Archiv der Kategorie: IT-Sicherheit

Hat Google ein Problem mit Amazon?

Seit Wochen fällt mir auf, dass Chromium das oder ein SSL-Zertifikat von Amazon für nicht sicher hält. Auch nach dem Löschen aller Cookies usw. bleibt Chromium dabei. Amazon ist nicht sicher.
Firefox hingegen hält zur gleichen Zeit, die gleiche Seite mit dem gleichen Zertifikat von Amazon für sicher. Hat Google etwa schon einen mit Amazon vergleichbaren Online-Store, oder zahlt Amazon die Rechnungen bei Google nicht? Wie auch immer ich verwende ohnehin meist Firefox, weshalb mich das kaum tangiert.

(18)

Speicherung von Kreditkartendaten der Gäste im Hotel

Zuerst einmal eine Orientierungshilfe, die zwar für Rheinland-Pfalz herausgegeben wurde, aber leicht auf andere Gebiete und auch auf Österreich übertragen werden kann.

View Fullscreen

Hervorheben und zitieren möchte ich aus dem PDF:

Zur Gewährleistung der hier angesprochenen Datensicherheit verpflichtet § 9 BDSG
den Hotelier, alle „technischen und organisatorischen Maßnahmen zu treffen“, die
erforderlich sind, um die rechtmäßige Nutzung der Daten zu gewährleisten.
Dazu muss er
1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen verwehren (Zutrittskontrolle),
2. verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden
können (Zugangskontrolle),
3. gewährleisten, dass die zur Nutzung Berechtigten ausschließlich auf die ihrer
Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle),
4. gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und
von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben,
verändert oder entfernt worden sind (Eingabekontrolle),
5. gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen
eine Übermittlung personenbezogener Daten erfolgt (Weitergabekontrolle),
6. gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden,
nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können
(Auftragskontrolle),
7. gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder
Verlust geschützt sind (Verfügbarkeitskontrolle) und
8. gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt
verarbeitet werden (Trennungsprinzip).
Dabei hat er insbesondere die dem Stand der Technik entsprechenden
Verschlüsselungsverfahren einzusetzen.
Diese Grundsätze der Datensicherheit gelten nicht nur für die Computer des
Hotelbetriebs selbst, sondern auch dann, wenn der Hotelier seinen Hotelgästen die
Nutzung von WLAN ermöglicht.
Kommt es trotzdem zu Datendiebstahl oder Datenverlusten, so ist der Hotelier
verpflichtet, den hiervon Betroffenen, also insbesondere den Hotelgästen, diese
„Datenpanne“ anzuzeigen und Maßnahmen zu treffen, den hierdurch drohenden
Schaden zu begrenzen; eine solche Anzeige ist auch der DatenschutzAufsichtsbehörde
gegenüber abzugeben (§ 42a BDSG).

Ist es wirklich so einfach? Speicherung von Kreditkartendaten der Gäste im Hotel weiterlesen

(38)

Passwörter auf passwords.google.com

Willkommen in der schönen, neuen, sicheren Google-Welt.
Eigentlich lasse ich meine Passwörter von https://lastpass.com verwalten, aber jetzt brauchte ich schnell ein in Chrom gespeichertes Passwort und sah unter „Passwörter verwalten“ nach. Da bemerkte ich den Link, der wohl neu sein muss „Unter passwords.google.com können Sie auf all Ihre Passwörter zugreifen“.
Ich Dummerchen dachte, Chrom speichert die Passwörter lokal auf meinen Rechner. Das hätte ja gar nicht funktionieren können, da ich sie in jedem Chrom auf jeden Rechner zur Verfügung habe, sobald ich mich anmelde.
Es war also ohnehin schon klar, dass Google meine Passwörter in ihrer Cloud speichern, nur war es mir nicht bewusst. Gut jetzt ist es mir bewusst und ich kann immerhin über passwords.google.com auf alle meine Passwörter zugreifen. Ändern werde ich nichts daran, denn ich bin denen sowieso schon komplett ausgeliefert. Erfreulicher weise benötige ich für meine Wohnung noch keine Keycard oder eine Android-App mit dem Passwort auf Google gespeichert, sonst hätte ich immer Angst, dass sie mich eines Tages nicht in die Wohnung lassen, weil ich zum Beispiel für AdWords zuwenig ausgegeben habe oder Google plus eine Woche lang nicht nutzte.

(8)

Let’s encrypt

letsencryptWarum man verschlüsseln sollte geht aus dem Artikel Ein Geschenk für alle Administratoren von Patrick Beuth auf Zeit Online gut hervor. Man kann zum Beispiel auch auf startssl.com ein kostenloses Zertifikat erhalten, aber ich bin von dem Projekt Let’s encrypt begeistert. Es steht ja auch die Linux foundation hinter dem Projekt und es wird unterstützt von Mozilla, Cisco und anderen namhaften Firmen. Ich denke, dass sich das Projekt zukünftig sehr großer Beliebtheit erfreuen wird. Ich habe es jedenfalls getestet und stellte fest, dass es noch nie so einfach war, ein Zertifikat für den Apachen zu installieren. Es ist wirklich sehr benutzerfreundlich. Mit „./letsencrypt-auto –apache“, wie auf How it works beschrieben, war schon alles erledigt.
Auch für Webmin funktionierte es denkbar einfach: „./letsencrypt-auto certonly“ bekam ich die pem-Dateien, die ich dann in das Verzeichnis von Webmin kopierte. In Webmin gab ich dann unter „SSL Support“ den Pfad für das „private key file“ und für das „certificat file“ an – Webmin neu starten – fertig.

Im Chrome sieht die Testseite dann so aus:
chrome
Also mit einem roten Kreuz im Schloss und https durchgestrichen, was bedeutet, dass die Verbindung angeblich nicht sicher ist.

Im Firefox hingegen ist die Seite sicher, was mir persönlich völlig reicht. 😉
firefox
Das bedeutet, ab jetzt sind meine Seiten wieder optimiert für Firefox und der Browserkrieg geht in die nächste Runde. Wobei der ehemalige Platzhirsch, der Internet Explorer, zu meiner Freude inzwischen zu einem unbedeutenden Nebendarsteller wurde.

Weblinks:
letsencrypt.org
Let’s encrypt auf Golem, GitHub, Wikipedia und zum Schluss erwähne ich hier noch den User Guide.

(25)

Absicherung eines Debian (Ubuntu) Servers: SSH

Biuldquelle: http://www.openssh.com/
Bildquelle: http://www.openssh.com/
Obwohl ich keine sensiblen Daten auf meinem Server habe und es sich nur um einen sehr günstigen v-Host, also nur einen virtuellen Rechner handelt, so sind einige erste Schritte nach der Installation für mich trotzdem selbstverständlich. Viele Systeme werden gehackt, weil es einfach möglich ist. Also ohne richtige Motivation, sondern einige Wannabies missbrauchen einfach Netzwerktools und finden es cool, wenn sie z.B. über aktuelle SW-Bugs in fremde Systeme einbrechen können, habe ich gehört. Das muss man nicht fördern, denke ich mir und daher bestehe ich auf ein gewisses Mindestmaß an Sicherheit. Früher regte ich mich über anonyme Proxies auf und verstand nicht, weshalb nicht alle Benutzer auf signierte Emails bestehen, sondern sie Signaturen sogar ablehnen. Heute ist mir das schon gleichgültig und bei dem Schundluder, das bei manchen Zertifizierungsstellen getrieben wird, machen Zertifikate ohnehin bald nicht mehr viel Sinn.
Was soll’s, als erstes halte ich mich an den Grundsatz, nur diese SW zu installieren, die ich wirklich benötige. Plesk gehört da jedenfalls nicht mehr dazu. Als erstes benötige ich natürlich SSH. Daher wird der SSH-Server auch als erstes einigermaßen abgesichert.
Dazu gehört, dass ich den Root-Login nicht erlaube. Siehe dazu SSH Root Login unter Debian verbieten
Plagte mich Paranoia, wählte ich die „Public Key Authentication für SSH“. Aber da dies nicht der Fall ist, genügt mir, dass sich nur ein bestimmter Benutzer (ich) anmelden darf. Außerdem darf sich nur ein Benutzer aus AT, also Österreich anmelden und somit ist der Rest der Welt schon einmal ausgesperrt. Für letzteres verwende ich GeoIP, siehe Limit your SSH logins using GeoIP.
So, das genügt mir schon, was den sshd betrifft.
Naja, vielleicht erwähne ich noch, dass man natürlich die sshd_conf anpassen muss, nicht die ssh_conf.

Weblinks:
http://www.openssh.com/
Manual pages
Secure Shell (SSH) – Halte deine Verbindungen sicher

Absicherung eines Debian Servers
Securing Debian Manual
Debian Server absichern – so machen Sie es richtig!
Absichern von FreeBSD
SSH konfigurieren & absichern
SSH richtig einrichten
How to Allow SSH/FTP Access Based on Country using GeoIP
Linux > SSH optimal schützen bzw. SSH > Public Key Authentication
Tutorials – Secure SSH Tutorial Part 4: Security & ssh-agent
SSH konfigurieren & absichern
GSSAPI authenticationBildquelle: http://www.openssh.com/

(12)