Sicherheit Archive - Seite 2 von 4

FBI Chef will "Vordertür" in iOS und Android

Die Verbrechensbekämpfung ist wirklich schwierig geworden. Während man früher die Verbrecher anhand der Haarfarbe, Gang und Sprache erkannt hat und sie danach einfach verbrannt hat muss man heute nach Beweisen suchen. Zu dumm dass auch Kriminelle auch Smartphones verwenden (Wirklich? In Filmen verwenden die doch immer so alte Knochen und vor allem Prepaidkarten. ). Aktuell haben Google und Apple angekündigt in künftigen Versionen den Inhalt des Smartphones zu verschlüsseln. Aus meiner Sicht eine legitime und sehr sinnvolle Option, da keinen etwas angeht was ich mit dem Gerät alles mache. Ein guter Grund um mal wieder einen geheimen Zugang zu fordern.
Doch mit der Verschlüsselung kommen dann auch die Strafverfolgungsbehörden nicht mehr an die Daten und können damit gar nicht mehr nachweisen, dass ich etwas getan habe. Na und? Deshalb die ganze Menschheit und Generalverdacht zu stellen ist genauso scheiße. Wir hatten das schon mal ein großes Problem mit dem A.H. aus Ö.! Hätte er und seine Mithelfer damals die Technik von heute gehabt, wären vermutlich nicht nur 6 Millionen Juden tot sondern wirklich alle und sicherlich auch ein paar Menschen die unglücklicherweise zur falschen Zeit am falschen Ort standen. Nun ist das ja nun Geschichte und seit bald 70 Jahren haben wir nun endlich Frieden. Aber Überwachung brauchen wir nicht! Entweder ich behandle mein Volk anständig und gebe genug zu Essen, Trinken und Arbeit oder die Krawalle sind vorprogrammiert.

Zur Belustigung zum Thema noch ein Kommentar der die Forderung sehr gut zusammen fasst:

Die Internationale Gewerkschaft der Diebe und Berufseinbrecher (IGdDuBe) wollen sich nicht damit abfinden, dass Einfamilienhäuser künftig standardmäßig mit einem Schloss versehen werden sollen. Fritz Langfinger hat das nun noch einmal scharf kritisiert und fordert einen "Diebeszugang".

Der Chef der der Internationalen Gewerkschaft der Diebe und Berufseinbrecher Fritz Langfinger hat mit deutlichen Worten vor den Plänen der Türen- und Schlosshersteller gewarnt. Wenn Einfamilienhäuser standardmäßig verschlossen werden, könnten Frauen und Kinder sterben, die Bildungsaussichten ganzer Generationen zerstört und ein altes Handwerk nicht mehr ausgeübt werden. Das erklärte Langfinger auf einer Veranstaltung der Lügner-Gesellschaft in Dortmund. Zwar könnte weiterhin Eigentum fremder Menschen auf öffentlichen Wegen durch geübte Taschendiebe entwendet und verkauft werden, aber angesichts der wachsenden Vorsicht der Menschen sei es technisch nicht möglich genügend Taschendiebe bereitzustellen.

(Anti)-Cyber-Realitätsabgleich

Auf dem EasterHegg in wurde ein sehr interessanter Vortrag über Sicherheitsschwankungen in Datennetzen gehalten.
Hier geht's zum Video: Klick

Katzen erklären digitale Sicherheit

Wie ja jeder Internetbenutzer weiß, besteht das Internet aus ganz vielen Katzen. Sie haben sogar eine eigene Sprache "Lolcat".
Und da scheinbar die Leute im Internet die Welt mithilfe von Katzen besser verstehen hat mal jemand einen sinnvollen tumblr aufgesetzt. "I can haz Digital Security"

Nachfolgend ein paar schöne Beispiele:
Zum Thema Phishing E-Mails (klickt nicht jeden Link an. Euch will im Internet niemand etwas schenken!) Und wenn ihr dann doch mal drauf klickt, kommt im nettesten Fall nur eine Webseite mit der Aufforderung seine Daten anzugeben. Im schlechtsteten Fall fangt ihr euch tolle neue Trojaner ein und eure "PC Freunde" dürfen wieder alles reparieren.
Passt einfach mal auf worauf ihr klickt.

Natürlich sollte man auch wirklich niemanden sein Passwort geben (nicht mal eurem Administrator. Der kann im Zweifelsfall das Passwort selbst zurücksetzen und frägt nur aus Höflichkeit!)
Und natürlich solltet ihr immer unterschiedliche Passwörter verwenden. Denn wenn einmal wieder ein Onlinedienst aufgemacht wird und Passwörter entwedet werden kann auch wirklich mal finanzieller Schaden entstehen. Beispielsweise durch einen Einkauf bei Amazon oder Ebay.

Installiert für euren Browser HTTPS Everywhere. Das bringt den Browser dazu wenn immer möglich eine SSL verschlüsselte Verbindung zum Server aufzubauen. Und wenn ihr nicht das allerlahmste Internet habt ist das nicht mal ein großer Leistungseinbruch, aber mehr Arbeit für die netten Leute, die alles mitlesen wollen. Und ihr könnt leger eure Arme anlehnen.

Und für alle die nach knapp 5 Jahren Windows 7 immer noch dieses alte Windows XP benutzen sei folgender Tipp gegeben. Euer Windows wird bald explodieren, benutzt was anderes. Steigt um auf Windows 7 oder Windows 8 oder gleich auf dieses tolle Linux.

Diese Beispiele sollen erstmal genügen. Mehr und immer wieder neue Bilder mit teilweise guten Erklärungen gibt es hier: "I can haz Digital Security"

Und falls ihr schon verschlüsselte E-Mails verschickt (was sehr fortschrittlich ist) und euer Kontakt antwortet unverschlüsselt, solltet ihr mal drüber nachdenken andere Kontakte zu knüpfen. Oder ihnen die Verschlüsselung einrichten und sie darauf schulen.
Zum Beispiel einen Internetabend veranstalten und die Leute schulen oder sie auf eine Cryptoparty schicken!

WordPress - wp-config.php eine Ebene höher verschieben

Wie ja viele WordPress Nutzer wissen speichert WordPress seine Einstellungen, Kommentare und Texte in eine Datenbank. Auf diese Datenbank muss man ja auch irgendwie zugreifen und dazu nutzt WordPress die Datei "wp-config.php" die im WordPress Verzeichnis liegt.

Nun hat domainfactory in seinem Blog den Tipp gegeben, dass man die "wp-config.php" auch eine Ebene höher verschieben kann. WordPress sucht nämlich auch im übergeordneten Verzeichnis nach dieser Datei, wenn sie nicht im WordPressverzeichnis zu finden ist.

Beispiel:

www.mein-wordpress-blog.de zeigt auf /webseiten/wordpress
Normalerweise ist dann die Datei wp-config.php im Verzeichnis /webseiten/wordpress zu finden. Ein findiger Besucher könnte dann versuchen via www.mein-wordpress-blog.de/wp-config.php die Config anzusehen. Im Normalfall sollte dies nicht möglich sein. Falls aber irgendwann doch mal eine Lücke im System oder in WordPress vorhanden ist, kann die Datei doch sichtbar werden.

Deshalb macht es Sinn die Datei außerhalb der Domainreichweite zu platzieren. In diesem Fall also nach /webseiten/
Es ist nämlich ziemlich schwer via einem Webbrowser eine Verzeichnisebene höher zu gelangen. So ist /webseiten/ mit www.mein-wordpress-blog.de nicht zu erreichen.

Ausnahmen sind wieder fehlerhaft konfigurierte Webserver. Ein geringes Restrisiko bleibt noch. Oder ihr habt eine andere Seite die zufällig auf /webseiten/ verweist. Dann seid ihr aber meines Erachtens selbst schuld. Bittet bei solchen Dingen einen freundlichen Admin um Hilfe.

//Zwecks Updates: Ich habe diese Datei gerade selbst bei mir verschoben und scheinbar schreibt WordPress bei Updates nichts mehr in die wp-config.php
Das letzte Änderungsdatum ist nämlich Mai diesen Jahres gewesen und dazwischen sind ja einige Updates erschienen und eingespielt worden.

xt:commerce 3 Sicherheitslücke bei whos_online.php

Es gibt ja nach wie vor diesen alten und sehr krepeligen Shop namens "xt:commerce 3". Da er Open Source ist wurde er auch immer mal wieder geforkt. Beispielsweise durch Gambio oder modified
Die aktive Entwicklung wurde allerdings irgendwann 2008 komplett eingestellt. Seitdem gibt es keine wirklichen Patches mehr für diesen Shop.

Nun haben die Entwickler von Gambio eine kleine Lücke entdeckt, die sie als sicherheitskritisch einstufen. Unter ganz speziellen Umständen: Nämlich der Admin ist im Shop eingeloggt und schaut gerade via "Who is online" die letzten Besucher an und ein Referer hat zufällig eine bösartige Form angenommen, dann könnte der Shop gekapert werden.

Deshalb ist die Lösung auch ganz simpel:
Beim Auslesen des Links aus der Datenbank werden sämtliche HTML Zeichen durch Unicode ersetzt.

    $whos_online['last_page_url'] = htmlentities($whos_online['last_page_url']);

Gut, diese Zeile war im Original noch nicht drin. Deshalb könnte jemand mit dem Anhang "" tatsächlich versuchen die Session zu übernehmen.
Da allerdings die Who is Online Einträge in der Datenbank nur sehr zeitlich begrenzt gespeichert werden braucht es wirklich sehr großes Glück vom Angreifer, dass er den Admin erwischt und dieser dann auch noch zufällig auf "Who is Online" vorbeischaut.

Aber deshalb so einen großen Aufschrei zu veranstalten und auf Rückfrage keine genaue Auskunft zu geben ist doch auch lächerlich.

Zitat von Gambio:

wir bitten um Verständnis, dass wir derzeit noch keine Detailinformationen herausgeben können, die möglicherweise zum Ausnutzen der Sicherheitslücke verwendet werden könnten. Wir möchten zunächst allen Shopbetreibern ausreichend Zeit geben, den eigenen Shop gegen mögliche Angriffe zu sichern. Anschließend werden wir gern entsprechende Informationen herausgeben

Jetzt wo Heise Online schon darüber berichtete ist das Kind schon in den Brunnen gefallen.
Manchmal ist es sinnvoller die Lücke offensiver zu berichten, dann können andere Security Nerds die Lücke auch einschätzen.

Allgemein ist zu empfehlen xt:commerce 3 nicht mehr zu verwenden. Der Code macht sowieso nicht allzu viel Spaß und ist sowieso sehr schwer auf aktuellen Servern zu betreiben. Es wird nämlich noch PHP 5.2 benötigt und das wird von großen Anbietern wie 1und1, Strato oder auch Hetzner nicht mehr angeboten.
Aber domainfactory bietet die alte PHP 5.2 noch an und die haben auch in ihrem Blog recht schnell über die "Lücke" berichtet.

Tobi on Der Keller vom alten Calwer Schwimmbad: “Scheinbar ja. :)” Nov 1, 13:20
Monkel on Der Keller vom alten Calwer Schwimmbad: “15 Jahre! Ich werde alt…” Okt 31, 07:51
Umzugsunternehmen Berlin on Wohnung aufräumen tut gut: “Ja, Putzen ist eine gute Sache, die wir täglich tun, egal ob wir unsere Wohnung oder unser Büro putzen, um…” Okt 21, 09:42
Mao43 on Montreal - Solang die Fahne weht: “Spannender Text von „Solang die Fahne weht“! :) Danke für den Beitrag” Jun 26, 17:35
Tobi on Friedenskundgebung gegen den Ukraine Krieg: “Hier eine aktuelle Liste zu den Boycotts gegen Russland. https://www.websiteplanet.com/blog/companies-boycotting-russia/” Mai 12, 23:17

M	D	M	D	F	S	S
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30