HACKNER Security Intelligence GmbH ist ein Team an erfahrenen und sehr spezialisierten White-Hat-Hacker:innen. Unsere Leidenschaft ist es, den Stand der Technik jeden Tag aufs Neue herauszufordern und Ihre Sicherheits-Systeme gemeinsam mit Ihnen und Ihrem Team auf die Zukunft vorzubereiten.
Mit unserer jahrelangen Erfahrung freuen wir uns über ständig neue Herausforderungen und motivieren uns selbst, wenn wir zur Verbesserung der Sicherheitsmaßnahmen und des Know-hows unserer Kunden in Bereichen wie IT-Sicherheit, physische Sicherheit und Social Engineering aktiv beitragen können.
Am 7. März 2025 laden wir euch herzlichst ein euch durch spannende, praktische Vorträge und Diskussionen für neue Vorhaben und Ziele für das nächste und übernächste Jahr inspirieren zu lassen.Ein exkl...
Immer mehr Unternehmen lassen ihre internen Sicherheitssysteme sowie ihre physischen und digitalen Schutzwälle testen. Wie dabei vorgegangen wird und warum dies wichtig ist, darüber berichtet „Der Sta...
Im friedlichen Alpbach fand im Oktober 2024 das 38. Alpbacher Finanzsymposium statt und wir sind stolz, dass wir eingeladen wurden, um das Event anschließenden an den österreichischen Finanzminister M...
Industry
Für einen globalen Konzern wurde von uns eine Webanwendung, sowie ein Rich Client zur Software-Entwicklung getestet. Zudem war dabei eine Agent-Anwendung von Bedeutung, die über die Anwendung angesteuert werden konnte. Hierbei handelte es sich um ein komplexes System aus vielen zusammenspielenden Komponenten - und vielen Möglichkeiten für Angriffe über Sicherheitslücken.
Manchmal macht es sich durchaus bezahlt, einen längeren Testzeitraum zu wählen, um Anwendungen oder Systeme gründlichst auf Herz und Nieren zu prüfen. Denn in den letzten Tagen des Projekts waren wir nicht nur in der Lage, beliebige Kommandos über die Client-Anwendung am Agent auszuführen, sondern auch Server-Instanzen in der Systemumgebung des Kunden zu erzeugen und zu stoppen.
Finance
Für ein globales Sportartikelunternehmen sollte an drei Firmenstandorten die Sicherheit der Zahlungsprozesse untersucht werden. Ein grundsätzlich unterschätzter Angriffsvektor ist dabei die Absicherung der verwendeten Schnittstellen zwischen den Tools und bis hin zur Bank. Wenigen ist bewusst, dass hier oft sogenannte Zahlungsdateien (meist XML) verwendet werden, welche alle Kontoinfos und somit auch das Empfängerkonto enthalten.
Dateitransfer, you say? Das Wort Schnittstelle ist in diesem Kontext nicht immer korrekt, weil hierbei die Schnittstelle der Mensch ist. Das heißt die Zahlungsdatei wird vom lokalen Gerät von einer Person auf eine Dateifreigabe im Netzwerk kopiert. Dies führt dazu, dass die Datei nicht nur potentiell bei der Übertragung, sondern auch überall dort modifiziert werden kann, wo sie abgelegt wird. Interne Angreifende können dies nutzen, um das Empfängerkonto in der Datei auf das eigene zu ändern. Je nach Zahlungsart fallen dabei durchaus nennenswerte Summen an.
Wie kann man das verhindern? Kurzfristig lohnt es sich, die Zahlungswege mit bestehenden einfachen Mitteln abzusichern. Das bedeutet, Übertragungswege verschlüsseln und Berechtigungen so gut wie möglich einzuschränken. Auf lange Sicht handelt es sich hier leider um einen aufwändigeren Task! Da müssen Strukturen und Schnittstellen geschaffen werden, die Zugriffe durch Mitarbeitende unnötig machen.
Government
Um in einem Social Engineering Assessment interner Netzwerkzugriff zu erhalten, mussten wir zuerst Zutritt zum Gebäude erlangen. Deshalb entwarfen wir folgendes Szenario und setzen es um:
Ein Mitarbeiter von uns wartete in Anzug und Krawatte vor dem Unternehmen auf sein Stichwort. Ein zweiter Mitarbeiter tätigte aus sicherer Entfernung einen Anruf von der gefälschten Nummer eines Vorgesetzten an den Empfang: Er habe ein sehr wichtiges Meeting und der Kunde ist verspätet. Wenn der Kunde kommt, müsste dieser bitte so schnell wie möglich durchgeschleust werden.
Der erstgenannte Mitarbeiter lief nun gehetzt zum Empfang, musste gar nicht mehr viel sagen und wurde ohne Kontrolle vorbeigelassen. Das Resultat: Freie Bewegungsmöglichkeit innerhalb des Gebäudes!
Das richtige Know-how verschafft Ihnen den notwendigen Vorteil, um schneller und präziser reagieren zu können. Wir stellen all unser Know-how für Sie zielgerichtet und auf Ihre Anforderungen abgestimmt zur Verfügung. So erhalten Sie das notwendige Wissen, um sich selbst immer wieder aufs Neue herausfordern zu können.
Die Steigerung des Sicherheitsbewusstseins und die Vorbereitung auf zukünftige Gefahren sind integrale Bestandteile einer sicheren Arbeitsumgebung. Wir unterstützen Sie in diesem Vorhaben mit Vorträgen in denen wir aktuelle Sicherheitsmaßnahmen live hacken und umgehen sowie passende Verteidigungsstrategien besprechen.