Schlagwort-Archive: Sicherheit

„Java“ gesucht – „Hydra“ gefunden

Ich habe keine Ahnung, wieso mir das Ubuntu Software-Center die „Hydra“ vorgeschlagen hat, als ich, nur um zu sehen, welche packages Ubuntu momentan anbietet, nach „Java“ suchte. Da ich ohnehin sehr nachlässig mit Kennwörtern umgehe, obwohl ich jetzt schon LastPass verwende, habe ich mir „Hydra“ gleich installiert. Zu meiner Nachlässigkeit mit Kennwörtern sei ergänzt, dass ich aus Faulheit oft das gleiche, schwache Kennwort benutzte, obwohl ich mir das wirklich abgewöhnen möchte, weil es mit Tools, wie LastPass (es gibt auch noch andere ähnliche Tools) ja ganz einfach zu bewerkstelligen ist. Ein Beispiel für meine Schlamperei im Privatbereich, wo es natürlich nur Daten gibt, die mich betreffen und die meiner Meinung nach nicht so wichtig sind, dass man sie besonders schützen müsste, kann ich mit dem Kennwort für meinen Netzwerkrouter geben. WAP kam mir plötzlich nicht mehr sicher genug vor, denn mir geht es wie gesagt nicht so sehr um meine Daten, sondern ich will Missbrauch meines Systems vermeiden. Also stellte ich auf WAP2 um. Als ich mich nach Jahren erstmals am Web-Interface vom Router anmelden wollte, stellte ich zu meinem Entsetzen fest, dass dort der Default-Benutzer „admin“ ohne Kennwort eingestellt war. Oh meine Göttin, was nützten dir da sichere Protokolle und Kennwörter, wenn du am zentralen Einstiegspunkt nicht einmal irgend ein Kennwort gesetzt hast, dachte ich mir.
Na gut, so etwas darf nicht mehr vorkommen, auch nicht bei meinem unbedeutenden, privaten Netzwerk, also habe ich es erstmals ein wenig abgesichert und versucht, von außen in mein System einzudringen. Jetzt ist es zumindest soweit gesichert, dass keine weit offen stehenden Türen förmlich zum Eintritt einladen. Paranoia werde ich wegen meinem privaten Netz aber sicher keine bekommen.

Auf Grund genannter Tatsache, fand ich den ungewöhnlichen und eigentlich sehr schlechten Vorschlag von Ubuntu „Hydra statt Java“ ganz brauchbar und nützlich.
Ich lese im Software-Center:

dpl4hydra, hydra, hydra-wizard, pw-inspector
Hydra is a parallelized login cracker which supports numerous protocols to attack. It is very fast and flexible, and new modules are easy to add.

This tool makes it possible for researchers and security consultants to show how easy it would be to gain unauthorized access to a system remotely.

It supports: Cisco AAA, Cisco auth, Cisco enable, CVS, FTP, HTTP(S)-FORM-GET, HTTP(S)-FORM-POST, HTTP(S)-GET, HTTP(S)-HEAD, HTTP-Proxy, ICQ, IMAP, IRC, LDAP, MS-SQL, MySQL, NNTP, Oracle Listener, Oracle SID, PC-Anywhere, PC-NFS, POP3, PostgreSQL, RDP, Rexec, Rlogin, Rsh, SIP, SMB(NT), SMTP, SMTP Enum, SNMP v1+v2+v3, SOCKS5, SSH (v1 and v2), SSHKEY, Subversion, Teamspeak (TS2), Telnet, VMware-Auth, VNC and XMPP.

Als Entwicklerwebsite war http://freeworld.thc.org/thc-hydra/ angegeben, also wollte ich mir weitere Infos holen, bevor ich meine Kennwörter damit überprüfen, bzw. knacken wollte.
Schock: Google warnt mich eindringlich:

Die Website, die Sie aufrufen möchten, enthält schädliche Programme.

Unbefugte Dritte könnten auf freeworld.thc.org versuchen, Sie zur Installation von Programmen zu bewegen, die sich nachteilig auf Ihre Browsernutzung auswirken. Dabei kann zum Beispiel Ihre Startseite geändert werden oder es erscheinen zusätzliche Anzeigen auf von Ihnen besuchten Websites.

Na gut, ich bin mit einem privaten Linux unterwegs, also was kann mir schon passieren. Ich besuchte die Seite und fand als Begrüßung sozusagen:

Welcome to the official THC web site. THC is an acronym for ‚The Hacker’s Choice‘ and a group of international experts involved in network and system security. The group looks back on a long history, it was founded in 1995 and published over 70 technical papers and software releases covering a wide range of computer security aspects. Currently, THC is among the top non-commercial security groups worldwide.

Womöglich bin ich etwas naiv, aber was bitte ist an technischen Dokumenten und Software Releases bezüglich Computer Sicherheitsaspekte so gefährlich, schlecht, verwerflich oder ungesetzlich, dass man davor warnen muss?

Darf ich nicht erfahren, welche Risiken und Fehler bestimmte Software mit sich bringen kann? Also ich kenne Internet-Seiten, über die ich zufällig gestolpert bin und die wirklich sofort vom Netz genommen gehören. Damit meine ich jetzt nicht unbedingt FaceBook und Co. Gut, was solls, inzwischen habe ich für mich (das sollte wohl jeder selbst entscheiden) freeworld.thc.org als interessante Quelle eingestuft und über die THC-Hydra habe ich dort gelesen, was ich ohnehin schon selbst herausfand.

Übrigens warnt Google nicht vor der Seite https://github.com/vanhauser-thc/thc-hydra und dort bekommen Sie neben der Software samt Beschreibung auch gleich den Source dazu.

Gut, irgendwie ist es mir schon verständlich, dass man vor oben genannter Seite gewarnt wird, denn dazu genügt doch schon der Name „freeworld.thc.org“. Wer von „freier Welt“ spricht, der muss doch verdächtigt werden. Also ich würde es nicht wagen, an eine frei Welt zu denken und schon gar nicht öffentlich davon zu sprechen. ;.)

An dieser Stelle sei auch eine Warnung vor meiner Seite angebracht, denn hier sind „Buttons“ für Google+ und FaceBook eingebunden und bekanntlich sammeln diese Daten-Kraken oder Daten-Ungeheuer schon Ihre Daten, wenn Sie auf meine Seite kommen. Dazu müssen Sie erst gar nicht den „Like- oder f-Button“ anklicken. Also, es ist sowieso schon egal, es ist ja schon jedem bekannt, dass Sie hier waren. Klicken Sie daher einfach auch noch auf „like“, damit ich auch etwas davon habe. 😉

(77)

WordPress Security Plugin

Das Plugin All In One WordPress Security and Firewall Plugin mag vielleicht ganz gut sein, aber bevor ich es wieder aktiviere, lese ich mir die Einstellungsmöglichkeiten genau durch. Denn jetzt schützte es mich vor Besuchern – was nicht wirklich schlimm ist bei meinem Notizblog – und davor, dass meine Artikel auf FB, Twitter und G+ geteilt werden. Also, einfach aktiviert schützt es mir zu gut und für die Einstellung habe ich momentan weder Zeit noch Lust. Aber ich lasse es inaktiv installiert, falls ich demnächst Zeit finde, mir anzusehen was es kann und macht.
Auf deren Seite las ich:

A COMPREHENSIVE, EASY TO USE, STABLE AND WELL SUPPORTED WORDPRESS SECURITY PLUGIN
WordPress itself is a very secure platform. However, it helps to add some extra security and firewall to your site by using a security plugin that enforces a lot of good security practices.
The All In One WordPress Security plugin will take your website security to a whole new level.
This plugin is designed and written by experts and is easy to use and understand.
It reduces security risk by checking for vulnerabilities, and by implementing and enforcing the latest recommended WordPress security practices and techniques.

Wie gesagt, es mag vielleicht gut sein, aber einfach nur aktivieren ist zuwenig, die Einstellungsmöglichkeiten sollte man schon wenigstens durchgehen.
Kaum zu fassen, wie faul ich geworden bin. 😉

(834)

Wie man Kunden vor Online Kreditkartenbetrug schützt:

Heutzutage erwartet man von Unternehmen, dass sie Online Rechnungs- und Zahlungsoptionen anbieten. Kunden erwarten, dass sie für Ihre Produkte und Dienstleistungen online zahlen können. Das ist natürlich ein Annehmlichkeit, birgt aber auch Risiken, wenn diese Optionen nicht angemessen gehandhabt werden.

In Läden, die Kredit- und Debitkartenzahlung annehmen, wird entweder der Personalausweis, die PIN Nummer oder die Unterschrift abgeglichen, um Sicherheit zu gewähren und zu kontrollieren, dass der Kunde auch der Kartenbesitzer ist. Leider ist dies bei Onlinetranskationen nicht möglich. Dennoch gibt es einige Vorsichtsmaßnahmen, um Kreditkartenbetrug Online zu reduzieren und sicher zu machen.

SSL-Verschlüsselung

Besonders wichtig ist eine SSL Verschlüsselung. SSL steht für ‚Secure Socket Layer‘ und dient der Sicherheit im Internet. Das bedeutet für den Nutzer, dass alle Daten nur verschlüsselt durch das Internet gesendet werden, und nur der eingetragene oder vorgesehene Empfänger die Daten wieder entschlüsselt lesen kann. Es gibt verschiedene Arten von Verschlüsselung, zum Beispiel 128-bit und 256-bit. Diese beiden sind die sichersten Verschlüsslungen die es derzeit gibt und schützen die Daten vor potentiellen Hackern.

Gesetze befolgen

Jedes Land hat gesetzlich verschiedenen Regulierungen, die jede Firma, die Online Kreditkarteninformationen aufbewahrt oder weiterleitet, einhalten muss. Das dient ebenfalls der Sicherheit und dem Schutz der Kunden. Bei Nichteinhaltung können daher Bußgelder erhoben werden.

Ziffern verbergen

Eine weitere Art, Kundeninformationen zu sichern ist, diese in E-Mails zu verbergen, und lediglich die letzten 4 Ziffern zur Authentifizierung anzuzeigen. Auch wenn der Kunde grad erste seine Daten eingegeben hat, sollte die Bestätigungsemail keinesfalls die Daten offenlegen, denn durch einen einfachen Tippfehler oder Hacker können diese Daten so in falsche Hände gelangen.

Allein diese drei Schritte zu befolgen kann die Wahrscheinlichkeit eines Kreditkartenbetruges stark minimieren. Kartenbetrug hat nicht nur einen großen, negativen Einfluss auf die Finanzen des Kunden, sondern ebenso auf den Ruf des Karteninstitutes, oder der Firma, durch deren Sicherheitslücke die Daten gestohlen wurden.

Die Sicherheit der Kunden sollte an erster Stelle stehen. Für große Unternehmen mit mehreren Domains ist daher ein Wildcard Zertifikat zu empfehlen, um gleich mehrere Webseiten abzudecken.

Schützen Sie Ihre Glaubwürdigkeit und Ihren Ruf indem Sie den Kunden Sicherheit beim Online einkaufen und bezahlen bieten.

 

(635)

Sicherheit geht vor

das weiß doch jeder Tor. Manche pflegen angeblich ihr ganzes Leben lang nichts anderes zu tun, als sich für alle Fälle zu rüsten. Wenn sie es endlich geschafft haben, rafft sie der Tod wegen Altersschwäche hinweg, denn er allein ist jedem Leben sicher. Natürlich kann man um eine Wohnung eine nicht-chinesische Mauer aufziehen, einen Limes und dahinter einen Wassergraben und dann einen eisernen Vorhang… Die Tür muss richtig verankert sein, aber dann machen vielleicht 10 elektronische und 5 mechanische Schlösser einen Sinn. Auch Verschlüsselung der eigenen Daten und womöglich der gesamten Festplatte am persönlichen Rechner kann unter Umständen sogar sinnvoll sein.
Dumm ist nur, wenn sie die Wohnung nicht mehr verlassen können, vielleicht aus Angst, dass sie selbst nicht mehr hinein kommen, weil sie irgend ein Kennwort (-zeichen) vergessen haben, oder weil es einfach viel zu lange dauert und zu mühsam ist. Wozu also der ganze Aufwand? Damit der Nachbar nicht sieht wie dreckig es in ihrem Wohnzimmer ist? Ach, das ist doch keine Schande, schließlich hatten sie doch viel zu tun, mit den ganzen Sicherheitsmaßnahmen.
Es gibt viele törichte Ideen und auch viele Dummheiten. Der umgekehrte Fall ist auch so eine, nämlich wenn Sie eine versperrbare Haustür haben, aber den Schlüssel weg werfen und die Tür weit offen stehen lassen, ähnliches habe ich z.B. bei Ubuntu 10.4 gesehen. Aber der Standardhauptbenutzer kann dann ja einen Schlosser kommen lassen, der ihm ein neues Schloss einbaut. Tödeldida, dödeldidi – verschlüssel nur den Schlüssel nie. LOL
Wie dem auch sei, sicher ist sicher, sprach der körperlich gesunde, militante Nichtraucher, stieg in sein Auto und tötet einen unschuldigen Passanten. Der Satz musste sein, um die statistisch häufigste Todesursache durch Fremdeinwirkung erwähnt zu haben, wenn es schon um Sicherheit geht. Ich bin für ein Pickerl auf jedes Fahrzeug: „Achtung die Benutzung kann tödlich enden“. Aber noch richtiger wäre eine Warnung bei der Geburt, denn Leben kann nicht nur unsicher und tödlich sein, sondern es endet immer und ausnahmslos mit dem Tod. Also aufpassen, denn: „Leben kann nicht nur unsicher und tödlich sein – sondern, Leben ist tödlich“! Das, und nur das, ist wirklich sicher.
Liebe Grüße vom Transparenzheini mit gesundem Vertrauen, Helmeloh

(217)

Sicherheitsfalle in Ubuntu – der Defaulthauptbenutzer

Nach ein paar Tagen PC-Pause gab es heute eine Menge Updates und das geniale Ubuntu brachte u.a. ein Kernelupdate und den Firefox 3.0 ins Spiel. Ich bin ja schon lange überzeugt von Ubuntu am Dektop und sonst bleibe ich nach wie vor bei Debian oder einem BSD. Normalerweise bleibt mir nach der Installation eigentlich gar nichts anderes übrig als ein „sudo passwd“, da ich mir ein System ohne root einfach nicht vorstellen konnte und die Gewohnheit ersparte mir langes Nachdenken. Unlängst bemerkte ich allerdings, dass in Ubuntu „By default, the root account password is locked in Ubuntu“ der root by default entmachtet wird, was Sicherheitstechnisch eine absolute Katastrophe darstellt und lokal alle Berechtigungssysteme und Benutzerrechte sinnlos macht. Siehe auf sudo:

Ubuntu und Derivate nutzen sudo standardmäßig. Ein root-Konto ist dort durch ein ungültiges Passwort deaktiviert. In bestimmten Fällen, kann die Aktivierung des root-Kontos sinnvoll sein. Etwa dann, wenn ein Zugriff auf die Hardware (Rechner) durch Andere nicht ausgeschlossen werden kann. So kann der Rechner z.B. im Recovery Modus gestartet werden, wobei man direkt auf die root-Konsole gelangt. Dies kann durch die Aktivierung des Kontos verhindern werden, da so nach dem root-Passwort gefragt wird. Allerdings bietet auch das keine hundertprozentige Sicherheit, da man auch per Live-CD auf das System zugreifen und Daten (inklusive Passwort-Dateien) manipulieren kann.

Wozu gibt es die ganzen Sperren und Plomben für die Hardware, wenn ich im Recovery-Mode ohne mir nix dir nix root werden kann? Pfui, pfui, da sollte man sich dringend etwas überlegen, oder zumindest bei der Installation warnen, denn immerhin soll Ubuntu ja nicht nur kostenlos und fantastisch gut in jeder anderen Hinsicht, sondern auch möglichst sicher sein. Bis dahin empfehle ich unbedingt „sudo passwd“, um sich mit einem neuen „UNIX-Passwort“ für den root wieder als Herr des Systems fühlen zu können und nicht als irgend ein „Defaulthauptbenutzer“ auf der Seife zu stehen. 😉

Weblinks:
RootSudo
Warum und wie einen Root Account aktivieren ?

(660)