Sicherheit

WordPress – Sicherheit vom Host bis zum Login

Mit über 76 Millionen WordPress-Websites und mehr als 52 Millionen neuer Posts jeden Monat ist WordPress eines der meistgenutzten und erfolgreichsten Content Management Systeme – und daher auch ein beliebtes Ziel für Hacker. Von der Auswahl des Web Hosts über die Installation von Themes und Plug-Ins bis hin zur Einrichtung der Nutzerdaten und Datenbänke sollte sich jeder Website-Besitzer von Beginn an mit den möglichen Sicherheitstücken vertraut machen, um bösen Angriffen vorzubeugen. Weiterlesen

netwars / out of CTRL – Eine Webdoc von FILMTANK

Das weltweite Internet ist heutzutage nicht nur ein Platz um sich zu informieren und mit Freunden in Kontakt zu bleiben – es dient mittlerweile auch als ein Instrument, um Angriffe gegen Regierungen, Industrieanlagen und sonstigen teils auch für unser ziviles Leben notwendigen Einrichtungen zu fahren.

Davon ist leider jeder von uns betroffen! Auch das am besten gesicherte System ist irgendwo verwundbar.

Wenn du darüber mehr erfahren möchtest, schau dir dazu am besten diese mehrteilige, interessante und interaktive Dokumentation an: netwars-project.com/de/webdoc

Heartbleed-Bug in OpenSSL – Konsequenzen

Die Medien sind voll davon. Ein Bug in der OpenSSL-Bibliothek macht es möglich, den RAM von betroffenen Servern auszulesen und damit evlt. Passwörter mitzuschneiden.

Da das bei den meisten Servern der Fall war, gab es bis dato praktisch kaum Sicherheit der über HTTPS übertragenen Daten.

Jedoch können hier nicht Teile des kompletten Arbeitsspeichers ausgelesen werden, sondern nur die, auf die OpenSSL selbst Zugriff besitzt und damit auch auf die privaten Schlüssel.

Wie genau sich der Bug ausnutzen lässt, möchte ich hier in der „Kurzmitteilung“ nicht beschreiben. Schließlich gibt es dafür genug andere Beiträge auf anderen Seiten.
Außerdem möchte ich dazu keine Anleitung geben ;).

Die Konsequenzen hieraus sind jedoch gravierenden.
Nicht nur für die Betreiber, sondern auch für die User. Da der verschlüsselte Verkehr möglicherweise bereits von irgendjemanden mitgelesen worden ist, sei es ein Angreifer oder ein Geheimdienst, kennt dieser wahrscheinlich ein oder mehrere Passwörter und hat dadurch Zugang zu DEINEN Accounts bei von dem Bug betroffenen Dienstleistern erlangen.

Darum sollten schnellst möglich die Passwörter geändert werden. Solltest du ein Betreiber einer Seite oder eines Dienstes sein, der die betroffene OpenSSL-Bibliothek einsetzt und bis jetzt noch immer nicht aktualisiert haben, wird es aller höchste Zeit dies zu tun. Ab der Version 1.0.1g und vor 1.0.1 bist du davor sicher.

Neben der Aktualisierung, solltest du auch umgehend die Zertifikate und damit die Schlüssel neu ausstellen (lassen).
Nur so kannst du deinen Besuchern wieder mehr Sicherheit bieten. Absolute Sicherheit gibt es sowieso nicht…

Auch einige meiner Server waren betroffen, die Lücken wurden von mir natürlich sofort geschlossen, indem ich die Zertifikate neu ausgestellt und die Bibliothek aktualisiert habe.
Nur dieser Server, der diese Seite hostet, war nicht von dieser Lücke betroffen.

Erklärung und Berechnung RAID 0, 1, 5, 6 und 10

Ein RAID ist ein Verbund aus mehreren Festplatten, mit dem Ziel, die Datensicherheit und/oder die Geschwindigkeit der Datenübertragung zu erhöhen.

Dabei kann aber das RAID ein vollwertiges Backup auf andere Speichermedien nie ersetzen. Schließlich werden hier alle Änderungen sofort niedergeschrieben. Somit können versehentliche oder durch Schadsoftware verursachte Schäden nicht wieder rückgängig gemacht werden.

In diesem Artikel gehe ich auf die einzelnen RAIDs kurz ein und erkläre mit jeweils einem Beispiel, wie man die verfügbare Kapazität ermittelt. Weiterlesen

Selbstsigniertes Zertifikat immer akzeptieren

Zertifikate im Web sind eine feine Sache. Sie garantieren, dass die Webseite mit der kommuniziert wird, auch wirklich die ist, als die für die sie sich ausgibt.

Natürlich kann sie deshalb immernoch missbraucht werden, jedoch kann nicht einfach das Zertifikat der original Seite auf eine anderen Seite verwendet werden, ohne das der Browser einen Hinweis einblendet.

Manchmal gibt es aber Bereiche, bei denen dieser Hinweis nur hinderlich ist. Zum Beispiel bei manchen Netzwerkgeräten wie Router. Hier kann das Zertifikat nur ungültig sein, weil der Hersteller nicht bestimmen kann, über welche Adresse der Routern später angesprochen wird. Oder wenn man selbst eines erstellt und damit für sich einen sicheren Bereich auf seiner Homepage schaffen möchte.

Um diese besagte Meldung zu ignorieren kann die Seite zwar als vertrauenswürdig gespeichert werden, bei machen Anwendungsgebieten wäre das aber sehr mühsam.

Weiterlesen