Montag, 26. Juli 2021

Security - Amass (Automated Attack Surface Mapping)

Amass ist ein vielseitiges Cybersicherheitstool zum Sammeln von Informationen über Internet-Domains. Amass fragt z.B. Suchmaschinen an, untersucht SSL-Zertifikate und sendet Reverse-DNS-Anfragen an die jeweilige Domain. So lassen sich z.B. vergessene Server aufspüren und gezielt angreifen.

Eine Installation mit Hilfe von Docker, ist sehr schnell möglich:

sudo docker build -t amass https://github.com/OWASP/Amass.git

Hinweis: Docker muss natürlich installiert sein (sudo apt install docker.io) und der Docker Daemon muss gestartet sein (sudo dockerd) "Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running?". Siehe auch https://sebastianhemel.blogspot.com/2020/12/raspberry-pi-docker-installieren-arm.html .

Andere Installationsmöglichkeiten finden sich unter: https://github.com/OWASP/Amass/blob/master/doc/install.md

Zu dem ist Amass auch Bestandteil von Kali Linux einer Linux-Distribution (Debian basierend), die eine Sammlung von Tools für Penetrationstests und digitale Forensik umfasst. Siehe auch https://gitlab.com/kalilinux/packages/amass/blob/kali/master/doc/user_guide.md.

Das Ausführen über das Docker-Image ist relativ einfach und so kann man z.B. mit dem folgenden Befehl alle Subdomains einer bestimmten Domain herausfinden.

sudo docker run -v ~:/.config/amass/ amass enum -ip -d shemel.de

Amass verfügt über folgende Unterbefehle:

  • amass intel -- Discover targets for enumerations
  • amass enum -- Perform enumerations and network mapping
  • amass viz -- Visualize enumeration results
  • amass track -- Track differences between enumerations
  • amass db -- Manipulate the Amass graph database

Weitere Informationen und Beispiele finden sich hier:

 

Samstag, 10. Juli 2021

Agile - Framework OKR (Objectives and Key Results)

Im agilen Framework OKR (Objectives and Key Results) zur Strategieumsetzung dauern Zyklen ca. 3 Monate. Es hilft dabei Organisationen, sich an Wirkungszielen auszurichten und sich auf diese zu fokussieren.


Wichtig, für den o.g. Zeitraum müssen die Ziele auch beschreiben werden, damit das Unternehmen diese in den Fokus stellen kann. Zudem spielt die Frage WHY (Warum und wofür ist es wichtig?) eine zentrale und erinnert sehr stark an den golden circle von Simon Sinek .

Folgende Regeln sind zu beachten und erinnern dabei stark an die Werte & Prinzipien von Scrum :

  • Maximal vier Objectives (entspricht den Zielen) mit maximal je vier Key Results (klare, zeitlich begrenzte und messbare Vorgaben, wie die Ziele erreicht werden können) pro Team.


Sehr hilfreich um OKR zu verstehen, ist das folgende Video "Why the secret to success is setting the right goals von John Doerr" einem ehemaligen Mitarbeiter von Andy Grove dem Mitbegründer der Firma Intel, welcher die Idee zu Objectives and Key Results hatte,


Zum Schluss noch eines meiner agilen Lieblingszitate:

"It does not make sense to hire smart people and then tell them what to do. We hire smart people to tell us what to do." (Steve Jobs)

Freitag, 9. Juli 2021

Web Browser - Anonymität im Internet (Canvas Fingerprinting), Schutz gegen Tracking

Welche Informationen eine Webseite sammeln kann und was man dagegen tun kann, beschreibe ich in diesem Beitrag. In den Standardeinstellungen blockt z.B. der Raspberry Pi mit Pi-hole vorwiegend Tracking- und Adserver (Raspberry Pi-hole - Installation). Pauschal kann ich vorab jedem nur empfehlen zumindest Pi-hole zu verwenden.

Welche Informationen eine Website mit Hilfe von Browserinformationen sammeln kann, zeigt die Webseite www.browserleaks.com. Hier findet sich eine Auswahl von Testtools für Webtechnologien, die zeigen welche persönlichen Identitätsdaten durchsickern können und wie man sich davor schützen kann.

Ein Schutz gegen Tracking kann man durch die folgenden Maßnahmen erreichen:

  • Javascript deaktivieren, wenn nicht erforderlich (Erweiterung NoScript).
  • Temporary Containers Firefox Add-on - Webseiten können in "Wegwerf-Container" geöffnet werden, die die Daten isolieren und nach Gebrauch löschen. So kann man problemlos alle Cookies akzeptieren.
  • WebRTC (Web Real-Time Communication) ausschalten (about:config => media.peerconnection.enabled = false).
  • Brave Browser verwenden. Das Ziel des Browsers ist es, alles im Web zu blockieren was die Privatsphäre gefährdet.
  • Canvas Fingerprinting verhinden, mit Hilfe von CanvasBlocker.