Decrypting company security

We have a couple of tricks up our sleeves to uncover potential security breaches.

HACKNER Security Intelligence GmbH ist ein Team an erfahrenen und sehr spezialisierten White-Hat-Hacker:innen. Unsere Leidenschaft ist es, den Stand der Technik jeden Tag aufs Neue herauszufordern und Ihre Sicherheits-Systeme gemeinsam mit Ihnen und Ihrem Team auf die Zukunft vorzubereiten. 

Mit unserer jahrelangen Erfahrung freuen wir uns über ständig neue Herausforderungen und motivieren uns selbst, wenn wir zur Verbesserung der Sicherheitsmaßnahmen und des Know-hows unserer Kunden in Bereichen wie IT-Sicherheit, physische Sicherheit und Social Engineering aktiv beitragen können.

Unsere Leistungen

Red
Teaming

Penetration
Testing

Social
Engineering

Physical
Security Test

After all, security

doesn’t happen

by accident.

Kontaktieren Sie uns

Wir besuchen DefCon 31

Wir haben uns sehr gefreut die DEFCON in Las Vegas, USA im August 2023 zum ersten Mal zu besuchen! DEFCON ist eine jährliche Computersicherheits-Veranstaltung, welche bis zu 30.000 Besucher anzie...

Weiterlesen

Herzliches Willkommen an unseren neuen Team-Mitglieder

Unser Team ist gewachsen und wir freuen uns, seit kurzem drei neue Mitarbeiter im Pentesting begrüßen zu dürfen. Mit ihrer Hilfe fällt es uns leichter, auf die vielen Projektanfragen einzugehen, und w...

Weiterlesen

Thomas bei Treasury on Tour in Köln

Treasury on Tour ist eine Veranstaltung von Schwabe, Ley & Greiner, um führende Köpfe des Treasurys mit hochwertigen Vorträgen, Diskussionen und der Möglichkeit zum Netzwerken zusammenzubringen. H...

Weiterlesen

Alle News

References & Case Studies

Industry

Ein Anwendungstest – spannend wie ein Thriller!

Industry

Für einen globalen Konzern wurde von uns eine Webanwendung, sowie ein Rich Client zur Software-Entwicklung getestet. Zudem war dabei eine Agent-Anwendung von Bedeutung, die über die Anwendung angesteuert werden konnte. Hierbei handelte es sich um ein komplexes System aus vielen zusammenspielenden Komponenten - und vielen Möglichkeiten für Angriffe über Sicherheitslücken.

Manchmal macht es sich durchaus bezahlt, einen längeren Testzeitraum zu wählen, um Anwendungen oder Systeme gründlichst auf Herz und Nieren zu prüfen. Denn in den letzten Tagen des Projekts waren wir nicht nur in der Lage, beliebige Kommandos über die Client-Anwendung am Agent auszuführen, sondern auch Server-Instanzen in der Systemumgebung des Kunden zu erzeugen und zu stoppen.

Finance

Zahlungsprozesse auf technischer Ebene

Finance

Für ein globales Sportartikelunternehmen sollte an drei Firmenstandorten die Sicherheit der Zahlungsprozesse untersucht werden. Ein grundsätzlich unterschätzter Angriffsvektor ist dabei die Absicherung der verwendeten Schnittstellen zwischen den Tools und bis hin zur Bank. Wenigen ist bewusst, dass hier oft sogenannte Zahlungsdateien (meist XML) verwendet werden, welche alle Kontoinfos und somit auch das Empfängerkonto enthalten.

Dateitransfer, you say? Das Wort Schnittstelle ist in diesem Kontext nicht immer korrekt, weil hierbei die Schnittstelle der Mensch ist. Das heißt die Zahlungsdatei wird vom lokalen Gerät von einer Person auf eine Dateifreigabe im Netzwerk kopiert. Dies führt dazu, dass die Datei nicht nur potentiell bei der Übertragung, sondern auch überall dort modifiziert werden kann, wo sie abgelegt wird. Interne Angreifende können dies nutzen, um das Empfängerkonto in der Datei auf das eigene zu ändern. Je nach Zahlungsart fallen dabei durchaus nennenswerte Summen an.

Wie kann man das verhindern? Kurzfristig lohnt es sich, die Zahlungswege mit bestehenden einfachen Mitteln abzusichern. Das bedeutet, Übertragungswege verschlüsseln und Berechtigungen so gut wie möglich einzuschränken. Auf lange Sicht handelt es sich hier leider um einen aufwändigeren Task! Da müssen Strukturen und Schnittstellen geschaffen werden, die Zugriffe durch Mitarbeitende unnötig machen.

Government

Durch Social Engineering und CEO-Fraud in ein Unternehmen eindringen

Government

Um in einem Social Engineering Assessment interner Netzwerkzugriff zu erhalten, mussten wir zuerst Zutritt zum Gebäude erlangen. Deshalb entwarfen wir folgendes Szenario und setzen es um:

Ein Mitarbeiter von uns wartete in Anzug und Krawatte vor dem Unternehmen auf sein Stichwort. Ein zweiter Mitarbeiter tätigte aus sicherer Entfernung einen Anruf von der gefälschten Nummer eines Vorgesetzten an den Empfang: Er habe ein sehr wichtiges Meeting und der Kunde ist verspätet. Wenn der Kunde kommt, müsste dieser bitte so schnell wie möglich durchgeschleust werden.

Der erstgenannte Mitarbeiter lief nun gehetzt zum Empfang, musste gar nicht mehr viel sagen und wurde ohne Kontrolle vorbeigelassen. Das Resultat: Freie Bewegungsmöglichkeit innerhalb des Gebäudes!

Akademie

Specialized Trainings

Das richtige Know-how verschafft Ihnen den notwendigen Vorteil, um schneller und präziser reagieren zu können. Wir stellen all unser Know-how für Sie zielgerichtet und auf Ihre Anforderungen abgestimmt zur Verfügung. So erhalten Sie das notwendige Wissen, um sich selbst immer wieder aufs Neue herausfordern zu können.

Weiterlesen

Vorträge

Die Steigerung des Sicherheitsbewusstseins und die Vorbereitung auf zukünftige Gefahren sind integrale Bestandteile einer sicheren Arbeitsumgebung. Wir unterstützen Sie in diesem Vorhaben mit Vorträgen in denen wir aktuelle Sicherheitsmaßnahmen live hacken und umgehen sowie passende Verteidigungsstrategien besprechen.

Weiterlesen