Serendipity 2.0.3 Security Update

Ich wünsche allen Lesern noch alles Gute für das neue Jahr.

Nur ganz kurz für alle Nutzer des Blogsystems Serendipity (S9Y): Es gibt ein Sicherheitsupdate auf die Version 2.0.3.

Also bitte updaten. ;-)

Onlinebanking-Sicherungsverfahren: PushTAN Verfahren der Sparkasse ist angreifbar

Bereits als ich das PushTAN-Verfahren im Juli 2014 hier auf dem Blog vorstellte, hatte ich Zweifel, ob sich die Trennung der beiden Sicherheitsfaktoren auf einem Gerät sicher darstellen lässt.

Und nun hat Vincent Haupert auf einem Vortrag beim 32C3 in Hamburg demonstriert, wie er zunächst eine ältere Version der PushTAN-App und dann auch die aktuellste angreifen konnte und Zahlungen, die auf dem selben Androidhandy ausgeführt wurden, bei der Anzeige uns Ausführung manipulieren konnte. Dabei wird dem Nutzer die von ihm gewünschte Transaktion sowohl in der Banking-App als auch in der PushTAN-App angezeigt, im Hintergrund wird jedoch eine Überweisung mit einem anderen Betrag an einen anderen Empfänger gesendet.

Leider ist zu befürchten, dass auch die TAN-Apps anderer Bankengruppen einem gleichartigen Angriff ebenfalls nicht standhalten würden. Ein echtes Zwei-Faktor-Verfahren scheint nur auf getrennten Geräten möglich zu sein. Die Nutzung der App für eine Überweisung, die man zum Beispiel auf seinem PC ausführt und dann die TAN über die App auf dem Smartphone anzeigen lässt, ist wiederum ähnlich sicher wie das MobileTAN bzw. SMS-TAN-Verfahren. Hier müssen immerhin zwei Geräte gekapert werden, um einen Angriff möglich zu machen.

Und hier ist das Video von Vincent Hauperts Vortrag, das sehr interessant und kurzweilig ist. ;-)

Weihnachtswartezeitüberbrückungsblogpost

Der Weihnachtsbaum ist aufgetellt und geschmückt, letzte Besorgungen gemacht. Ja, auch wir mussten heute nochmal kurz los, aber dass hatte ich gestern auf Twitter schonmal angedeutet. ;-)

Die Kinder warten gespannt auf die Bescherung heute Abend und ich habe etwas Zeit zum Bloggen und für euch ein paar Anregungen zum Überbrücken der Wartezeit auf die Geschenke oder auch auf das nächste Essen in den kommenden Tagen. :-)

Wenn ihr also noch etwas sucht, um euch die Zeit zu vertreiben könntet ihr zum Beispiel Podcasts hören. Da wäre z.B. unser BBUGKS-Live Podcast von letzter Woche oder auch der aktuelle Neuland-Podcast von Sascha und Caschy.

Für Musikfans gab es gestern die gute Nachricht, dass Apple Records die Beatles-Werke nun für Streamingdienste freigegeben hat. Ihr könnt die Pilzköpfe also nun auch z. B. auf Spotify hören.

Nutzt noch jemand außer mir Watchever? :-) Dort gibt es jetzt die zweite Staffel der französichen Mysterieserie "The Returned" als Deutschlandpremiere in der französischen Originalversion.

Frohes Fest

Und nun wünsche ich euch ein Frohes Fest, habt ein paar ruhige, besinnliche Tage. Schaltet mal einen Gang zurück und genießt das Zusammensein mit lieben Menschen. Vielleicht könnt ihr für ein paar Stunden die Hektik des Alltags vergessen und zur Ruhe kommen.

Außerdem allen, die über die Feiertage arbeiten, um uns zu schützen, im Notfall zu retten, um andere Menschen in den Krankenhäusern oder Alten-/Pflegeheimen zu behandeln, zu pflegen und zu betreuen, ein herzliches Dankeschön! Ihr seid großartig.

Und zum Schluss noch wie jedes Jahr eine Version meines Lieblingsweihnachtslieds, diesmal eine Live-Version von Amy MacDonald. Bitte schön.

BBUGKS-Live Folge 6

BBUGKS-Live Logo

Kurz vor Weihnachten haben Oliver und ich es noch geschafft, eine neue Folge unsere BlackBerry-Podcasts aufzuzeichnen. Wir sprechen diesmal natürlich viel über das Priv, das erste Androidphone von BlackBerry, aber auch über unseren "Betriebsausflug" nach Frankfurt zur Experience und zum Pop-Up Store.

Wir hatten viel Spaß beim Aufnehmen des Podcasts und hoffen, dass das Ergebnis euch auch gefällt.

Hier geht es zum Podcast auf bbugks.de.

Microsoft beendet den Support für ältere Versionen des Internet Explorers

Vor allem unter den Webdevelopern wird es einen erleichtertes "Na endlich!" gegeben haben, als Microsoft nun verkündet hat, dass der Support für alle Internet Explorer vor der Version 11 zum 12. Januar 2016 einstellt.

Das bedeutet, dass es ab diesem Datum keinen technischen Support und vor allem keine Sicherheitsupdates mehr für die alten Versionen geben wird.

Im privaten Umfeld dürfte das Problem eher kleiner sein, da die automatischen Updateroutinen von MS mittlerweile den IE auf die neueste Version gehoben haben sollten, sofern man nicht mehr das ohnehin nicht mehr unterstützte Windows XP nutzt.

Problematischer ist es eventuell im Firmenumfeld, wo leider viele Anwendungen immer noch auf eine alte Internet Explorer Version "optimiert" sind und sich selbst im Kompatibilitätsmodus nicht zur Mitarbeit auf der akutellen 11er überreden lassen. Hier kommt sicher auf Entwicklungs und IT-Abteilungen noch einige Arbeit zu.

Freuen dürften sich alle, die mit der Entwicklung von Frontends für Webseiten beschäftigt sind, denn hier waren bisher immer einige Verrenkungen notwendig, um Webseiten auch auf veralteten Browsern aus Redmond einigermaßen vernünftig  darzustellen. Das dürfte dann ab Januar Geschichte sein (hoffentlich).

Das Legomodell vom Rasenden Falken von Lego Starwarsfiguren gebaut

Das Video ist zwar schon gut ein Jahr alt, passt aber gut zum momentanen Starwars-Fieber. :-)

Han Solo und seine Legokumpels bauen das Legomodell des Rasenden Falken selbst zusammen.

Bitteschön.

Ist ein Paketfilter auf einem Rootserver sinnvoll?

Wer einen Rootserver - egal ob es eine physische oder virtuelle Maschine ist - im Internet betreibt, muss sich Gedanken um dessen Absicherung machen. Früher oder später kommt man dann auch an den Punkt, wo man entscheiden muss, ob man einen Paketfilter wie Iptables auf seinem Server konfigurieren soll. Hier gibt es unterschiedliche Meinungen im Netz, ob das sinnvoll ist oder nicht. Schauen wir die Argumente doch mal an.

Gründe, warum man keinen Paketfilter auf dem Rootserver benötigt

Auf einem Rootserver gibt es normalerweise nur ein Netzwerkinterface, dass nach außen auf das Internet routet. Daneben haben wir immer noch das lokale Interface, dass nur intern auf dem Rechner erreichbar ist. Auf dem "klassischen" Rootserver sollen Dienste, die man installiert, in der Regel auch vom Internet erreichbar sein. Auf Ports, die nicht erreichbar sein sollen, sollte auch kein Dienst erreichbar sein. Ein Beispiel ist der Webserver, der natürlich vom Internet erreichbar sein soll. Das Datenbankbackend sollte aber nur vom Webserver auf dem internen Interface erreichbar sein. Wenn also alle Dienste auf dem Server korrekt installiert sind, macht ein Paketfilter keinen wirklichen Sinn. 

Ein Schutz gegen DDOS-Angriffe oder ein Lastverteilung muss immer auf den Routern vor dem Rootserver laufen, um zu funktionieren. Also ist auch dies kein Grund für eine Iptables auf dem Server selbst.

Szenarien, in denen ein Paketfilter Sinn macht

Zunächst einmal kann man den Paketfilter als "Sicherheitsnetz" betreiben. Wenn man mal einen Dienst, der eigentlich nur auf der internen Schnittstelle erreichbar sein soll, falsch konfiguriert, wäre er dann aufgrund den dann nicht freigeschalteten Ports eben nicht erreichbar und die Fehlkonfiguration hätte keine Auswirkungen auf die Sicherheit des Servers. Außerdem könnte ein installierter Dienst eine Sicherheitslücke haben, durch die ein Angreifer einen Dienst im Benutzerkontext etablieren könnte, der dann von außen erreichbar ist und entsprechend ausgenutzt werden könnte. Ein Paketfilter würde so etwas verhindern.

Dann gibt es noch einige spezielle Szenarien, die einen Paketfilter nötig machen. So wäre zum Beispiel ein Portknocking möglich, bei dem ein Dienst erst erreichbar ist, nachdem man auf einem anderen nicht bekannten Port "angeklopft" hat.

Fazit

Grundsätzlich macht ein Paketfilter auf einem Rootserver erstmal keinen Sinn. Zur Absicherung von Fehlkonfigurationen oder Folgen von Angriffen auf erreichbare Dienste kann Iptables aber durchaus Sinn machen und genutzt werden. Für einige spezielle Aufgabenstellungen wird der Paketfilter sogar explizit benötigt. Jeder Betreiber eines Rootservers sollte die Notwendigkeit also selbst beurteilen und eine entsprechende Konfiguration einsetzen.

Habt ihr einen Rootserver in Betrieb? Wie sieht es bei euch mit dem Betrieb eines Paketfilters aus. Gibt es Szenarien, die ich nicht angesprochen habe? Lasst es mich in den Kommentaren wissen.

Paris, 13.11.2015

Es ist auch nach zwei Tagen noch schwer, meine Gefühle und Gedanken zu sortieren. Hauptsächlich ist es Trauer und Mitgefühl, vielleicht auch ein wenig Wut. Solche Anschläge wie in Paris gibt es in Syrien und anderen Kriegsgebieten in der Welt täglich, und doch machen die Anschläge in Paris doch mehr mit mir. Warum eigentlich? Weil die täglichen schlimmen Geschehnisse  in der Welt nicht so in den Medien präsent sind? Oder weil man sich tragischerweise daran  hat, das "so etwas" halt passiert?

Man sucht für sich selbst nach Erklärungen und auch nach Antworten auf die Fragen und Ängste der Kinder (eine kleine Hilfestellung liefern übrigens die Erklärseiten bei logo.de). Im Alltag muss man immer wieder Antworten finden auf so manche Äusserung wie "das haben wir hier auch bald".

In den sozialen Medien ging mal wieder einiges ab. Aber  warum wird versucht,  jede Einzelheit und jede Kleinigkeit zum Anschlag zu berichten. Muss ich unbedingt wissen, wo wieviele Menschen mit welchen Methoden von wie vielen Tätern ermordet wurden. Braucht es Bilder von Leichen, blutigen Kleidern und Bürgersteigen? Man hat eventuell das Bedürfnis, durch das Erfahren von Details das ganze besser zu verstehen, aber tut man das? Patricia schreibt hier auch etwas darüber.

Jetzt ist das Wochenende vorbei und für die meisten von uns beginnt der Alltag der  neuen Woche. Lasst uns versuchen, unsere Menschlichkeit zu bewahren und unsere  Empathie für die Nöte und Bedürfnisse unserer Mitmenschen nicht verlieren. Wir müssen aber auch unsere Freiheit verteidigen und nicht aus Angst diese immer mehr durch Überwachung einschränken lassen.

Alle Bond Songs nacheinander in A Cappella

Na, den neuen Bond schon im Kino gesehen? Für alle, die noch gespannt darauf warten und auch für die, die ihn schon gesehen haben und ein wenig im Bond-Feeling schwelgen wollen, gibt es von der A-Cappella-Gruppe Maybebob ein Video mit allen Bond Songs von Dr. No bis Spectre in chronologischer Reihenfolge.

Bitte schön.

Die Vogelspinne in den Nachrichten

Heute Abend auf der Fahrt nach Hause. Im Radio liefen die Nachrichten und es gab folgende dramaturgisch hervoragend inszenierte Nachricht:

"Im Wald bei X-Dorf haben Spaziergänger eine Vogelspinne gefunden."

 

 

"Das Tier war in einem Terrarium"

(Ach sooooo.)

 

 

"Insgesamt wurden drei Terrarien gefunden."

(Hm....)

 

 

"In zwei Terrarien wurden keine Tiere gefunden."

tweetbackcheck