29.02.2016 yahe code legacy security thoughts
Mit Locky sieht die IT-Welt derzeit einen der koordiniertesten Trojanerangriff der jüngeren Zeit. Während er sich Anfangs als Schläfer getarnt haben soll, findet er inzwischen auf unterschiedlichsten Wegen sein Ziel: als Word- oder Excel-Dokument mit schädlichem Makro; als JavaScript-Datei, die sich z.B. als angebliches Sipgate-Fax tarnt; oder gar als altmodische und als ausgestorben geglaubte Batch-Datei. Bei den Opfern des Verschlüsselungstrojaners handelt es sich auch um größere Organisationen wie Krankenhäuser und ein Fraunhofer-Institut. Man ging zeitweise von 5000 Neuinfektionen pro Stunde aus.
Die Vorschläge für Gegenmaßnahmen sehen derzeit noch eher mager aus.
09.12.2015 yahe code legacy security wordpress
Immer wieder findet man vermeindliche Kleinigkeiten, mit denen man sich noch besser gegen Angreifer schützen kann. Einer dieser Blind Spots war bei mir bisher die Passwort-zurücksetzen-Funktion meiner Webseiten. WordPress liefert hier leider keine einfache Konfigurationseinstellung, um sie zu deaktivieren.
02.11.2015 yahe administration hardware legacy linux raspberry security
Vor ein paar Tagen hatte ich vorgestellt, wie man den Hardware-Zufallszahlengenerator des Raspberry Pi nutzen kann, um unter Linux weniger Probleme mit hängenden Kryptographievorgängen zu haben. Leider hat nicht jeder Linux-Server einen Hardware-Zufallszahlengenerator, der als Entropiequelle genutzt werden kann. In diesen Fällen muss eine andere Quelle herhalten.
29.10.2015 yahe administration hardware legacy linux raspberry security
Bei Serversystemen hat man häufig das Problem, dass dem Zufallszahlengenerator nicht genug Nutzerinteraktionen zur Verfügung stehen, um ausreichend Entropie für den Zufallszahlengenerator zu sammeln. Das führt dann, je nach eingesetzter Software, zu hängenden SSH-Verbindungen, zu Timeouts bei HTTPS-Verbindungen oder anderen nicht reproduzierbaren Fehlern.
01.10.2015 yahe administration legacy linux security
Lange Zeit habe ich die kleine Firewall-Distribution m0n0wall eingesetzt, um die Edge-Firewall, sprich, die äußerste Firewall zwischen dem eigenen Netz und dem Internet, in meinem heimischen Netzwerk zu betreiben. Leider wurde die Weiterentwicklung von m0n0wall vor einer Weile eingestellt. Ich musste also früher oder später einen Ersatz finden.
29.09.2015 yahe legacy security
Wer kennt es nicht? Man hat ein Passwort bei einem Dienst vergessen, lässt es zurücksetzen und das neue Passwort, das man setzen möchte, entspricht genau dem Passwort, das man eigentlich vergessen hatte. Einige Dienste weisen einen darauf hin, dass man das Passwort schon einmal verwendet hatte, lassen das Setzen des Passworts dann aber doch zu. Anders sieht das jedoch bei Google aus: Dort wird die erneute Verwendung eines bereits verwendeten Passworts vehement abgelehnt.
18.09.2015 yahe administration legacy linux security
Immer wieder kommt es vor, dass der Wunsch aufkommt, die Verfügbarkeit eines internen Dienstes zu erhöhen. Mitunter ist das das allererste Mal, dass die Beteiligten sich überhaupt mit dem Thema Clustering auseinandersetzen müssen. Leider herrscht immer noch die Meinung vor, dass Clustering ein komplexes Thema sei, das man am besten weit nach hinten schiebt. Dabei wird es umso einfacher, je früher man sich darum Gedanken macht.
15.09.2015 yahe administration legacy security windows
Zur Einschulung meines Neffen habe ich ihm einen aufgearbeiteten Computer geschenkt. Als Sechsjähriger sollte er natürlich nur einen begrenzten Zugriff auf Systemfunktionen (Administration, Softwareinstallation, etc.) haben, was über einen eingeschränkten Account realisiert werden sollte. Gleichzeitig sollte es aber möglich sein, dass er den Rechner einschaltet kann und beim Hochfahren sofort in seinen Account eingeloggt wird.
07.09.2015 yahe legacy publicity security
Ich wollte kurz darauf hinweisen, dass ich mit @AaronTeleK von Spreadaudio ein Interview geführt habe, das nun veröffentlicht wurde. In dem Gespräch zum Thema IT-Sicherheit geht es einmal querbeet von sicheren Passwörtern, über Virenscanner und Firewalls bis hin zur Ende-zu-Ende-Verschlüsselung. Wer mal reinhören will, findet auf der Webseite von Spreadaudio eine Aufzeichnung des gesamten Interviews.
27.04.2015 yahe administration code legacy security wordpress
Vor einiger Zeit hatte ich einmal gezeigt, wie man WordPress gegen eine größere Menge von Zero-Day-Exploits absichern kann, indem man verschiedene Datenbanknutzer einführt. Dadurch verwenden normale Webseitenbesucher einen Datenbanknutzer mit geringeren Privilegien und Nutzer des Backends einen Datenbanknutzer mit höheren Privilegien. Bei Softwarefehlern, die schreibenden Zugriff auf die Datenbank ermöglichen, können so Schreibversuche unterbunden werden.
Leider ist den Entwicklern von WordPress nicht sonderlich daran gelegen, die Datenbank so zu strukturieren, dass bestimmte Datenbankzugriffe für gewisse Nutzer nicht notwendig sind.