit Security Verify Access Appliance steuern Admins Zugriffe auf Web-Applikationen. Außerdem soll die Anwendungen vor Attacken schützen. Wie aus einer Warnmeldung hervorgeht, kann die Zugriffsmanagementlösung in den Versionen 10.0.0 bis einschließlich 10.0.8 IF1 nun selbst zum Einfallstor für Angreifer werden. Die Entwickler versichern, die Lücken in der Ausgabe 10.0.8-ISS-ISVA-FP0002 geschlossen zu haben.

Ist das Sicherheitsupdate nicht installiert, können Angreifer an vier Sicherheitslücken ansetzen. In zwei Fällen (CVE-2024-49805 "kritisch", CVE-2024-49806 "kritisch") können sich Angreifer aufgrund von hartkodierten Zugangsdaten unbefugt Zugriff verschaffen. Durch die dritte "kritische" Schwachstelle kann Schadcode auf Systeme gelangen. Dafür müssen Angreifer präparierte Anfragen an verwundbare Instanzen schicken.

Wie Angriffe im Detail ablaufen und wie Admins bereits attackierte Systeme erkennen können, führt IBM derzeit nicht aus. Zurzeit gibt es keine Berichte zu laufenden Angriffen. Admins sollten aber nicht zu lange zögern und das verfügbare Sicherheitsupdate zeitnah installieren.

Weiterlesen
  31 Aufrufe

Phishing: Angreifer umgehen Virenscan mittels beschädigter Word-Dokumente

E-Mails mit bösartigem Anhang sind nach wie vor weitverbreitet für Attacken auf PCs. Oft dienen Word-Dokumente als Träger für etwa Erpressungstrojaner. Nun haben Sicherheitsforscher eine neue Methode dokumentiert, mit der Angreifer Virenscanner austricksen.

Anzeige

Wie Forscher von ANY.RUN in einer Kurzanalyse auf X erläutern, sind sie auf von Angreifern absichtlich beschädigte Word-Dokumente gestoßen, die sie als Köder für Phishing-Attacken an E-Mails hängen. Wei die Dateien kaputt sind, fällt es bestimmter Antivirenschutzsoftware, sowie Outlooks Spamfilter schwer, den Dateityp zu erkennen. Demzufolge springen die Schutzmechanismen nicht an und so eine Mail landet ohne Warnung im Posteingang.

Die Forscher geben an, dass sie entsprechende Dateien zum Onlineanalysedienst Virustotal hochgeladen haben. Ihnen zufolge hat keiner der dort verfügbaren mehr als 60 Scanner Alarm geschlagen.

Im Zuge dieser Kampagne sollen die unbekannten Angreifer die Mails im Namen von Personalabteilungen mit einer Betreffszeile zu Bonuszahlungen verschicken. Fällt ein Opfer darauf rein und öffnet die präparierte Datei, bietet Word an, das Dokument zu reparieren. Weil die Angreifer nur den Header an einer bestimmten Stelle minimal verändert haben, kann Word das Dokument wiederherstellen und öffnen.

Weiterlesen
  37 Aufrufe

heise-Angebot: iX-Workshop: Sich selbst hacken – Pentesting mit Open-Source-Werkzeugen

Hacken wie die Hacker: Im iX-Workshop Sich selbst hacken - Pentesting mit Open-Source-Werkzeugen lernen Sie, wie Angreifer vorgehen, um Fehlkonfigurationen und andere Schwachstellen in der Unternehmens-IT aufzuspüren und auszunutzen. Mit den gewonnenen Erkenntnissen fällt es Ihnen leichter, Ihre eigenen Systeme effektiv abzusichern.

Anzeige

Unter dem Stichwort OSINT (Open Source Intelligence) lernen Sie zunächst jene Techniken kennen, mit deren Hilfe sich öffentlich verfügbare Informationen über eine Organisation oder ein Unternehmen sammeln und auswerten lassen - und damit auch mögliche Hintertüren ins System, wie etwa kompromittierte Passwörter. Mit verschiedenen frei verfügbaren Open Source-Werkzeugen und Audit-Tools können im nächsten Schritt Untersuchungen auf Netzwerkebene durchgeführt, Web-Applikationen überprüft oder auch Möglichkeiten der Privilegien-Eskalation unter Windows und Linux aufgedeckt werden.

Dezember
11.-13.12.2024
Online-Workshop, 09:00 – 17:00 Uhr
Februar
12.-14.02.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 14. Jan. 2025
März
31.03.-02.04.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 02. Mrz. 2025

Ein Schwerpunkt des Workshops liegt auf der Überprüfung von Microsofts zentralem Verzeichnisdienst Active Directory, da dieser ein beliebtes Angriffsziel für Hacker ist. Erfahren Sie, wie Sie Schwachstellen in diesem zentralen Element der Unternehmens-IT aufdecken und gezielt beheben können. Ebenso kommen Maßnahmen wie die Implementierung einer Mehr-Faktor-Authentifizierung und die differenzierte Vergabe von Berechtigungen zur Sprache, um Ihre IT-Systeme effektiv abzusichern.

Als Referent steht Ihnen Philipp Löw, erfahrener Pentester bei der Oneconsult Deutschland AG, zur Verfügung. Profitieren Sie in diesem spannenden Workshop, von seinem Fachwissen und seinen praktischen Erfahrungen.

Weiterlesen
  0 Aufrufe

Photovoltaik: Deaktivierte Deye- und Sol-Ark-Wechselrichter in den USA

In dieser Woche wurden Fälle aus den USA bekannt, in denen Photovoltaik-Wechselrichter von Sol-Ark den Betrieb eingestellt und eine Fehlermeldung angezeigt haben. Betroffene sollen sich demnach an ihren Händler wenden. In den Sol-Ark-Geräten steckt Hard- und Software von Deye. Das Unternehmen hat gegenüber heise online Stellung zu den Vorfällen bezogen.

Anzeige

Deye erörtert, dass nach eigenen Untersuchungen lediglich "einige wenige Inverter eine Pop-up-Meldung angezeigt haben". Diese stehen alle in den USA, andere Regionen seien nicht betroffen. "Deye hat die Geräte nicht ferngesteuert oder in irgendeiner Form beeinträchtigt. Derzeit gibt es keine Hinweise darauf, dass diese Wechselrichter böswillig über die Cloud-Dienste von Deye ferngesteuert wurden", erklärt das Unternehmen weiter.

"Die Verträge, die Deye mit allen Händlern abschließt, erörtern klar und deutlich, dass Produkte, die nicht UL-zertifiziert und nicht von lokalen Stromversorgern gelistet sind, nicht in den Vereinigten Staaten verkauft werden dürfen, da sie nicht den US-UL-Standards genügen", erklärt der Hersteller. Die UL-Zertifizierung lässt sich mit der europäischen CE-Kennzeichnung vergleichen, die eine Konformitätskennzeichnung für Geräte ist, den Harmonisierungsvorschriften der EU zu genügen.

Sofern Geräte entgegen der Richtlinie eingesetzt werden, könnten sie ein signifikantes Sicherheitsrisiko darstellen, schreibt Deye. Um das zu verhindern, habe Deye einen Verifikationsmechanismus in die Geräte integriert. Die Pop-up-Warnung werde automatisch von dem Autorisierungsmechanismus des Geräts ausgelöst, ohne menschliche Interaktion.

Weiterlesen
  51 Aufrufe

ProFTPD: Angreifer können Rechte ausweiten

Eine Sicherheitslücke im populären FTP-Server ProFTPD können Angreifer missbrauchen, um ihre Rechte in verwundbaren Systemen auszuweiten. Die Entwickler haben einen Quellcode-Patch bereitgestellt, der den Fehler korrigiert.

Anzeige

Die Schwachstellenbeschreibung im CVE-Eintrag CVE-2024-48651 lautet, dass mod_sql keine sogenannten Supplemental Groups bereitstellt. Dadurch erben Nutzer die Supplemental Group mit der GID 0. Das haben Nutzer im Debian Bugtracker gemeldet und im Github-Repository von ProFTPD diskutiert – durch die Schwachstelle war demnach root-Zugriff möglich, wenn ProFTPD zusammen mit mod_sql genutzt wird. Betroffen ist ProFTPD 1.3.8b vor Commit cec01cc. In ProFTPD 1.3.5 hingegen erben Nutzer in der gleichen Situation Supplemental Group nogroup, was lediglich minimale Risiken für die Sicherheit impliziere. Das CERT-Bund des BSI stuft die Sicherheitslücke mit einem CVSS-Wert von 8.8 als hohes Risiko ein.

Wer den ProFTPD-Dienst einsetzt, sollte daher unbedingt nach aktualisierten Paketen Ausschau halten. Die ProFTPD-Webseite – sie unterstützt tatsächlich lediglich http – verweist noch auf die Version 1.3.9rc2 aus dem Dezember 2023. Im Github-Repository haben die Quelltexte jedoch vor zwei Wochen einen Flicken erhalten, der die Schwachstelle ausbessert.

Die meisten Webbrowser unterstützen FTP inzwischen nicht mehr, weshalb die Sichtbarkeit davon deutlich geringer wird. Eine Suche in der Shodan-Datenbank bringt jedoch eine noch sehr weite Verbreitung zum Vorschein.

Weiterlesen
  50 Aufrufe

heise-Angebot: iX-Workshop: Sicherer Betrieb von Windows 11 in Unternehmen

Der zweitägige Online-Workshop Windows 11 im Unternehmen absichern zeigt, wie Sie die Betriebssysteme Windows 11 Pro und Enterprise sicher im Unternehmensnetz betreiben. Dabei werden sowohl klassische On-Premise-Installationen von Windows 11 als auch hybride Modelle in Kombination mit Entra ID und Microsoft Endpoint Manager (Intune) berücksichtigt.

Anzeige

Anhand praktischer Demonstrationen typischer Bedrohungsszenarien lernen Sie Schwachstellen und die typischen Werkzeuge von Angreifern kennen und stellen diesen konkrete Härtungs- und Schutzmaßnahmen gegenüber. Microsoft bietet hierfür sinnvolle Sicherheitsfunktionen an, die jedoch nicht automatisch aktiv sind, sondern erst konfiguriert werden müssen. In diesem Workshop lernen Sie, wie Sie die Sicherheitsmechanismen und -tools einsetzen, um Ihre Systeme abzusichern. Dieser Workshop bietet viel Raum für Fragen und Austausch.

Dezember
10.-11.12.2024
Präsenz-Workshop in Stuttgart, 09:00 – 17:00 Uhr
Januar
22.-23.01.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 24. Dez. 2024

Referent Christian Biehler ist Experte für Informationsmanagement und IT-Sicherheit. Seine Themenschwerpunkte sind die Sicherheit von Netzwerken und Anwendungen sowohl in klassischen On-Premise-Umgebungen als auch im hybriden Windows-Umfeld.

Weiterlesen
  0 Aufrufe

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image