Artikel mit Tag sicherheit

Sicherheitsupdate für Serendipity verfügbar

Kurzmeldung: Das Team um meine Lieblings-Blogengine Serendipity (S9y) hat ein Sicherheitsupdate herausgebracht. Die Version 2.0.5 bzw. 2.1-beta3 behebt zwei Sicherheitsprobleme. Mehr dazu im offiziellen Blogpost.

Also, husch husch, updaten. :-)

 

Sicherheitshinweis: Nutzer von KDE Neon sollten ihre Installation aktualisieren oder neu aufsetzen

Neon-Logo

KDE Neon ist eine Distribution, die es sich zum Ziel setzt, immer die aktuellste Version und Features der Desktopumgebung KDE auszuliefern. Als Basis wird jeweils das aktuelle Ubuntu LTS verwendet.

In einem Security Advisory wird jetzt darauf hingewiesen, dass das Paketarchiv der Distribution falsch konfiguriert war und deshalb jeder beliebig Pakete in das Archiv hochladen konnte. Daraufhin wurde das Archiv komplett gelöscht und neu aufgesetzt. Nutzer, die KDE-Neon vor dem 10.11.2016 16:00 UTC installiert haben, sollten zumindest ein Upgrade ihrer Installation durchführen, alle Pakete haben höhere Versionsnummern bekommen. Am sichersten dürfte jedoch eine Neuinstallation sein, da man nicht weiß, ob eventuell Schadsoftware oder anders manipulierte Pakete in das alte Archiv eingespielt wurden.

(Quelle: Softpedia)

Einbruch bei Linux Mint: ISOs vom 20.2.2016 teilweise kompromitiert

Linux Mint

Wie die Entwickler der beliebten Linuxdistribution Mint in ihrem Blog bekannt gaben, kam es zu einem Einbruch in deren Server, wobei die zum Download zur Verfügung gestellten ISOs der Cinnamon Edition kompromitiert wurden. Die Installations-Abbilder enthalten Schadsoftware, die eine Backdoor für Botnetze öffnen.

Laut Chefentwickler Clement Lefebvre sind nur Downloads betroffen, die am Samstag, den 20. Februar 2016 durchgeführt wurden. Besitzer solcher Dateien sollten die im Blogpost angegebenen Checksummen prüfen und, falls mit einem betroffenen Abbild installiert wurde, diese Installation umgehend löschen.

Außerdem wurde das Benutzerforum des Servers ausgelesen. Die Benutzerdaten inklusive verschlüsselten Passwörtern werden bereits zum Verkauf angeboten. Dies hat Zack Whittaker von ZDNET in einem verschlüsselten Chat vom mutmaßlich verantwortlichen Hacker mit dem Pseudonym "Peace" erfahren. Die Erkenntnisse aus dem Chat sind in seinem Artikel bei ZDNET nachzulesen.

Serendipity 2.0.3 Security Update

Ich wünsche allen Lesern noch alles Gute für das neue Jahr.

Nur ganz kurz für alle Nutzer des Blogsystems Serendipity (S9Y): Es gibt ein Sicherheitsupdate auf die Version 2.0.3.

Also bitte updaten. ;-)

Onlinebanking-Sicherungsverfahren: PushTAN Verfahren der Sparkasse ist angreifbar

Bereits als ich das PushTAN-Verfahren im Juli 2014 hier auf dem Blog vorstellte, hatte ich Zweifel, ob sich die Trennung der beiden Sicherheitsfaktoren auf einem Gerät sicher darstellen lässt.

Und nun hat Vincent Haupert auf einem Vortrag beim 32C3 in Hamburg demonstriert, wie er zunächst eine ältere Version der PushTAN-App und dann auch die aktuellste angreifen konnte und Zahlungen, die auf dem selben Androidhandy ausgeführt wurden, bei der Anzeige uns Ausführung manipulieren konnte. Dabei wird dem Nutzer die von ihm gewünschte Transaktion sowohl in der Banking-App als auch in der PushTAN-App angezeigt, im Hintergrund wird jedoch eine Überweisung mit einem anderen Betrag an einen anderen Empfänger gesendet.

Leider ist zu befürchten, dass auch die TAN-Apps anderer Bankengruppen einem gleichartigen Angriff ebenfalls nicht standhalten würden. Ein echtes Zwei-Faktor-Verfahren scheint nur auf getrennten Geräten möglich zu sein. Die Nutzung der App für eine Überweisung, die man zum Beispiel auf seinem PC ausführt und dann die TAN über die App auf dem Smartphone anzeigen lässt, ist wiederum ähnlich sicher wie das MobileTAN bzw. SMS-TAN-Verfahren. Hier müssen immerhin zwei Geräte gekapert werden, um einen Angriff möglich zu machen.

Und hier ist das Video von Vincent Hauperts Vortrag, das sehr interessant und kurzweilig ist. ;-)

Ist ein Paketfilter auf einem Rootserver sinnvoll?

Wer einen Rootserver - egal ob es eine physische oder virtuelle Maschine ist - im Internet betreibt, muss sich Gedanken um dessen Absicherung machen. Früher oder später kommt man dann auch an den Punkt, wo man entscheiden muss, ob man einen Paketfilter wie Iptables auf seinem Server konfigurieren soll. Hier gibt es unterschiedliche Meinungen im Netz, ob das sinnvoll ist oder nicht. Schauen wir die Argumente doch mal an.

Gründe, warum man keinen Paketfilter auf dem Rootserver benötigt

Auf einem Rootserver gibt es normalerweise nur ein Netzwerkinterface, dass nach außen auf das Internet routet. Daneben haben wir immer noch das lokale Interface, dass nur intern auf dem Rechner erreichbar ist. Auf dem "klassischen" Rootserver sollen Dienste, die man installiert, in der Regel auch vom Internet erreichbar sein. Auf Ports, die nicht erreichbar sein sollen, sollte auch kein Dienst erreichbar sein. Ein Beispiel ist der Webserver, der natürlich vom Internet erreichbar sein soll. Das Datenbankbackend sollte aber nur vom Webserver auf dem internen Interface erreichbar sein. Wenn also alle Dienste auf dem Server korrekt installiert sind, macht ein Paketfilter keinen wirklichen Sinn. 

Ein Schutz gegen DDOS-Angriffe oder ein Lastverteilung muss immer auf den Routern vor dem Rootserver laufen, um zu funktionieren. Also ist auch dies kein Grund für eine Iptables auf dem Server selbst.

Szenarien, in denen ein Paketfilter Sinn macht

Zunächst einmal kann man den Paketfilter als "Sicherheitsnetz" betreiben. Wenn man mal einen Dienst, der eigentlich nur auf der internen Schnittstelle erreichbar sein soll, falsch konfiguriert, wäre er dann aufgrund den dann nicht freigeschalteten Ports eben nicht erreichbar und die Fehlkonfiguration hätte keine Auswirkungen auf die Sicherheit des Servers. Außerdem könnte ein installierter Dienst eine Sicherheitslücke haben, durch die ein Angreifer einen Dienst im Benutzerkontext etablieren könnte, der dann von außen erreichbar ist und entsprechend ausgenutzt werden könnte. Ein Paketfilter würde so etwas verhindern.

Dann gibt es noch einige spezielle Szenarien, die einen Paketfilter nötig machen. So wäre zum Beispiel ein Portknocking möglich, bei dem ein Dienst erst erreichbar ist, nachdem man auf einem anderen nicht bekannten Port "angeklopft" hat.

Fazit

Grundsätzlich macht ein Paketfilter auf einem Rootserver erstmal keinen Sinn. Zur Absicherung von Fehlkonfigurationen oder Folgen von Angriffen auf erreichbare Dienste kann Iptables aber durchaus Sinn machen und genutzt werden. Für einige spezielle Aufgabenstellungen wird der Paketfilter sogar explizit benötigt. Jeder Betreiber eines Rootservers sollte die Notwendigkeit also selbst beurteilen und eine entsprechende Konfiguration einsetzen.

Habt ihr einen Rootserver in Betrieb? Wie sieht es bei euch mit dem Betrieb eines Paketfilters aus. Gibt es Szenarien, die ich nicht angesprochen habe? Lasst es mich in den Kommentaren wissen.

Sicherheitsupdate für Serendipity verfügbar

Habt ihr es schon mitbekommen? Für die Blogsoftware Serendipity (s9y) ist heute ein Sicherheitsupdate erschienen. Mit der Version 2.0.2 werden drei Sicherheitslücken geschlossen.

Für Nutzer einer älteren Version vor 2.0 steht die bereinigte Version 1.7.9 zur Verfügung. Alle Nutzer sollten möglichst bald ihre Installationen aktualisieren.

Hier geht es zur offiziellen Ankündigung.

 

Warum ich schliesslich doch WhatsApp nutze

WhatsApp-Logo

Lange Zeit habe ich mich gesträubt und dagegen gewehrt, WhatsApp zu nutzen. Jetzt habe ich den Widerstand aufgegeben und auf meinem Smartphone WhatsApp installiert. Und hier sind die Gründe dafür:

Warum wollte ich WhatsApp nicht nutzen?

Als BlackBerry-Nutzer nutze ich schon immer den BlackBerry-Messenger, und versuche immer, andere zur Nutzung dieser App zu bewegen, zumal sie auch für alle gängigen Plattformen (BlackBerry, iPhone, Android, Windowsphone) zur Verfügung steht. WhatsApp ist schon immer verschriehen, nicht besonders sicher zu sein. Die Verschlüsselung und der Datenschutz sind fragwürdig und die ein oder andere Sicherheitslücke wurde bereits gefunden.

Jeder, der meine Handynummer hat, kann mich automatisch über WhatsApp anschreiben. Bei anderen Messengern - wie auch beim BBM - muss man sich erst über eine wie auch immer geartete ID verknüpfen. Ich kann mir also meine Chatpartner gewissermaßen aussuchen.

Und überhaupt hat der BBM viel bessere Funktionen bei den Gruppenchats und andere Vorzüge, die ich nicht missen möchte.

Das ganze hat nur einen Haken: Es gibt zu wenige, die BBM nutzen und fast alle nutzen WhatsApp.

Warum ich WA jetzt doch installiert habe

Selbst bei kleinen Gruppen, mit denen ich kommunizieren möchte, hat es nicht funktioniert, alle zur Installation von BBM zu bewegen. Und es ist dann immer ziemlich umständlich, alle zu kontaktieren oder auch mal innerhalb einer Gruppe etwas abzusprechen. Natürlich funktioniert SMS noch immer, aber das ist nicht wirklich komfortabel und nicht jeder hat eine SMS Flatrate und somit entstehen beim Senden von SMS unter Umständen Kosten.

Wenn ich Facebook nutze, habe ich nicht wirklich einen Vorteil gegenüber WhatsApp. Und dann kommt es natürlich immer wieder vor, dass es in Klassen oder anderen Gruppen unserer Kinder eine WhatsApp-Gruppe gibt. Wenn man da mitmischen möchte und nichts verpassen dann hat man also fast keine andere Wahl, als den Messenger mit dem grünen Logo zu nutzen.

Wie gehe ich mit den Datenschutz und Sicherheitsbedenken um?

Ich nutze soziale Netzwerke wie Twitter und Facebook, gebe also ohnehin Daten von mir in die Hände von Diensten, die von eben diesen Daten leben müssen. Da WhatsApp ja von Facebook gekauft wurde, wäre es nich logisch, Facebook zu nutzen aber gleichzeitig WhatsApp aus Datenschutzgründen nicht zu nutzen. Bei der Verschlüsselung ist WhatsApp auf gar keinem so schlechten Weg, indem es schrittweise die Ende-zu-Ende Verschlüsselung einführt. Man muss sich eben bei der Nutzung im Klaren sein, dass momentan die Daten auf dem Server des Anbieters durchaus mitgelesen oder anderweitig gespeichert oder weitergegeben werden können. Aber das ist selbst beim BBM der Fall, sofern man nicht die Variante für Geschäftskunden mit eigenem BlackBerry-Server nutzt.

Fazit

Der WhatsApp Messenger ist genial einfach und unkompliziert zu bedienen. Der Kniff, den Kontakt über die Handynummer herzustellen, so dass ich alle Bekannten, von denen ich diese Nummer ohnehin im Adressbuch habe, sofort erreichen kann, wenn diese WhatsApp auch nutzen, sind ein unschlagbarer Vorteil für viele Nutzer, war für mich als BBM Nutzer aber immer eher abschreckend (siehe oben).

Ich nutze WhatsApp also jetzt auch, präferiere aber weiterhin den BBM, da ich viele seiner Funktionen sehr zu schätzen weiss. Wer es etwas genauer wissen will, kann sich meine kleine Artikelserie dazu auf dem Blog der BlackBerry-User-Group Kassel anschauen. Welche und wieviel private Daten und Informationen in einem Messenger preisgibt (egal welchem), sollte jeder für sich entscheiden und dabei immer im Hinterkopf haben, wer was mit diesen Daten anfangen könnte.

Ich werde mal beobachten, wie sich der Messenger so nutzen lässt und bei Neuigkeiten oder anderen Erkenntnissen natürlich hier im Blog berichten.

Twitter gehackt - besser Passwort ändern

Bei Twitter hat es in der letzten Woche einen Einbruch in die Server gegeben. Wie das Unternehmen in seinem Unternehmensblog mitteilt, wurde der Angriff live bemerkt und konnte gestoppt werden. Die bisherigen Ermittlungen ergaben, dass die Daten von ca. 250.000 Konten in die Hände der Einbrecher gelangt sind. Die Täter haben Anmeldenamen, Mailadressen und die verschlüsselten Passwörter erbeuten können.

Die Besitzer der kompromittierten Konten wurden von Twitter per Mail informiert, die Accounts wurden gesperrt und es muss ein neues Passwort vergeben werden.

Twitter weißt in seinem Blog auf darauf hin, ein sicheres Passwort zu verwenden (mindestens 10 Stellen, Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen) und das Passwort für keine anderen Dienste zu verwenden.

Da man nicht sicher sein kann, ob alle betroffenen Accounts erkannt wurden, würde ich allen Twitter-Nutzern empfehlen, das Kennwort zu ändern und auch die Empfehlung zu beherzigen, unterschiedliche Passwörter für die Dienste im Internet zu verwenden.

Die Änderung des Twitter-Passworts ist natürlich mit ordentlich Arbeit verbunden, muss man ja alle Geräte und Anwendungen, die man so in Gebrauch hat, mit dem neuen Kennwort versorgen. Aber, wie sagt man so schön: Sicher ist sicher. Bis später.

(via Caschy)

Admins Albtraum: Bring your own device

Seit Jahrzehnten ist es in diversen Benutzerrichtlinien, Sicherheitsleitlinien oder wie es auch immer heißt, verankert:

  • Schließe keine Firmenhardware an private Geräte oder Datennetze an.
  • Nutze keine private Software und Datenträger in der Firma.
  • Schließe keine private Hardware an Firmennetze oder Geräte an.

Damit sind wir Admins immer gut gefahren. Unsere Hardware ist nach unseren Vorstellungen konfiguriert und abgesichert, der User darf nur das tun, was wir ihm erlauben. Wechselmedien dürfen nur sehr restriktiv und von wenigen Benutzern an die Firmen-PCs angeschlossen werden. All das erhöht die Sicherheit und Integrität der firmeneigenen Daten und hilft uns Administratoren, der Herr im eigenen IT-System zu bleiben.

Irgendwann wurde der Ruf nach mobilem Zugriff auf E-Mail, Kalender und andere Daten laut. Mit einem Blackberry Enterprise Server hatte man auch jetzt als Admin die bestmögliche Kontrolle über die (immer noch firmeneigenen) mobilen Geräte, der Admin bestimmte, was auf den Geräten möglich war und was nicht.

Das Private für die Firma

Inzwischen gehört das private Smartphone bei vielen Mitarbeitern zum Alltag und es geistert ein neues Schlagwort durchs Internet und die Führungsetagen: "Bring your own device". Wenn die Mitarbeiter doch sowieso ein Smartphone nutzen, warum sollen sie dann nicht auch noch berufliche E-Mails und andere Daten auf dem Smartphone empfangen und so auch in Ihrer Freizeit für Firmenangelegenheiten erreichbar sein?

Für den Administrator ist das eine große Herausforderung in zweierlei Hinsicht. Zunächst müssen die verschiedenen Geräte technisch in die Firmen-IT eingebunden werden. Bei der Vielfalt der Geräte und Betriebssysteme keine einfache Aufgabe. Dann bleibt noch die Frage nach der Sicherheit. Der Admin hat keinen Einfluss mehr darauf, was der Mitarbeiter mit seinem Smartphone sonst noch anstellt. Das setzt eine gute Planung, Richtlinien und oftmals auch Kompromisse voraus. Eine gute Übersicht gibt der Artikel auf Heise-Mobil: Strategien für den sicheren Firmenzugang mit privaten Handys.

Bedeutung für die Work-Life-Balance

Diese neue Entwicklung hat meiner Meinung nach auch Auswirkungen auf die Art und Weise, wie wir Arbeit und Privates trennen und im Gleichgewicht halten. Wenn ich mit dem privaten Smartphone auch berufliche Aufgaben erledige, wird die Abgrenzung zwischen privatem und dienstlichem immer schwerer. Das ist für manchen vielleicht sogar erstrebenswert und hilft bei der Umsetzung von neuen Arbeits(zeit)modellen. Es kann aber auch dazu führen, dass das Privatleben zu kurz kommt. Ich bin zumindest froh, dass ich mein dienstliches Blackberry auch mal beiseite legen kann und bei manchen privaten Aktivitäten keine Störung durch dienstliche E-Mails habe.

Wie steht ihr zu dieser Entwicklung? Mich interessieren eure Meinungen, ob ihr nun durch die Administrator- oder die Userbrille schaut, ab damit in die Kommentare.

tweetbackcheck