mysticfoxde
Goto Top

HPE - Gehackt über Office-365 E-Mailumgebung

Moin Zusammen,

so wie es aussieht hat es wohl neben Microsoft auch HPE erwischt. πŸ˜”

https://www.heise.de/news/Cybercrime-Hewlett-Packard-Enterprise-legt-Att ...

Und mein Bauchgefühl sagt mir, dass das ganze irgendwie damit zusammenhängt ...

https://www.heise.de/news/Cyber-Angreifer-erbeuten-E-Mails-von-Microsoft ...

... weil beide Vorfälle der SEC am selben Tag gemeldet wurden.

Gruss Alex

Content-Key: 81036931365

Url: https://administrator.de/contentid/81036931365

Printed on: February 26, 2024 at 15:02 o'clock

Member: Lochkartenstanzer
Lochkartenstanzer Jan 26, 2024 at 06:50:47 (UTC)
Goto Top
Member: MysticFoxDE
MysticFoxDE Jan 26, 2024 at 07:35:30 (UTC)
Goto Top
Moin @Lochkartenstanzer,


na ja, angesichts des folgenden ...

"dass die Angreifer wahrscheinlich seit Mai 2023 Zugriff auf die Office-365-E-Mailumgebung hatten. Die Attacke wurde erst im Dezember des gleichen Jahres entdeckt."

... und ...

"HPE gibt an, dass die Akteure Zugriff auf die Postfächer von einem kleinen Prozentsatz der Nutzer unter anderem aus den Bereichen Cybersicherheit und Go-to-Market hatten."

... würde ich eher ... 😱+πŸ™ˆ sagen. πŸ˜”

Gruss Alex
Member: Lochkartenstanzer
Lochkartenstanzer Jan 26, 2024 updated at 07:43:28 (UTC)
Goto Top
Zitat von @MysticFoxDE:

... Office-365-E-Mailumgebung ...
... den Bereichen Cybersicherheit ...

Ist immer herrlich diesen Witz zu hören/lesen.

Office 365 und Sicherheit (Security) passen nicht zusammen. Selbst Safety ist nicht immer gegeben.

lks
Member: MysticFoxDE
MysticFoxDE Jan 26, 2024 at 07:51:49 (UTC)
Goto Top
Moin @Lochkartenstanzer,

Ist immer herrlich diesen Witz zu hören/lesen.

Office 365 und Sicherheit (Security) passen nicht zusammen. Selbst Safety ist nicht immer gegeben.

dann zieh dir mal den rein. πŸ™ƒ

https://www.linkedin.com/feed/update/urn:li:activity:7155610763133374466 ...

Gruss Alex
Member: Lochkartenstanzer
Lochkartenstanzer Jan 26, 2024 updated at 07:55:00 (UTC)
Goto Top
Zitat von @MysticFoxDE:

Moin @Lochkartenstanzer,

Ist immer herrlich diesen Witz zu hören/lesen.

Office 365 und Sicherheit (Security) passen nicht zusammen. Selbst Safety ist nicht immer gegeben.

dann zieh dir mal den rein. πŸ™ƒ

https://www.linkedin.com/feed/update/urn:li:activity:7155610763133374466 ...


Ja ich weiß. Es gibt genug Deppen die das nicht verstehen.


lks
Member: StefanKittel
StefanKittel Jan 26, 2024 at 08:18:21 (UTC)
Goto Top
Moin,

dann möchte ich mal wissen wieviele Exchange-Postfächer weltweit bei KMUs kompromitiert sind die der Meidung sind, dass zwei mal im Jahr Windows-Updates und CUs und eine Firewall im Any-Any-Modus mit einfachen Kennwörter wäre sicher genung. Es gibt ca. 40.000 Exchange-Server weltweit. Alleine 16.000 in Deutschland laut Shodan.

Stefan
Member: Lochkartenstanzer
Lochkartenstanzer Jan 26, 2024 at 08:38:52 (UTC)
Goto Top
Zitat von @StefanKittel:

Moin,

dann möchte ich mal wissen wieviele Exchange-Postfächer weltweit bei KMUs kompromitiert sind die der Meidung sind, dass zwei mal im Jahr Windows-Updates und CUs und eine Firewall im Any-Any-Modus mit einfachen Kennwörter wäre sicher genung. Es gibt ca. 40.000 Exchange-Server weltweit. Alleine 16.000 in Deutschland laut Shodan.

Stefan

Das obengenannte schließt ja nicht aus daß die Onsite-Exchanges genauso anfällig sind.

Zum Einen neigen Monokulturen dazu, anfällig zu sein. Zum Anderen trägt dazu bei, daß jeder meint, daß es nicht allzu schwer ist ein Windows-Klickadmin zu sein.

Wie man es auch dreht und wendet. Es sind zu wenig "wissende" da, um das alles sicher zu betreiben.

lks
Mitglied: 10939953361
10939953361 Jan 26, 2024 at 08:56:10 (UTC)
Goto Top
Zitat von @StefanKittel:

Moin,

dann möchte ich mal wissen wieviele Exchange-Postfächer weltweit bei KMUs kompromitiert sind die der Meidung sind, dass zwei mal im Jahr Windows-Updates und CUs und eine Firewall im Any-Any-Modus mit einfachen Kennwörter wäre sicher genung. Es gibt ca. 40.000 Exchange-Server weltweit. Alleine 16.000 in Deutschland laut Shodan.

Stefan

Das hört sich nach einer erwachsenen Fragestellung an.

Selbst bei hohen und höchsten Anforderungen und deren minutiösen Umsetzung sollten 40k oder 16k Onpremise Exchange System-Verbünde in mindestens 99,9% der Fälle nicht die objektive Sicherheit einer gleichgroßen Anzahl 365er Instanzen erreichen die sicher konfiguriert und betrieben werden.
Member: Lochkartenstanzer
Lochkartenstanzer Jan 26, 2024 updated at 09:01:21 (UTC)
Goto Top
Zitat von @10939953361:
... die objektive Sicherheit einer gleichgroßen Anzahl 365er Instanzen erreichen die sicher konfiguriert und betrieben werden.

Guter Witz. Insbesondere wenn MS es sogar selbst nicht fertigbringt sowas sicher zu betreiben.

face-smile
Member: Lochkartenstanzer
Lochkartenstanzer Jan 26, 2024 at 09:07:40 (UTC)
Goto Top
Zitat von @10939953361:

Zitat von @Lochkartenstanzer:

Zitat von @10939953361:
... die objektive Sicherheit einer gleichgroßen Anzahl 365er Instanzen erreichen die sicher konfiguriert und betrieben werden.

Guter Witz. Insbesondere wenn MS es sogar selbst nicht fertigbringt sowas sicher zu betreiben.

face-smile

Natürlich ist die ganze Welt dumm und setzt auf Produkte die unsicher sind und im exklusiven administrator.de Forum wird der Stein der Weisen gehütet.
Die Welt ist so dumm, dass sie noch nicht mal mehr in der Lage ist, das zu erkennen.

Ich sage nicht daß die leute dumm sind. Sie gehen für Ihre "Geldgier" (oder Knausrigkeit, je nach perspektive9 Risiken ein, die nicht mehr abzuschätzen sind. Und daß es MS mehr um Geld statt um Sicherheit geht, ist ja schon lange bekannt.

lks
Member: erikro
erikro Jan 26, 2024 at 09:11:02 (UTC)
Goto Top
Moin,

Zitat von @Lochkartenstanzer:
Zum Einen neigen Monokulturen dazu, anfällig zu sein. Zum Anderen trägt dazu bei, daß jeder meint, daß es nicht allzu schwer ist ein Windows-Klickadmin zu sein.

Da hast Du vollkommen recht. Was mir in den letzten 30 Jahren - davon ca. 25 als Dienstleister - so alle untergekommen ist, ist erschreckend. Aber das ist ja die Strategie von MS. Alles klicki-bunti. Es wird suggeriert, dass es gaaaaaaaanz einfach ist, eine Domain oder gar einen Mailserver zu administrieren. Und dann hört und liest man allzu oft, wenn man mal den Kicki-Bunti-Admins einen Konsolenbefehl oder gar ein PS-Skript zumutet: "Mit der Konsole/Powershell kenne ich mich gar nicht aus." Aber Exchange administrieren. Das kann nur schief gehen.

Liebe Grüße

Erik
Member: Lochkartenstanzer
Lochkartenstanzer Jan 26, 2024 updated at 09:17:27 (UTC)
Goto Top
Zitat von @erikro:

... Aber Exchange administrieren. Das kann nur schief gehen.

Oder Office-365-Clouds. face-smile

lks

PS. Die Problematik ist eher, daß, eben weil Sicherheit viel Geld kostet und man keine direkten ROI im Quartalsbericht sieht, das sehr vernachlässigt wird und daher auch kaum Leute gedrillt werden, das wirklich ordenlich zu machen. Es gibt deutlich zu wenig Leute, die sowas ordentlich können und der Rest wurstelt sich halt mal so durch und hofft, daß es nicht Ihre Systeme trifft, sei es bei den Cloudhostern oder bei den On-Premise-Admins.
Member: erikro
erikro Jan 26, 2024 at 09:18:49 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @erikro:

... Aber Exchange administrieren. Das kann nur schief gehen.

Oder Office-365-Clouds. face-smile

lks

Die muss man doch nicht administrieren. face-wink

Mal im Ernst: Das Ding nervt nur rum. Wir haben seit Kurzem (wieder) Teams. Also müssen die Mails, die an das MS-Konto gehen, auf die Adresse, die auf dem on-prem Exchange liegen, weitergeleitet werden. Dazu musste ich vier Konfiguratoren öffnen, um das zu erreichen. Echt jetzt? Aber wenigstens alle schön bunt. face-wink
Member: Vision2015
Vision2015 Jan 26, 2024 at 09:19:45 (UTC)
Goto Top
Moin...
Zitat von @10939953361:

Zitat von @Lochkartenstanzer:

Zitat von @10939953361:

Zitat von @Lochkartenstanzer:

Zitat von @10939953361:
... die objektive Sicherheit einer gleichgroßen Anzahl 365er Instanzen erreichen die sicher konfiguriert und betrieben werden.

Guter Witz. Insbesondere wenn MS es sogar selbst nicht fertigbringt sowas sicher zu betreiben.

face-smile

Natürlich ist die ganze Welt dumm und setzt auf Produkte die unsicher sind und im exklusiven administrator.de Forum wird der Stein der Weisen gehütet.
Die Welt ist so dumm, dass sie noch nicht mal mehr in der Lage ist, das zu erkennen.

Ich sage nicht daß die leute dumm sind. Sie gehen für Ihre "Geldgier" (oder Knausrigkeit, je nach perspektive9 Risiken ein, die nicht mehr abzuschätzen sind. Und daß es MS mehr um Geld statt um Sicherheit geht, ist ja schon lange bekannt.

lks

Und Du kannst das natürlich nicht nur einschätzen, sondern auch fachlich alles umsetzen und arbeitest nicht nur unentgeltlich oder auch umsonst?
Und weil Du der Überflieger bist, der das alles erkannt hat und effizientere Wege kennt, bist du hier bei administrator.de und nicht in Hollywood?

Gleich kommt wieder jemand und behauptet, es wäre sogar teuerer und er will nachgerechnet haben.

Was auch immer das über z. B. Dich aussagt.

na ja... ist Freitag, aber was willst du uns den jetzt genau sagen?

Frank
Member: Lochkartenstanzer
Lochkartenstanzer Jan 26, 2024 at 09:23:39 (UTC)
Goto Top
Zitat von @10939953361:

Zitat von @Lochkartenstanzer:

Zitat von @10939953361:

Zitat von @Lochkartenstanzer:

Zitat von @10939953361:
... die objektive Sicherheit einer gleichgroßen Anzahl 365er Instanzen erreichen die sicher konfiguriert und betrieben werden.

Guter Witz. Insbesondere wenn MS es sogar selbst nicht fertigbringt sowas sicher zu betreiben.

face-smile

Natürlich ist die ganze Welt dumm und setzt auf Produkte die unsicher sind und im exklusiven administrator.de Forum wird der Stein der Weisen gehütet.
Die Welt ist so dumm, dass sie noch nicht mal mehr in der Lage ist, das zu erkennen.

Ich sage nicht daß die leute dumm sind. Sie gehen für Ihre "Geldgier" (oder Knausrigkeit, je nach perspektive9 Risiken ein, die nicht mehr abzuschätzen sind. Und daß es MS mehr um Geld statt um Sicherheit geht, ist ja schon lange bekannt.

lks

Und Du kannst das natürlich nicht nur einschätzen, sondern auch fachlich alles umsetzen und arbeitest nicht nur unentgeltlich oder auch umsonst?
Und weil Du der Überflieger bist, der das alles erkannt hat und effizientere Wege kennt, bist du hier bei administrator.de und nicht in Hollywood?

Gleich kommt wieder jemand und behauptet, es wäre sogar teuerer und er will nachgerechnet haben.

Was auch immer das über z. B. Dich aussagt.

Irgendwie hast Du es aber heute mit den persönlichen Angriffen. Fallen Dir keine sachlichen Argumente ein? Oder willst Du nur herumtrollen. Als jemand der seit 45 Jahren Erfahrung mit Computern und IT hat und davon einen Gutteil in der IT-Security (bei einen ISP und Hoster) verbracht hat, weiß ich, wovon ich rede, weil ich viel Müll gesehen und aufgeräumt habe.

lks
Member: MysticFoxDE
MysticFoxDE Jan 26, 2024 at 09:30:41 (UTC)
Goto Top
Moin @StefanKittel,

dann möchte ich mal wissen wieviele Exchange-Postfächer weltweit bei KMUs kompromitiert sind die der Meidung sind, dass zwei mal im Jahr Windows-Updates und CUs und eine Firewall im Any-Any-Modus mit einfachen Kennwörter wäre sicher genung. Es gibt ca. 40.000 Exchange-Server weltweit. Alleine 16.000 in Deutschland laut Shodan.

wenn ich mir den SPAM der gegen die SGW's unserer Kunden klatscht genauer anschaue, dann muss ich bei einem Großteil davon feststellen, dass dieser über gekaperte O365 Konten oder deren Google Gegenstücke kommt und nicht von OnPremise Systemen. πŸ˜”

Gruss Alex
Mitglied: 10939953361
10939953361 Jan 26, 2024 at 09:43:04 (UTC)
Goto Top
Zitat von @MysticFoxDE:

Moin @StefanKittel,

dann möchte ich mal wissen wieviele Exchange-Postfächer weltweit bei KMUs kompromitiert sind die der Meidung sind, dass zwei mal im Jahr Windows-Updates und CUs und eine Firewall im Any-Any-Modus mit einfachen Kennwörter wäre sicher genung. Es gibt ca. 40.000 Exchange-Server weltweit. Alleine 16.000 in Deutschland laut Shodan.

wenn ich mir den SPAM der gegen die SGW's unserer Kunden klatscht genauer anschaue, dann muss ich bei einem Großteil davon feststellen, dass dieser über gekaperte O365 Konten oder deren Google Gegenstücke kommt und nicht von OnPremise Systemen. πŸ˜”

Gruss Alex

Das wiederspricht jeglicher Statistik. Auch proportional ist das schlicht unwahr.

Heute kamen mehr als 22% des Spams aus Russland.
Russland, der Hort der MS365 und Google Workspace Hostings und Spammings.
Member: Visucius
Visucius Jan 26, 2024 at 09:56:25 (UTC)
Goto Top
"HPE gibt an, dass die Akteure Zugriff auf die Postfächer von einem kleinen Prozentsatz der Nutzer unter anderem aus den Bereichen Cybersicherheit und Go-to-Market hatten."

Genau mein Humor face-wink
Member: MysticFoxDE
MysticFoxDE Jan 26, 2024 at 10:20:06 (UTC)
Goto Top
Moin @10939953361,

Das wiederspricht jeglicher Statistik. Auch proportional ist das schlicht unwahr.

Massiver Beschuss von Exchange Online

Heute kamen mehr als 22% des Spams aus Russland.

Bei so gut wie allen unserer Kunden, werden sämtliche Verbindungen von und nach Russland, pauschal an deren SGW's gedroppt.

block bad stuff
πŸ˜‰

Gruss Alex
Member: MysticFoxDE
MysticFoxDE Jan 26, 2024 updated at 10:41:02 (UTC)
Goto Top
Moin @Visucius,

"HPE gibt an, dass die Akteure Zugriff auf die Postfächer von einem kleinen Prozentsatz der Nutzer unter anderem aus den Bereichen Cybersicherheit und Go-to-Market hatten."

Genau mein Humor face-wink

du hast da glaube ich noch etwas übersehen ...

"dass die Angreifer wahrscheinlich seit Mai 2023 Zugriff auf die Office-365-E-Mailumgebung hatten. Die Attacke wurde erst im Dezember des gleichen Jahres entdeckt." πŸ™ƒ

Gruss Alex

P.S. Wobei das "wahrscheinlich" eher dafür spricht, dass die Angreifer schon früher Zugriff hatten, HPE/Microsoft das aufgrund der fehlenden Logs aber nicht mehr nachvollziehen kann. πŸ˜”
Member: MysticFoxDE
MysticFoxDE Jan 26, 2024 updated at 12:02:13 (UTC)
Goto Top
Moin @10939953361,

Das bei dem Thema wieder ganz viel dummes Zeug erzählt wird von Spitzenpersonal.
(Mit 450 Jahren Berufserfahrung, weil 10 Kompetenzen über Kreuz liegen)

ähm, angesichts des folgenden Videos ...

https://www.hpe.com/us/en/discover-more-network/events/security.html?med ...

... und der Tatsache, das bei HPE die Mailaccounts des Marketings und vor allem der Security Abteilung hops genommen wurden, dürfen wir uns den Spass, meiner Ansicht nach mehr als nur erlauben.

Und wenn HPE mit der Kapazität und Kompetenz die diesem IT-Riesen zur Verfügung steht, es nicht schafft O365 sicher zu betreiben und über Monate eine Kompromittierung nicht mitbekommt, dann dürfen wir uns sehr wohl zusätzlich auch einen oder gleich mehrere, über die ja ach so hervorragende Wolken-Security von Microsoft noch dazu gönnen. 🍻

Gruss Alex
Member: MysticFoxDE
MysticFoxDE Jan 26, 2024 at 13:20:33 (UTC)
Goto Top
Moin Zusammen,

ich sehe gerade, dass G. Born auch schon einen interessanten Beitrag dazu geschrieben hat.
https://www.borncity.com/blog/2024/01/25/firma-hpe-von-midnight-blizzard ...

Gruss Alex
Member: Th0mKa
Th0mKa Jan 26, 2024 at 21:41:39 (UTC)
Goto Top
Zitat von @MysticFoxDE:

Moin Zusammen,

ich sehe gerade, dass G. Born auch schon einen interessanten Beitrag dazu geschrieben hat.
https://www.borncity.com/blog/2024/01/25/firma-hpe-von-midnight-blizzard ...

Gruss Alex

Naja, wenn ich mir den "Beitrag" so durchlese hat den höchstens ne KI geschrieben, oder er hat nen schlechten Online Translator über nen englischen Artikel laufen lassen.

/Thomas.
Member: MysticFoxDE
MysticFoxDE Jan 27, 2024 at 03:02:55 (UTC)
Goto Top
Moin @Th0mKa,

Naja, wenn ich mir den "Beitrag" so durchlese hat den höchstens ne KI geschrieben, oder er hat nen schlechten Online Translator über nen englischen Artikel laufen lassen.

ich finde den Artikel gar nicht mal so übel, den in diesem stecken Aussagen drin, die ich sehr interessant finde.

Schauen wir uns doch mal ein paar davon genauer an.

"Laut Mitteilung wurde Hewlett Packard Enterprise (HPE) zum 12. Dezember 2023 benachrichtigt, dass ein mutmaßlicher nationalstaatlicher Akteur, ..."

Das liest sich für mich so, als ob HPE das Problem nicht selber erkannt hat, sondern darüber von einem Dritten benachrichtigt wurde und mein Bauchgefühl sagt mir, dass derjenige wahrscheinlich Microsoft gewesen ist, die übrigens wie schon angesprochen, am selben Tag auch einen Hack derer O365 Umgebung gemeldet haben. πŸ™ƒ

Nun die folgende Aussage bitte kurz im Kopf behalten ...

"Auf der Grundlage unserer Untersuchung glauben die Verantwortlichen nun, dass der Bedrohungsakteur ab Mai 2023 auf Daten in einem kleinen Prozentsatz der HPE-Postfächer zugegriffen und diese exfiltriert hat."

... und jetzt dieses dazu ...

"HPE geht inzwischen davon aus, dass dieser Vorfall wahrscheinlich mit früheren Aktivitäten dieses Bedrohungsakteurs zusammenhängt, über die das Unternehmen bereits im Juni 2023 informiert wurde. Damals konnten Angreifer im Mai 2023, bei einem unbefugten Zugriff auf SharePoint-Server. eine begrenzte Anzahl von Dateien abziehen. Nach der Benachrichtigung im Juni 2023 wurden sofort mit Unterstützung externer Cybersicherheitsexperten Nachforschungen angestellt und Eindämmungs- und Abhilfemaßnahmen ergriffen, um die Aktivität zu beseitigen. Nachdem diese Maßnahmen ergriffen wurden, stellten die Spezialisten fest, dass diese Aktivitäten keine wesentlichen Auswirkungen auf das Unternehmen hatten."

... sprich, genaugenommen hat HPE schon im Juni 2023 von einem "Incident" erfahren der auch bis Mai 2023 zurückverfolgt werden konnte und ebenfalls O365 (SharePoint) betraf und der angeblich vollständig und ohne jegliche Schaden behoben wurde, weshalb auch damals niemand darüber informiert wurde. πŸ™ƒ

Und der Günter ist nicht der einzige der das so schreibt auch der Marc Stöckel hat das so ähnlich in seinem Artikel bei Golem geschrieben.

https://www.golem.de/news/hp-enterprise-ein-weiterer-it-konzern-beklagt- ...

"Auf Basis bisheriger Ermittlungen geht HPE davon aus, dass der Angriff mit früheren böswilligen Aktivitäten der gleichen Hackergruppe zusammenhängt, über die das Unternehmen wohl schon im Juni 2023 informiert wurde. Im vorherigen Monat Mai sei es dabei zu unbefugten Zugriffen auf eine begrenzte Anzahl von Sharepoint-Dateien gekommen. Den Angriff habe HPE damals jedoch eindämmen und im Anschluss keine wesentlichen Auswirkungen auf das Unternehmen feststellen können."

πŸ˜”

Gruss Alex
Member: radiogugu
radiogugu Jan 27, 2024 at 09:28:03 (UTC)
Goto Top
Ich hätte da auch als Presseabteilung eher das Motto "Tue Gutes und sprich darüber" für mich entsprechend ausgelegt und mitgeteilt, dass gehackt wurde und dass die ergriffenen Maßnahmen zur vollständigen Rückkehr zur Normalität geführt hatten.

Damit hätten Kund*innen durchaus ein positives Bild im Bereich IT- und Kommunikations-Kompetenz von HPE gewinnen können.

So kommt schnell der Verdacht der unternommenen Verschleierung zu Tage face-sad

Gruß
Marc
Member: MysticFoxDE
MysticFoxDE Jan 27, 2024 at 09:45:43 (UTC)
Goto Top
Moin @radiogugu,

So kommt schnell der Verdacht der unternommenen Verschleierung zu Tage face-sad

das machen die meiner Ansicht nach auch, weil die bei dem Thema Cloud und Abo-Abzocke, eh alle unter derselben Decke stecken. πŸ˜”

Gruss Alex
Member: Lochkartenstanzer
Lochkartenstanzer Jan 27, 2024 updated at 11:10:50 (UTC)
Goto Top
Hier noch ein lesenswerter Rant (in Englisch) zu diesem Thema: https://www.linkedin.com/pulse/microsofts-dangerous-addiction-security-r ...

Insbesondere der Part in dem Microsoft seine (kostenpflichtigen) Security-Produkte empfiehlt, wirft kein schönes Licht auf MS. Die sagen damit nur, daß ihre Standard-Produkte nicht sicher zu betreiben sind. face-smile

lks
Member: radiogugu
radiogugu Jan 27, 2024 at 11:31:36 (UTC)
Goto Top
Zitat von @MysticFoxDE:
Moin @radiogugu,

So kommt schnell der Verdacht der unternommenen Verschleierung zu Tage face-sad

das machen die meiner Ansicht nach auch, weil die bei dem Thema Cloud und Abo-Abzocke, eh alle unter derselben Decke stecken. πŸ˜”

Gruss Alex

Keine Einwände euer Ehren.

Gruß
Marc
Member: radiogugu
radiogugu Jan 27, 2024 at 11:32:54 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:
Insbesondere der Part in dem Microsoft seine (kostenpflichtigen) Security-Produkte empfiehlt, wirft kein schönes Licht auf MS. Die sagen damit nur, daß ihre Standard-Produkte nicht sicher zu betreiben sind.

Und das ohne rot zu werden oder in irgendeiner Weise sich in ihrer Verantwortung zu sehen diesen Umstand zu ändern.

Gruß
Marc
Member: Lochkartenstanzer
Lochkartenstanzer Jan 28, 2024 at 07:10:24 (UTC)
Goto Top
Zitat von @10939953361:

Heute kamen mehr als 22% des Spams aus Russland.
Russland, der Hort der MS365 und Google Workspace Hostings und Spammings.

Spams sind noch das geringste Übel. Und die westlichen Cloudserver werden nicht (nur) angegriffen um spam zu verschicken, sondern um Daten und Kommunikation abzugreifen, sprich Spionage, sei es durch staatliche Institutionen, sei es durch organisiertes Verbrechen.
Member: MysticFoxDE
MysticFoxDE Jan 28, 2024 updated at 08:16:42 (UTC)
Goto Top
Moin @Lochkartenstanzer,

Spams sind noch das geringste Übel.

ja, daher blocken wir auf den SGW's unserer Kunden von "kritischen" Ländern auch alles und nicht nur SMTP.
Ist zwar etwas aufwendig, verkleinert jedoch deutlich die Angriffsfläche.

Und die westlichen Cloudserver werden nicht (nur) angegriffen um spam zu verschicken, sondern um Daten und Kommunikation abzugreifen, sprich Spionage, sei es durch staatliche Institutionen, sei es durch organisiertes Verbrechen.

Tja, das Internet ist eben keine reine Spielwiese auch wenn die gossen IT-Konzerne uns das gerne anders verkaufen würden. Und die meisten derer Spielzeuge die diese dafür entwickeln, sind auch alles andere als ungefährlich, vor allen solche, die sich in irgendwelchen Wolken befinden und die wir fleissig mit unserer Daten füttern sollen. πŸ˜”

Gruss Alex
Mitglied: 10939953361
10939953361 Jan 28, 2024 at 08:45:50 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @10939953361:

Heute kamen mehr als 22% des Spams aus Russland.
Russland, der Hort der MS365 und Google Workspace Hostings und Spammings.

Spams sind noch das geringste Übel. Und die westlichen Cloudserver werden nicht (nur) angegriffen um spam zu verschicken, sondern um Daten und Kommunikation abzugreifen, sprich Spionage, sei es durch staatliche Institutionen, sei es durch organisiertes Verbrechen.

Dir ist schon klar, dass man in der Regel von einem gekaperten GCP oder Azure System eine nennenswerten Anzahl oder gar keine Mails versenden kann?
Mitglied: 10939953361
10939953361 Jan 28, 2024 updated at 08:50:34 (UTC)
Goto Top
Zitat von @MysticFoxDE:

Moin @Lochkartenstanzer,

Spams sind noch das geringste Übel.

ja, daher blocken wir auf den SGW's unserer Kunden von "kritischen" Ländern auch alles und nicht nur SMTP.
Ist zwar etwas aufwendig, verkleinert jedoch deutlich die Angriffsfläche.

In erster Linie ist das Schwachsinn. Ich kann mich an keinen Fall der letzten 10 Jahre erinnern, an den nicht Proxys benutzt wurden für die Schweinereien.
Hier scheint völlig Unkenntnis drüber zu herrschen, wie neudeutsch "Advanced Persistent Threat" ablaufen.
Member: Vision2015
Vision2015 Jan 28, 2024 at 09:04:17 (UTC)
Goto Top
Moin...
Zitat von @10939953361:

Zitat von @MysticFoxDE:

Moin @Lochkartenstanzer,

Spams sind noch das geringste Übel.

ja, daher blocken wir auf den SGW's unserer Kunden von "kritischen" Ländern auch alles und nicht nur SMTP.
Ist zwar etwas aufwendig, verkleinert jedoch deutlich die Angriffsfläche.

In erster Linie ist das Schwachsinn. Ich kann mich an keinen Fall der letzten 10 Jahre erinnern, an den nicht Proxys benutzt wurden für die Schweinereien.
Hier scheint völlig Unkenntnis drüber zu herrschen, wie neudeutsch "Advanced Persistent Threat" ablaufen.
na dann können wir ja froh sein, das wir dich im Forum haben face-smile
wenigstens einer der Ahnung hat!

Frank
Member: MysticFoxDE
MysticFoxDE Jan 28, 2024 at 09:32:19 (UTC)
Goto Top
Lieber @10939953361,

ich sag jetzt lieber nicht das was mir auf der Zuge liegt, sonst bekomme ich wieder Dresche wie neulich.
Daher versuche ich es etwas politisch korrekter. πŸ€ͺ

In erster Linie ist das Schwachsinn. Ich kann mich an keinen Fall der letzten 10 Jahre erinnern, an den nicht Proxys benutzt wurden für die Schweinereien.
Hier scheint völlig Unkenntnis drüber zu herrschen, wie neudeutsch "Advanced Persistent Threat" ablaufen.

wenn man den offensichtlichen Mühl gleich im Vorfeld aussortiert, dann kann sich IPS's, ATP, WAF, Proxy & Co auch viel effizienter um den Rest kümmern, daher habe ich auch bewusst nur "verkleinert jedoch deutlich die Angriffsfläche" und nicht "eliminiert die Angriffsfläche" geschrieben. πŸ˜‰

Gruss Alex
Member: MysticFoxDE
MysticFoxDE Jan 28, 2024 updated at 12:50:23 (UTC)
Goto Top
Moin @10939953361,

Mehr ist bei dir nicht drin?
Was hältst Du davon, dass wir einen Abstimmung machen und sich jeder in der Signatur zu erkennen gibt:

--
Ich bin ein IT-Schwurbler. Ich habe ein Problem mir [Cloud], weil ich es nicht besser weiß, daher erfinde ich irgendwas, in der Hoffnung das niemand bemerkt wie, wie bekloppt das ist, was ich erzähle.
Ich bin dagegen, weiß zwar nciht warum, aber zum verteidigen meines Standpunktes erfinde ich auch noch Screenshots.

--

ähm, als ein gerade mal vor vier Tagen hier geschlüpftes Küken, solltest du etwas vorsichtiger sein.
Die Meisten von uns älteren hier, machen das nicht nur aus Spass an der Freude, sondern deswegen weil wir unsere Erfahrung teilen möchten, damit mitunter auch die frisch geschlüpften IT-Küken, es nicht ganz so schwer im Leben haben obwohl sie schon alles zu wissen glauben, aber auch damit wir uns in dieser immer verrückter werdenden IT-Welt, etwas gegenseitig aushelfen.

Was meinst Du, warum sich hier so viele unausgewogene Charaktere tummeln und fast alle in die selbe richtig abgleitet?

Du weist aber schon, dass du damit vom Start gleich sehr viele "Freunde" hier hast?
By the way, "unausgewogene Charaktere" passt nicht wirklich zu "fast alle in die selbe richtig abgleitet", aber sei es drum.

Gruss Alex
Member: MysticFoxDE
MysticFoxDE Jan 28, 2024 updated at 10:22:47 (UTC)
Goto Top
Moin @10939953361,

Sag doch was Du denkst. Ich bin für offene Worte.

wenn du mich besser kennen würdest, dann wüsstest du, dass man mir das nicht extra sagen muss. πŸ˜‰

Dein offensichtlicher Müll ist 0KB, weil du wem auch immer hier was vormachen wolltest.
Mach gerne dir und allen anderen was vor, von mir aus auch hier. Bedenke aber, es gibt Leute die wissen wie bestimmte Themen funktionieren.

ja, es gibt Menschen die wissen wie bestimmte Dinge funktionieren, aber du bist es meiner Ansicht nach nicht,
zumindest nicht von dem von dir angesprochenem Thema.

Denn hättest du genauer hingesehen, dann hättest du vielleicht auch gemerkt, dass die Regel 50 eingehend sehr wohl 108,45 kB hat, hört sich zwar im ersten Augenblick und vor allem für Laien nach nicht viel an, aber, bei einer direkt beim Verbindungsaufbau gedroppten Verbindung, kommt normalerweise nicht viel Datendurchsatz zusammen . πŸ˜‰
Übrigens hinter den 108,45 KB stecken übrigens tausende Verbindungsversuche und zwar seit dem der Counter vor ein paar Tagen Resetet wurde.
Und wie du am folgenden Screenshot erkennen kannst, sind mittlerweile noch viele weitere dazugekommen.
xgs block from russia

Und dann kommen noch die tausenden Verbindungsversuche die gegen das VPN Interface & Co. der SGW selbst dagegenscheppern und auch geblockt aber nicht über diese Regel zu sehen sind, ebenfalls noch dazu. πŸ˜‰

Übrigens, mittlerweile werden dank dieser Dropregel, bei diesem Kunden nun deutlichst weniger Verbindungen gedroppt, als es noch am Anfang der Fall war, weil unter anderem auch die Crawler der Angreifer schon im Vorfeld pauschal weggeklatscht werden. 😁

Sprich, viel lernen du noch musst, (junger) Padawan.

Gruss Alex
Member: Lochkartenstanzer
Lochkartenstanzer Jan 28, 2024 updated at 10:29:13 (UTC)
Goto Top
Zitat von @10939953361:

Zitat von @Lochkartenstanzer:

Zitat von @10939953361:

Heute kamen mehr als 22% des Spams aus Russland.
Russland, der Hort der MS365 und Google Workspace Hostings und Spammings.

Spams sind noch das geringste Übel. Und die westlichen Cloudserver werden nicht (nur) angegriffen um spam zu verschicken, sondern um Daten und Kommunikation abzugreifen, sprich Spionage, sei es durch staatliche Institutionen, sei es durch organisiertes Verbrechen.

Dir ist schon klar, dass man in der Regel von einem gekaperten GCP oder Azure System eine nennenswerten Anzahl oder gar keine Mails versenden kann?

Sag ich doch.

PS: Es reicht reicht sehr wenige gezielte Mails zu schicken, um größeren Schaden anzurichten, als viele hunderttausene "viagra"-spams.
Member: MysticFoxDE
MysticFoxDE Jan 28, 2024 updated at 10:27:37 (UTC)
Goto Top
Moin @10939953361,

Deine Theorie:
Dir ist schon klar, dass man in der Regel von einem gekaperten GCP oder Azure System eine nennenswerten Anzahl oder gar keine Mails versenden kann?

Meine Praxis:
Massiver Beschuss von Exchange Online

Gruss Alex
Member: Vision2015
Vision2015 Jan 28, 2024 at 11:51:41 (UTC)
Goto Top
Moin..
Zitat von @10939953361:

Sag doch was Du denkst. Ich bin für offene Worte.
nun, wegen dir möchte ich nicht gesperrt werden....

Dein offensichtlicher Müll ist 0KB, weil du wem auch immer hier was vormachen wolltest.
Mach gerne dir und allen anderen was vor, von mir aus auch hier. Bedenke aber, es gibt Leute die wissen wie bestimmte Themen funktionieren.

ok... wenn du wieder schreiben darfst, dann zeig uns doch mal was du drauf hast, und lass uns an deinem wissen teilhaben!
vieleicht kannst du ja ein bisschen was, ohne rumprollen.
Frank