Posts Tagged: ‘Tipps & Tricks’

IBM Domino HTTP-Server gegen die ROBOT-Attacke absichern

8. Januar 2018 Posted by Oliver Regelmann

Mitte Dezember wurde öffentlich, dass eine im Grunde 19 Jahre alte Sicherheitslücke in TLS immer noch in zahlreichen HTTP-Servern existiert:

heise Security: ROBOT-Attacke: TLS-Angriff von 1998 funktioniert immer noch

Man kann seine(n) HTTPS-Server auf Verwundbarkeit testen, indem man die Checks von https://robotattack.org/ oder https://www.ssllabs.com/ssltest/ verwendet.

Für IBM Domino gab und gibt es bis zum jetzigen Zeitpunkt keinen direkten Fix. Man kann das Problem aber umgehen, indem man die Verwendung der verwundbaren RSA-Ciphers deaktiviert. Das geht seit 9.0.1 FP3 mit Hilfe des ini-Parameters SSLCipherSpec. Eine komplette Doku davon gibt es hier. Man muss die Default-Liste der unterstützten Ciphers anpassen, indem man den Parameter nur noch mit den gewollten Werten setzt und den HTTP neustartet.

Hiermit werden z.B. nur noch die DHE und ECDHE-Ciphers unterstützt und der Server ist nicht mehr für ROBOT anfällig (9.0.1 FP5 und höher vorausgesetzt):

set config SSLCipherSpec=C030009FC02F009EC028006BC0140039C0270067C013
restart task http

Das betrifft nur Domino-Server, die direkt aus dem Internet erreichbar sind, ohne z.B. eine Reverse Proxy davor.

Vorsicht geboten ist dann, wenn nicht ausgeschlossen werden kann, dass Clients auf den Server zugreifen, die weder DHE noch ECDHE unterstützen. Aber die sollte es heute eigentlich nicht mehr geben. Und wenn doch, ist das ein ganz eigenes Problem.

Der Beitrag IBM Domino HTTP-Server gegen die ROBOT-Attacke absichern erschien zuerst auf n-komm GmbH.

Information zur aktuellen Virenwelle „WannaCry“

16. Mai 2017 Posted by Alexander Kühn

Bestimmt haben Sie in den letzten Tagen in den Medien von dem weltweiten Hackerangriff auf verschiedene Systeme, wie unter anderem der Deutschen Bahn, gehört.
Gerne möchten wir Ihnen einen kurzen Überblick hierzu geben:

Es handelt sich hierbei um keinen gezielten „Hackerangriff“ sondern um einen sich selbstverbreitenden Wurm, der sich über eine Windows Schwachstelle über Remote Code Execution selbständig in Systeme einnistet und anschließend die Ransomware WannaCry (Verschlüsselungstrojaner) platziert.

Fakten:

  • Nutzt Schwachstelle in Windows Systemen MS17-010 / Diese Schwachstelle wurde bis Februar 2017 vom amerikanischen Geheimdienst NSA genutzt
  • Seit Februar´17 wurde in den NSA-Leaks Dokumenten darüber berichtet à Seit März gibt es bereits einen Windows Patch dafür (sogar für alte XP Maschinen)
  • Der VerschlüsselungsTrojaner „WannaCry“ wurde jetzt über diese bereits bekannte Schwachstelle verbreitet
  • Durch Reverse-Engineering Mechanismen konnte herausgefunden werden, dass die erste Variante sowas wie einen Totmann-schalter besaß. Heißt, vor Starten des Virus wurde abgefragt ob eine Webseite existiert
  • Erste „Viren-Welle“ konnte durch Registrieren einer solchen Seite eingedämmt werden. Momentan sind aber bereits Versionen im Umlauf die dieses Feature nicht mehr besitzen
  • Hauptsächlich gefährdet ist jeder Computer ohne aktuelle Updates. Dies betrifft aber vor allem Krankenhäuser / Industriesysteme. Generell alles Systeme die oft nach dem Motto „never touch a running system“ betreut werden.

Schutzmaßnahmen:

  • Automatische Windows Updates aktivieren à bei älteren XP Maschinen manuelles Update MS17-010 einspielen
  • Ein standardmäßiger Virenscanner schützt NICHT vor der Schwachstelle an sich, es kann Signaturbasiert evtl. nur das Ausführen bereits bekannter Virenarten blockieren.
  • ABER es gibt Anti-Malware Lösungen unserer Hersteller die bereits für solche Angriffe ausgelegt sind. Sollten keine Updates installiert sein und Viren ins System gelangen, dann kann dadurch der Virus sofort geblockt, oder falls nicht geblockt (weil noch unbekannt) dann zumindest die Verschlüsselung erkannt und gestoppt werden.
  • PatchManagement Lösungen anschaffen
  • Regelmäßige Backups
  • Security Konzept erstellen / überarbeiten => Security besteht nicht nur aus Produkten – es braucht Prozesse

Bei Fragen wenden Sie sich gerne an Herrn Benedikt Thudium Tel. 0721 35460-33

Der Beitrag Information zur aktuellen Virenwelle „WannaCry“ erschien zuerst auf n-komm GmbH.

Bluescreens nach dem Update auf das Windows 10 Creators Update

26. April 2017 Posted by Oliver Regelmann

Wir sind zum Glück bisher nicht selbst betroffen, aber einige Quellen im Netz berichten von Bluescreens beim Verwenden von IBM Notes 9.0.1 FP6 und höher, die nach dem Update auf das „Creators Update“ (Versoin 1703) von Windows 10 auftauchen. Der Bluescreen meldet den Fehler „Unexpected Kernel mode trap.“

Im Netz ist als Workaround der Tipp zu finden, in der Registry den Key

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notes.exe

zu löschen. Dieser war aber anscheinend teilweise gar nicht erst vorhanden. Es gibt wohl auch schon die zwei SPRs LHEYALMCEP und AYAVALMCJK dazu, aber die sind auf der öffentlichen Support-Seite von IBM im Moment nicht zu finden.

Während IBM und Microsoft jetzt Zuständigkeits-Ping-Pong spielen, würden wir empfehlen, den Rollout des Creators Update im WSUS vorerst zu blocken bzw. zumindest ausführlich zu testen.

Der Beitrag Bluescreens nach dem Update auf das Windows 10 Creators Update erschien zuerst auf n-komm GmbH.

IBM Connections 6.0 Reviewer’s Guide

7. April 2017 Posted by Oliver Regelmann

IBM hat den Reviewer’s Guide für Connections 6.0 veröffentlicht. Der Guide ist Pflichtlektüre für jeden, der sich vorab im Detail mit den Neuerungen des Releases beschäftigen möchte.

Der Beitrag IBM Connections 6.0 Reviewer’s Guide erschien zuerst auf n-komm GmbH.

Bußgeld für vergessenes BCC

30. Juni 2013 Posted by Oliver Regelmann

law blog:

Wegen Verstoßes gegen den Datenschutz erging jetzt ein Bußgeld gegen die Mitarbeiterin eines Handelsunternehmen. Die Frau hatte ein Rundschreiben an Kunden gerichtet.

…und dabei die Empfänger direkt adressiert, anstatt das BCC-Feld zu verwenden. Somit konnte jeder Empfänger die (personenbezogenen) Mail-Adressen aller anderen Adressaten lesen.

Prügelknabe E-Mail

7. Juni 2013 Posted by Oliver Regelmann

Jürgen Seeger in ix:

Forscher wollen herausgefunden haben, dass Angestellte in Unternehmen 20 Stunden pro Woche mit dem Bearbeiten von E-Mails verbringen. Also die Hälfte ihrer Arbeitszeit damit beschäftigt sind, E-Mails zu lesen, zu schreiben, zu sortieren, zu beantworten. Und zu löschen.

Noch eine Zahl: Nach jeder Mail benötigt man angeblich 64 Sekunden, um zur normalen Arbeit zurückzufinden. Das wären allein 100 Minuten pro Tag für Task-Wechsel.

[…]

Denn bei genauerem Hinsehen entpuppt sich ein großer Teil des E-Mail-Bashings als Ergebnis eigenen Unvermögens.

Interessant auch die weiteren Links zum Artikel. Darunter wird auch ein Trick beschrieben, den man in Notes ganz einfach durch Aktivieren der Option “Nur ungelesene anzeigen” nutzen kann. Die Idee ist, dass man sich selbst zur sofortigen Bearbeitung oder Ablage einer Mail zwingt, weil sie sonst aus dem Eingang verschwindet.

iNotes und Firefox 15

20. September 2012 Posted by Oliver Regelmann

Firefox 15 (und höher) unterbindet offenbar die Ausführung sogenannter signierter Skripte, was zu Problemen in iNotes 8.5.x führen kann. So lassen sich z.B. Mails und Besprechungseinladungen nicht mehr absenden, beim Klick auf den Button passiert überhaupt nichts.

Abhilfe schafft im Moment nur das Abschalten dieser Skripte auf Serverseite:

set config iNotes_WA_FirefoxSignedScript=0
restart task http

iNotes not working correctly with Firefox 15

Textbausteine für Lotus Notes

23. Mai 2012 Posted by Oliver Regelmann

Heutzutage sagt man wohl “Canned replies” dazu oder “Canned Responses”. Aber im Grund kennen wir das als Textbausteine: vorgefertigte Textschnipsel, die sich möglichst einfach in Dokumente einfügen lassen.

Und mit dem werbefinanzierten Tool “Canned Replies for Lotus Notes” kann man sich das in die Sidebar hängen und (formatierte) Texte per Doppelklick in Mails bzw. beliebige Notes-Dokumente einfügen.

MayFlower Software :: Canned Replies for Lotus Notes

Sind 25 Hops nicht mehr genug?

16. März 2012 Posted by Oliver Regelmann

Wenn eine Mail über insgesamt 25 Hops ging, nimmt Domino in der Standard-Einstellung an, dass sie sich in einem Routing-Loop befindet, und stellt dem Absender einen Zustellfehler zu. In der Regel ist das auch eine naheliegende Vermutung.

In den letzten Wochen haben uns aber mindestens zwei Meldungen erreicht, wonach Mails tatsächlich über 25 Server liefen (einfach zu erkennen an der Anzahl der “Received”-Einträge im Zustellfehler). Der 25. war dann dummerweise der Domino-Server, weswegen der Fehler zunächst mal dort vermutet wurde.

Schaute man sich den Zustellfehler aber genau an, konnte man erkennen, dass diese Mails tatsächlich recht verschlungene Wege zum Empfänger gingen. Ich weiß noch nicht, ob es sich dabei an irgendeiner Stelle im Verlauf um einen Konfigurationsfehler handelte, aber vielleicht hat auch die Komplexität der Mailsysteme mit Spamfiltern, Virenschutz, Ver- und Entschlüsselung etc. derart zugenommen, dass das auch für die Zukunft ein plausibles Szenario ist.

Es schadet also nicht, diesen Wert vielleicht auf 30 oder vierzig zu erhöhen. Bei Domino ist das im Konfigurationsdokument unter Router/SMTP –> Beschränkungen und Steuerungen –> Übertragung –> Maximale Anzahl von Hops.

Lotus Domino und der VMware Site Recovery Manager

2. November 2011 Posted by Oliver Regelmann

Bei VMware gibt es ein Whitepaper über die Nutzung des VMware Site Recovery Manager, um eine Hochverfügbarkeit von Domino-Servern zu gewährleisten:

Disaster Recovery for IBM Lotus Notes and Domino 8.5.1 Using VMware vCenter Site Recovery Manager

Neue Sommerzeitregelung in Russland

31. Oktober 2011 Posted by Oliver Regelmann

Man mag ja über den Wechsel von Sommer- zu Winterzeit denken was man will, unschön wird es dann, wenn sich die Regeln ändern. Und richtig hässlich kann das dann werden, wenn entsprechende Maßnahmen zu spät ergriffen werden.

Den Vorwurf muss man aktuell der IBM machen, die erst zwei, drei Tage vor der gestrigen Abschaffung der Sommerzeit in Russland darauf mit einem Interim Fix und Anpassungsagenten reagierte.

Infos dazu hier:

IBM Steps to prepare Notes/Domino for Russian Repeal of Daylight Saving Time 2011 – United States

und hier:

IBM Agents for updating calendar entries and resource reservations for Russian repeal of daylight saving time 2011 – United States

Einen Fix für Notes 8.5.2 FP3 gibt es hier: IBM Interim Fix 1 for Notes 8.5.2 Fix Pack 3 (852FP3IF1) – United States. Ältere Client-Versionen scheinen keinen Fix zu bekommen. 8.5.3 sollte es schon drin haben.

Sicherheitslücke im BES

15. August 2011 Posted by Oliver Regelmann

heise berichtet über eine neue Sicherheitslücke im Blackberry Enterprise Server:

heise online – Einbruch in BlackBerry-Server durch Bilder

Interessantes Detail aus der Technote:

To exploit these vulnerabilities in how the BlackBerry Messaging Agent processes PNG and TIFF images, an attacker would need to embed specially crafted PNG and TIFF images in an email message and send the message to the BlackBerry smartphone user. The user does not need to click a link or an image, or view the email message, for the attack to succeed in this scenario.

Eine simple, entsprechend vorbereitete Mail an irgendeinen Blackberry-Benutzer reicht, um Code auf einem Server auszuführen, der in der Regel ohne Firewall-Absicherung direkt im LAN hängt.

Zur Abwechslung ist dieses Mal nicht die PDF-Umsetzung betroffen. Ich frage mich, wie lange RIM noch das Image genießt, “sicherer” zu sein als Alternativen wie z.B. die iPhone-Anbindung mit Lotus Notes Traveler. Was bringen Endgeräte-Richtlinien, wenn mit einer Mail der Server kompromittiert werden kann?

Als Lösung gibt es einen Interim Fix von RIM bzw. das 5.0.3 MR3. Das allerdings hat so seine eigenen Probleme, wie wir schon erfahren mussten.

Gruppennamen in Notes Domino

27. Juli 2011 Posted by Oliver Regelmann

Wer sich schon immer gefragt hat, wie man Domino-Gruppen eigentlich benennen darf, findet hier die Antwort:

Guidelines and restrictions for creating group names in Domino Directory

Zwei Details fehlen mir:

  • Gruppennamen sollten nicht mit einer Ziffer beginnen. Dabei kann es zu Problemen mit der Mail-Zustellung kommen. Das liegt daran, dass dann die Soundex-Konvertierung des Servers immer den gleichen Wert ergibt und er somit diese Gruppen nicht mehr unterscheiden kann.
    Es gab mal eine Technote dazu, aber die ist verschwunden. Das Problem wird aber auch in u.g. Technote erwähnt.
  • Gruppennamen sollten aus mehr als fünf Zeichen bestehen:
    https://www-304.ibm.com/support/docview.wss?uid=swg21229769

(via ruddigkeit.net)

Email Charter

7. Juli 2011 Posted by Oliver Regelmann

10 Regeln, um das Arbeiten mit E-Mails zu erleichtern. Für Empfänger und Absender:

1. Respect Recipients’ Time
This is the fundamental rule. As the message sender, the onus is on YOU to minimize the time your email will take to process. Even if it means taking more time at your end before sending.

Insbesondere Regel 7 wird in letzter Zeit immer häufiger verletzt.

Save Our Inboxes! Adopt the Email Charter!

Troubleshooting-Tool von IBM

4. Juli 2011 Posted by Oliver Regelmann

Mit dem All-in-one Admin Tool von IBM hat man eine Reihe von Werkzeugen zur Fehlersuche und –behebung im Notes-Umfeld in der Hand. Dazu gehören z.B.:

  • Löschen von Profildokumenten
  • Analyse von Problemen mit dem Abwesenheitsagent (die aber seit Einführung des Abwesenheitsservice eigentlich der Vergangenheit angehören sollten)
  • Erstellen von Kopien von Mail-Datenbanken
  • Reparieren bzw. Wiederherstellen des Posteingangs eines Benutzers, z.B. wenn der Ordner gelöscht wurde
  • Suche nach doppelten Schablonen
  • etc.

\"image\"

Über ein Setup lässt sich die NSF komfortabel auf den Server kopieren (leider nur ins Root) und signieren.