Archive for: ‘Januar 2018’

Nach Java 8 Update 152 (oder neuer) reagiert IBM Notes 9.0.1 64-Bit auf Mac OSX nicht mehr

19. Januar 2018, 08:00 Erstellt von assonos Blog (108 clicks)

Das aktuelle Java 8 Update für Mac OSX führt dazu, dass der IBM Notes 9.0.1 Client nicht mehr auf Maus und Tastatureingaben reagiert und …

[DE] SPD, hör die Signale: Wir brauchen eine konstruktive Vision für eine digitale Gesellschaft!

19. Januar 2018, 07:26 Erstellt von Stefan Pfeiffer (41 clicks)

Wohl gebrüllt, Löwe. Sascha Lobo fordert die SPD auf, sich endlich dem Thema Technologie und digitale Gesellschaft zu widmen – und sich dort zu differenzieren. Das Dilemma der SPD und vieler Gewerkschafter und Betriebsräte fast er hier schön zusammen. Die SPD sollte doch die Partei der Arbeit sein – aber das Arbeitsbild der SPD stammt […]

Best Practice Video: Notes-Datenbanken individuell auswerten ohne neue Ansichten im Domino Designer

18. Januar 2018, 13:54 Erstellt von Lela Meiners (62 clicks)

Erfahrt in unserem heutigen Video, wie ihr vermeiden könnt, dass eure Notes-Datenbanken durch zu viele Ansichten immer unübersichtlicher werden und ihr trotzdem eine Vielzahl von Daten flexibel darstellen könnt.

In unserer langjä…

Best Practice Video: Notes-Datenbanken individuell auswerten ohne neue Ansichten im Domino Designer

18. Januar 2018, 13:54 Erstellt von Lela Meiners (56 clicks)

Erfahrt in unserem heutigen Video, wie ihr vermeiden könnt, dass eure Notes-Datenbanken durch zu viele Ansichten immer unübersichtlicher werden und ihr trotzdem eine Vielzahl von Daten flexibel darstellen könnt.

In unserer langjä…

[DE] Alexa, nicht nur Apple hat ein Problem …

18. Januar 2018, 07:46 Erstellt von Stefan Pfeiffer (42 clicks)

Das Thema Amazon Alexa beschäftigt mich schon geraume Zeit hier im Blog oder auch unter Unternehmensaspekten auf CIOKurator. Sascha Lobo prangert die Herausforderungen auf Spiegel Online an. Und jetzt bringt der Stern diesen Bericht unter der Überschrift: „Warum Alexas Übermacht Apple vor echte Probleme stellt“ Apple verpasst den AnschlussObwohl der Konzern mit Siri die Sprachsteuerung […]

Unsere neue Homepage

17. Januar 2018, 08:21 Erstellt von Henning Schmidt (69 clicks)

Nach monatelanger Arbeit am Konzept, am Design und am Inhalt, vielen Besprechungen und Arbeitssitzungen, Videodrehs und Korrekturläufen, haben wir am vergangenen Montag endlich unsere neue Homepage live geschaltet. Uns gefällt sie ausgesprochen gut und ich hoffe Euch und Ihnen auch. Feedback und Anregungen sind herzlich Willkommen in Form von Kommentaren auf diesen Blogeintrag, einer Email, […]

[DE] Wider dem Schwachsinn vom E-Mail-Verbot über Nacht und Wochenende

17. Januar 2018, 08:13 Erstellt von Stefan Pfeiffer (46 clicks)

Kommentar & Meinung: Nein, es geht hier sicher nicht um Betriebsrat-Bashing. Es gibt viele innovative Betriebsräte, aber es gibt auch die von gestern: Noch mehr Regeln! Neulich war in der FAZ zu lesen, dass der Porsche Betriebsrat die regelhafte Löschung von Emails fordert, die in der Freizeit versendet worden sind: „Mailkonten von Mitarbeitern sollten im […]

IBM Watson Talentmanagement Webcasts 2018

16. Januar 2018, 15:21 Erstellt von Albert Boxler, IBM (87 clicks)

Freuen Sie sich auf wertvolle Einblicke, wie Sie von künstlicher Intelligenz im HR-Umfeld profitieren, wie sich HR verändern wird als auch welche Anforderungen den Personalbeauftragten zukünftig erwarten.

Der Beitrag IBM Watson Talentmanagement Webcasts 2018 erschien zuerst auf DNUG.

Maersk und IBM bilden Joint Venture für Blockchain

16. Januar 2018, 15:02 Erstellt von IBM Press Releases - All Topics - Germany (86 clicks)

A.P. Moller – Maersk (MAERSKb.CO) und IBM (NYSE: IBM) gaben heute ihre Absicht bekannt, ein Joint Venture zu gründen. Ziel ist es, durch die Nutzung von Blockchain-Technologie effizientere und sicherere Methoden für den globalen Handel anzubieten.

Meltdown und Spectre: Der IT-Security-Supergau?

16. Januar 2018, 10:25 Erstellt von Heiko Brenn (103 clicks)

Sicherheitsforscher haben vor einigen Tagen die wohl größte Sicherheitslücke der letzten Jahre öffentlich gemacht. Nahezu alle Prozessoren sind davon betroffen und die IT-Welt steht Kopf. Die Attacken “Meltdown” und “Spectre” ermöglichen es, geheime Daten wie Zugangskennungen und Passwörter aus beliebigen Speicherbereichen auszulesen. Welche Möglichkeiten Sie haben, darauf zu reagieren, lesen Sie im heutigen Blogartikel.

Der Beitrag Meltdown und Spectre: Der IT-Security-Supergau? erschien zuerst auf GBS – Der Blog rund um Security, Collaboration & Co.

IBM kündigt das #domino2025 Online-Forum an

15. Januar 2018, 18:02 Erstellt von Manfred Dillmann (108 clicks)

IBM stellt vom 16. – 18. Januar das #domino2025 Forum online, in welchem Anwender, Administratoren, Entwickler und sonstige Interessenten die Zukunft von IBM Notes Domino mitgestalten können.   #domino2025 Online Forum   Das #domino2025 Online Forum findet vom 16. Januar 15:00 Uhr CET bis zum 18. Januar 2018 22:00 Uhr CET statt – das sind […]

The post IBM kündigt das #domino2025 Online-Forum an appeared first on madicon.de – Ingenieurbüro Manfred Dillmann.

IBM Domino Server (HTTP) gegen ROBOT-Attack absichern

14. Januar 2018, 20:59 Erstellt von www.madicon.net Blog Feed (9 clicks)

Obgleich Informationen zur ROBOT-Attack schon Mitte Dezember 2017 veröffentlicht wurden, hat IBM bis jetzt noch keinen Fix zur Absicherung des HTTP-Tasks geliefert. Sie können
Ihren IBM Domino Server aber gegen solche Angriffe schützen.

 

Um was geht es bei ROBOT-Attack?

Auf heise Security gibt es einen interessanten Artikel mit Hintergrundinformationen zur ROBOT-Attack
(Return of Bleichenbacher’s Oracle Thread).

 

Zitat:

Damit die ROBOT-Attacke klappt, muss ein Server wie im damaligen Angriffsszenario TLS in Verbindung mit RSA-Verschlüsselung beim Schlüsselaustausch inklusive PKCS #1 1.5 einsetzen. Ist das
der Fall, könnten Angreifer die Bleichenbacher-Schwachstelle ausnutzen und den Session Key via Brute-Force-Attacke erraten. Ist dies erfolgreich, kann man mitgeschnittenen Traffic entschlüsseln.
Der private Schlüssel ist nicht gefährdet.

 

Setzt ein Server ausschließlich auf RSA, ist die Attacke desaströs. Heutzutage sollte das aber eigentlich nicht mehr der Fall sein. Für den Schlüsselaustausch sollte Diffie Hellman auf
elliptischen Kurven (ECDH) zum Einsatz kommen. Oft ist RSA jedoch noch als Fallback auf Servern aktiv. Kommt Forward Secrecy zum Einsatz, ist eine ROBOT-Attacke den Sicherheitsforschern zufolge
immer noch vorstellbar, aber schwieriger auszuführen.

 

Ist mein IBM Domino Server von der ROBOT-Attack betroffen?

Wenn Ihr Domino Server direkt vom Internet aus
erreichbar ist und mit der Standard-Konfiguraton läuft, ist dies wahrscheinlich der Fall. Ich habe meinen IBM Dominno Server (mobil.madicon.de) wie folgt überprüft.

 

robotattack.org

Unter https://robotattack.org können Sie durch die Eingabe der URL Ihren IBM Domino Server auf eine mögliche
Verwundbarkeit testen.

 

Dies ist das Ergebnis meines IBM Domino Servers mit der Standard-Konfiguration.

 

Qualys SSL Server Test

Auch Qualys liefert (neben vielen weiteren wichtigen Informationen zu Ihrem Zertifikat) mit dem SSL Server Test eine Aussage zur möglichen Verbundbarkeit Ihres IBM Domino Servers.

 

 

Dies ist das Ergebnis von Qualys für meinen IBM Domino Servers mit der Standard-Konfiguration. Interessant ist auch der Hinweis, dass ungeschütze Webserver ab Februar 2018 nur noch einen Grade
„F“ erhalten werden.

 

Lösungsansatz

Solange IBM noch keinen Fix geliefert hat, müssen Sie selbst aktiv werden. Im Heise Security Artikel wird
folgender Workaround empfohlen.

 

Wer Technik einsetzt die anfällig ist und für die keine Patches verfügbar sind, sollte die RSA-Verschlüsselung deaktivieren. Darunter fallen alle Ciphers mit der Bezeichnung TLS_RSA.

 

Lösung für den IBM Domino Server

Seit IBM Domino 9.0.1 FP5 können die vom IBM Domino Server zu verwendeten Cipher
durch einen NOTES.INI Eintrag auf dem IBM Domino Server gesteuert werden.

 

Welche Cipher nutzt der IBM Domino Server in der Standard-Konfiguration?

Der IBM Domino Server ab Version 9.0.1 FP5 nutzt für TLS 1.2 folgende Default Cipher List:

  1. ECDHE_RSA_WITH_AES_256_GCM_SHA384 (C030)
  2. DHE_RSA_WITH_AES_256_GCM_SHA384 (009F)
  3. ECDHE_RSA_WITH_AES_128_GCM_SHA256 (C02F)
  4. DHE_RSA_WITH_AES_128_GCM_SHA256 (009E)
  5. ECDHE_RSA_WITH_AES_256_CBC_SHA384 (C028)
  6. DHE_RSA_WITH_AES_256_CBC_SHA256 (006B)
  7. ECDHE_RSA_WITH_AES_256_CBC_SHA (C014)
  8. DHE_RSA_WITH_AES_256_CBC_SHA (0039)
  9. ECDHE_RSA_WITH_AES_128_CBC_SHA256 (C027)
  10. DHE_RSA_WITH_AES_128_CBC_SHA256 (0067)
  11. ECDHE_RSA_WITH_AES_128_CBC_SHA (C013)
  12. RSA_WITH_AES_256_GCM_SHA384 (009D)
  13. RSA_WITH_AES_128_GCM_SHA256 (009C)
  14. RSA_WITH_AES_256_CBC_SHA256 (003D)
  15. RSA_WITH_AES_256_CBC_SHA (0035)
  16. RSA_WITH_AES_128_CBC_SHA256 (003C)
  17. RSA_WITH_AES_128_CBC_SHA (002F)
  18. RSA_WITH_3DES_EDE_CBC_SHA (000A)

Entsprechend der Empfehlung von Heise Security (siehe oben) sollen die mit RSA_ beginnenden Cipher entfernt werden. Sie können die vom IBM Domino Server genutzen Cipher durch einen Eintrag in der
Datei NOTES.INI selbst steuern und Ihren Domino Server so gegen die ROBOT-Attack schützen.

 

Festlegung der gewünschten Cipher in der NOTES.INI des IBM Domino Servers

Ab IBM Domino Version 9.0.1 FP5 können die gewünschten Cipher durch die NOTES.INI-Variable

 

SSLCipherSpec=…

 

gesetzt werden. Die gewünschten Cipher (= der Hex-Code in den runden Klammern) werden immer 4-stellig (inkl. führender Nullen) direkt hintereinander angegeben. Zur Nutzung der oben gelisteten
Cipher 1 bis 11 geben Sie folgenden Befehl an der Domino Konsole ein:

 

set config SSLCipherSpec=C030009FC02F009EC028006BC0140039C0270067C013

 

Der Eintrag wird sofort in die Datei NOTES.INI übernommen. Damit die neuen Cipher auch wirksam werden, muss der HTTP-Task neu gestartet werden.

 

tell http restart

 

Die Wirksamkeit des NOTES.INI Eintrages sollte während des Neustarts des HTTP-Taks durch folgende Konsolenmeldung bestätigt werden.

 

SSLCipherSpec setting in notes.ini file will override settings from Domino Directory

 

Fazit

Mit den obigen Einstellung ist mein IBM Domino Server nun offensichtlich gegen die ROBOT-Attack geschützt.

 

 

Ältere Clients haben ein Problem, wenn sie weder DHE (Diffie Hellman key exchange) noch ECDHE (Elliptic Curve
Diffie Hellman key exchange) Verschlüsselung untersützen. Der Anteil dürfte aber heute gering sein. Moderne TLS Verbindungen nutzen DHE/ECDHE
und benötigen RSA nur für Signaturen.

 

Und wie immer gilt: Sicherheit geht vor!

IBM Domino Server (HTTP) gegen ROBOT-Attack absichern

14. Januar 2018, 20:59 Erstellt von www.madicon.de Blog Feed (10 clicks)

Obgleich Informationen zur ROBOT-Attack schon Mitte Dezember 2017 veröffentlicht wurden, hat IBM bis jetzt noch keinen Fix zur Absicherung des HTTP-Tasks geliefert. Sie können
Ihren IBM Domino Server aber gegen solche Angriffe schützen.

 

Um was geht es bei ROBOT-Attack?

Auf heise Security gibt es einen interessanten Artikel mit Hintergrundinformationen zur ROBOT-Attack
(Return of Bleichenbacher’s Oracle Thread).

 

Zitat:

Damit die ROBOT-Attacke klappt, muss ein Server wie im damaligen Angriffsszenario TLS in Verbindung mit RSA-Verschlüsselung beim Schlüsselaustausch inklusive PKCS #1 1.5 einsetzen. Ist das
der Fall, könnten Angreifer die Bleichenbacher-Schwachstelle ausnutzen und den Session Key via Brute-Force-Attacke erraten. Ist dies erfolgreich, kann man mitgeschnittenen Traffic entschlüsseln.
Der private Schlüssel ist nicht gefährdet.

 

Setzt ein Server ausschließlich auf RSA, ist die Attacke desaströs. Heutzutage sollte das aber eigentlich nicht mehr der Fall sein. Für den Schlüsselaustausch sollte Diffie Hellman auf
elliptischen Kurven (ECDH) zum Einsatz kommen. Oft ist RSA jedoch noch als Fallback auf Servern aktiv. Kommt Forward Secrecy zum Einsatz, ist eine ROBOT-Attacke den Sicherheitsforschern zufolge
immer noch vorstellbar, aber schwieriger auszuführen.

 

Ist mein IBM Domino Server von der ROBOT-Attack betroffen?

Wenn Ihr Domino Server direkt vom Internet aus
erreichbar ist und mit der Standard-Konfiguraton läuft, ist dies wahrscheinlich der Fall. Ich habe meinen IBM Dominno Server (mobil.madicon.de) wie folgt überprüft.

 

robotattack.org

Unter https://robotattack.org können Sie durch die Eingabe der URL Ihren IBM Domino Server auf eine mögliche
Verwundbarkeit testen.

 

Dies ist das Ergebnis meines IBM Domino Servers mit der Standard-Konfiguration.

 

Qualys SSL Server Test

Auch Qualys liefert (neben vielen weiteren wichtigen Informationen zu Ihrem Zertifikat) mit dem SSL Server Test eine Aussage zur möglichen Verbundbarkeit Ihres IBM Domino Servers.

 

 

Dies ist das Ergebnis von Qualys für meinen IBM Domino Servers mit der Standard-Konfiguration. Interessant ist auch der Hinweis, dass ungeschütze Webserver ab Februar 2018 nur noch einen Grade
„F“ erhalten werden.

 

Lösungsansatz

Solange IBM noch keinen Fix geliefert hat, müssen Sie selbst aktiv werden. Im Heise Security Artikel wird
folgender Workaround empfohlen.

 

Wer Technik einsetzt die anfällig ist und für die keine Patches verfügbar sind, sollte die RSA-Verschlüsselung deaktivieren. Darunter fallen alle Ciphers mit der Bezeichnung TLS_RSA.

 

Lösung für den IBM Domino Server

Seit IBM Domino 9.0.1 FP5 können die vom IBM Domino Server zu verwendeten Cipher
durch einen NOTES.INI Eintrag auf dem IBM Domino Server gesteuert werden.

 

Welche Cipher nutzt der IBM Domino Server in der Standard-Konfiguration?

Der IBM Domino Server ab Version 9.0.1 FP5 nutzt für TLS 1.2 folgende Default Cipher List:

  1. ECDHE_RSA_WITH_AES_256_GCM_SHA384 (C030)
  2. DHE_RSA_WITH_AES_256_GCM_SHA384 (009F)
  3. ECDHE_RSA_WITH_AES_128_GCM_SHA256 (C02F)
  4. DHE_RSA_WITH_AES_128_GCM_SHA256 (009E)
  5. ECDHE_RSA_WITH_AES_256_CBC_SHA384 (C028)
  6. DHE_RSA_WITH_AES_256_CBC_SHA256 (006B)
  7. ECDHE_RSA_WITH_AES_256_CBC_SHA (C014)
  8. DHE_RSA_WITH_AES_256_CBC_SHA (0039)
  9. ECDHE_RSA_WITH_AES_128_CBC_SHA256 (C027)
  10. DHE_RSA_WITH_AES_128_CBC_SHA256 (0067)
  11. ECDHE_RSA_WITH_AES_128_CBC_SHA (C013)
  12. RSA_WITH_AES_256_GCM_SHA384 (009D)
  13. RSA_WITH_AES_128_GCM_SHA256 (009C)
  14. RSA_WITH_AES_256_CBC_SHA256 (003D)
  15. RSA_WITH_AES_256_CBC_SHA (0035)
  16. RSA_WITH_AES_128_CBC_SHA256 (003C)
  17. RSA_WITH_AES_128_CBC_SHA (002F)
  18. RSA_WITH_3DES_EDE_CBC_SHA (000A)

Entsprechend der Empfehlung von Heise Security (siehe oben) sollen die mit RSA_ beginnenden Cipher entfernt werden. Sie können die vom IBM Domino Server genutzen Cipher durch einen Eintrag in der
Datei NOTES.INI selbst steuern und Ihren Domino Server so gegen die ROBOT-Attack schützen.

 

Festlegung der gewünschten Cipher in der NOTES.INI des IBM Domino Servers

Ab IBM Domino Version 9.0.1 FP5 können die gewünschten Cipher durch die NOTES.INI-Variable

 

SSLCipherSpec=…

 

gesetzt werden. Die gewünschten Cipher (= der Hex-Code in den runden Klammern) werden immer 4-stellig (inkl. führender Nullen) direkt hintereinander angegeben. Zur Nutzung der oben gelisteten
Cipher 1 bis 11 geben Sie folgenden Befehl an der Domino Konsole ein:

 

set config SSLCipherSpec=C030009FC02F009EC028006BC0140039C0270067C013

 

Der Eintrag wird sofort in die Datei NOTES.INI übernommen. Damit die neuen Cipher auch wirksam werden, muss der HTTP-Task neu gestartet werden.

 

tell http restart

 

Die Wirksamkeit des NOTES.INI Eintrages sollte während des Neustarts des HTTP-Taks durch folgende Konsolenmeldung bestätigt werden.

 

SSLCipherSpec setting in notes.ini file will override settings from Domino Directory

 

Fazit

Mit den obigen Einstellung ist mein IBM Domino Server nun offensichtlich gegen die ROBOT-Attack geschützt.

 

 

Ältere Clients haben ein Problem, wenn sie weder DHE (Diffie Hellman key exchange) noch ECDHE (Elliptic Curve
Diffie Hellman key exchange) Verschlüsselung untersützen. Der Anteil dürfte aber heute gering sein. Moderne TLS Verbindungen nutzen DHE/ECDHE
und benötigen RSA nur für Signaturen.

 

Und wie immer gilt: Sicherheit geht vor!

[DE] Mit Alexa erobert Amazon geräusch- und protestlos unser Heim – und platziert den omnipräsenten Dauerverkäufer

14. Januar 2018, 17:25 Erstellt von Stefan Pfeiffer (57 clicks)

Weihnachten 2017 markiert den Durchbruch der Stimme als Interface für die digitale Welt. Die Folgen werden so tiefgreifend sein wie beim Smartphone, … via Sprachsteuerung im Alltag: Ohne geht es nicht mehr – Kolumne Sascha Lobo bringt es in seiner Kolumne auf Spiegel Online auf den Punkt. Wir opfern einen weiteren Teil unserer Privatsphäre der […]

Die kommende Woche wird heiß: Domino 2025 Jams in Deutschland & Online-Forum

14. Januar 2018, 16:20 Erstellt von Peter Schütt, IBM (113 clicks)

Wie im letzten Jahr mehrfach gesagt, hat sich IBM in der neuen Partnerschaft mit HCL viel für die Produkte der Notes Domino-Familie (Verse, Notes, Domino, Sametime, usw.) vorgenommen. Dabei gilt es zunächst die Stoßrichtung der nächsten Jahre festzulegen. Das soll nicht heimlich geschehen, wie es bei Marktbegleitern üblich ist, sondern zusammen mit Ihnen – unseren […]

Der Beitrag Die kommende Woche wird heiß: Domino 2025 Jams in Deutschland & Online-Forum erschien zuerst auf DNUG.

What's hot