Schlagwort-Archive: Sicherheit

„Java“ gesucht – „Hydra“ gefunden

Ich habe keine Ahnung, wieso mir das Ubuntu Software-Center die „Hydra“ vorgeschlagen hat, als ich, nur um zu sehen, welche packages Ubuntu momentan anbietet, nach „Java“ suchte. Da ich ohnehin sehr nachlässig mit Kennwörtern umgehe, obwohl ich jetzt schon LastPass verwende, habe ich mir „Hydra“ gleich installiert. Zu meiner Nachlässigkeit mit Kennwörtern sei ergänzt, dass ich aus Faulheit oft das gleiche, schwache Kennwort benutzte, obwohl ich mir das wirklich abgewöhnen möchte, weil es mit Tools, wie LastPass (es gibt auch noch andere ähnliche Tools) ja ganz einfach zu bewerkstelligen ist. Ein Beispiel für meine Schlamperei im Privatbereich, wo es natürlich nur Daten gibt, die mich betreffen und die meiner Meinung nach nicht so wichtig sind, dass man sie besonders schützen müsste, kann ich mit dem Kennwort für meinen Netzwerkrouter geben. WAP kam mir plötzlich nicht mehr sicher genug vor, denn mir geht es wie gesagt nicht so sehr um meine Daten, sondern ich will Missbrauch meines Systems vermeiden. Also stellte ich auf WAP2 um. Als ich mich nach Jahren erstmals am Web-Interface vom Router anmelden wollte, stellte ich zu meinem Entsetzen fest, dass dort der Default-Benutzer „admin“ ohne Kennwort eingestellt war. Oh meine Göttin, was nützten dir da sichere Protokolle und Kennwörter, wenn du am zentralen Einstiegspunkt nicht einmal irgend ein Kennwort gesetzt hast, dachte ich mir.
Na gut, so etwas darf nicht mehr vorkommen, auch nicht bei meinem unbedeutenden, privaten Netzwerk, also habe ich es erstmals ein wenig abgesichert und versucht, von außen in mein System einzudringen. Jetzt ist es zumindest soweit gesichert, dass keine weit offen stehenden Türen förmlich zum Eintritt einladen. Paranoia werde ich wegen meinem privaten Netz aber sicher keine bekommen.

Auf Grund genannter Tatsache, fand ich den ungewöhnlichen und eigentlich sehr schlechten Vorschlag von Ubuntu „Hydra statt Java“ ganz brauchbar und nützlich.
Ich lese im Software-Center:

dpl4hydra, hydra, hydra-wizard, pw-inspector
Hydra is a parallelized login cracker which supports numerous protocols to attack. It is very fast and flexible, and new modules are easy to add.

This tool makes it possible for researchers and security consultants to show how easy it would be to gain unauthorized access to a system remotely.

It supports: Cisco AAA, Cisco auth, Cisco enable, CVS, FTP, HTTP(S)-FORM-GET, HTTP(S)-FORM-POST, HTTP(S)-GET, HTTP(S)-HEAD, HTTP-Proxy, ICQ, IMAP, IRC, LDAP, MS-SQL, MySQL, NNTP, Oracle Listener, Oracle SID, PC-Anywhere, PC-NFS, POP3, PostgreSQL, RDP, Rexec, Rlogin, Rsh, SIP, SMB(NT), SMTP, SMTP Enum, SNMP v1+v2+v3, SOCKS5, SSH (v1 and v2), SSHKEY, Subversion, Teamspeak (TS2), Telnet, VMware-Auth, VNC and XMPP.

Als Entwicklerwebsite war https://freeworld.thc.org/thc-hydra/ angegeben, also wollte ich mir weitere Infos holen, bevor ich meine Kennwörter damit überprüfen, bzw. knacken wollte.
Schock: Google warnt mich eindringlich:

Die Website, die Sie aufrufen möchten, enthält schädliche Programme.

Unbefugte Dritte könnten auf freeworld.thc.org versuchen, Sie zur Installation von Programmen zu bewegen, die sich nachteilig auf Ihre Browsernutzung auswirken. Dabei kann zum Beispiel Ihre Startseite geändert werden oder es erscheinen zusätzliche Anzeigen auf von Ihnen besuchten Websites.

Na gut, ich bin mit einem privaten Linux unterwegs, also was kann mir schon passieren. Ich besuchte die Seite und fand als Begrüßung sozusagen:

Welcome to the official THC web site. THC is an acronym for ‚The Hacker’s Choice‘ and a group of international experts involved in network and system security. The group looks back on a long history, it was founded in 1995 and published over 70 technical papers and software releases covering a wide range of computer security aspects. Currently, THC is among the top non-commercial security groups worldwide.

Womöglich bin ich etwas naiv, aber was bitte ist an technischen Dokumenten und Software Releases bezüglich Computer Sicherheitsaspekte so gefährlich, schlecht, verwerflich oder ungesetzlich, dass man davor warnen muss?

Darf ich nicht erfahren, welche Risiken und Fehler bestimmte Software mit sich bringen kann? Also ich kenne Internet-Seiten, über die ich zufällig gestolpert bin und die wirklich sofort vom Netz genommen gehören. Damit meine ich jetzt nicht unbedingt FaceBook und Co. Gut, was solls, inzwischen habe ich für mich (das sollte wohl jeder selbst entscheiden) freeworld.thc.org als interessante Quelle eingestuft und über die THC-Hydra habe ich dort gelesen, was ich ohnehin schon selbst herausfand.

Übrigens warnt Google nicht vor der Seite httpss://github.com/vanhauser-thc/thc-hydra und dort bekommen Sie neben der Software samt Beschreibung auch gleich den Source dazu.

Gut, irgendwie ist es mir schon verständlich, dass man vor oben genannter Seite gewarnt wird, denn dazu genügt doch schon der Name „freeworld.thc.org“. Wer von „freier Welt“ spricht, der muss doch verdächtigt werden. Also ich würde es nicht wagen, an eine frei Welt zu denken und schon gar nicht öffentlich davon zu sprechen. ;.)

An dieser Stelle sei auch eine Warnung vor meiner Seite angebracht, denn hier sind „Buttons“ für Google+ und FaceBook eingebunden und bekanntlich sammeln diese Daten-Kraken oder Daten-Ungeheuer schon Ihre Daten, wenn Sie auf meine Seite kommen. Dazu müssen Sie erst gar nicht den „Like- oder f-Button“ anklicken. Also, es ist sowieso schon egal, es ist ja schon jedem bekannt, dass Sie hier waren. Klicken Sie daher einfach auch noch auf „like“, damit ich auch etwas davon habe. 😉

WordPress Security Plugin

Das Plugin All In One WordPress Security and Firewall Plugin mag vielleicht ganz gut sein, aber bevor ich es wieder aktiviere, lese ich mir die Einstellungsmöglichkeiten genau durch. Denn jetzt schützte es mich vor Besuchern – was nicht wirklich schlimm ist bei meinem Notizblog – und davor, dass meine Artikel auf FB, Twitter und G+ geteilt werden. Also, einfach aktiviert schützt es mir zu gut und für die Einstellung habe ich momentan weder Zeit noch Lust. Aber ich lasse es inaktiv installiert, falls ich demnächst Zeit finde, mir anzusehen was es kann und macht.
Auf deren Seite las ich:

A COMPREHENSIVE, EASY TO USE, STABLE AND WELL SUPPORTED WORDPRESS SECURITY PLUGIN
WordPress itself is a very secure platform. However, it helps to add some extra security and firewall to your site by using a security plugin that enforces a lot of good security practices.
The All In One WordPress Security plugin will take your website security to a whole new level.
This plugin is designed and written by experts and is easy to use and understand.
It reduces security risk by checking for vulnerabilities, and by implementing and enforcing the latest recommended WordPress security practices and techniques.

Wie gesagt, es mag vielleicht gut sein, aber einfach nur aktivieren ist zuwenig, die Einstellungsmöglichkeiten sollte man schon wenigstens durchgehen.
Kaum zu fassen, wie faul ich geworden bin. 😉

Wie man Kunden vor Online Kreditkartenbetrug schützt:

Heutzutage erwartet man von Unternehmen, dass sie Online Rechnungs- und Zahlungsoptionen anbieten. Kunden erwarten, dass sie für Ihre Produkte und Dienstleistungen online zahlen können. Das ist natürlich ein Annehmlichkeit, birgt aber auch Risiken, wenn diese Optionen nicht angemessen gehandhabt werden.

In Läden, die Kredit- und Debitkartenzahlung annehmen, wird entweder der Personalausweis, die PIN Nummer oder die Unterschrift abgeglichen, um Sicherheit zu gewähren und zu kontrollieren, dass der Kunde auch der Kartenbesitzer ist. Leider ist dies bei Onlinetranskationen nicht möglich. Dennoch gibt es einige Vorsichtsmaßnahmen, um Kreditkartenbetrug Online zu reduzieren und sicher zu machen.

SSL-Verschlüsselung

Besonders wichtig ist eine SSL Verschlüsselung. SSL steht für ‚Secure Socket Layer‘ und dient der Sicherheit im Internet. Das bedeutet für den Nutzer, dass alle Daten nur verschlüsselt durch das Internet gesendet werden, und nur der eingetragene oder vorgesehene Empfänger die Daten wieder entschlüsselt lesen kann. Es gibt verschiedene Arten von Verschlüsselung, zum Beispiel 128-bit und 256-bit. Diese beiden sind die sichersten Verschlüsslungen die es derzeit gibt und schützen die Daten vor potentiellen Hackern.

Gesetze befolgen

Jedes Land hat gesetzlich verschiedenen Regulierungen, die jede Firma, die Online Kreditkarteninformationen aufbewahrt oder weiterleitet, einhalten muss. Das dient ebenfalls der Sicherheit und dem Schutz der Kunden. Bei Nichteinhaltung können daher Bußgelder erhoben werden.

Ziffern verbergen

Eine weitere Art, Kundeninformationen zu sichern ist, diese in E-Mails zu verbergen, und lediglich die letzten 4 Ziffern zur Authentifizierung anzuzeigen. Auch wenn der Kunde grad erste seine Daten eingegeben hat, sollte die Bestätigungsemail keinesfalls die Daten offenlegen, denn durch einen einfachen Tippfehler oder Hacker können diese Daten so in falsche Hände gelangen.

Allein diese drei Schritte zu befolgen kann die Wahrscheinlichkeit eines Kreditkartenbetruges stark minimieren. Kartenbetrug hat nicht nur einen großen, negativen Einfluss auf die Finanzen des Kunden, sondern ebenso auf den Ruf des Karteninstitutes, oder der Firma, durch deren Sicherheitslücke die Daten gestohlen wurden.

Die Sicherheit der Kunden sollte an erster Stelle stehen. Für große Unternehmen mit mehreren Domains ist daher ein Wildcard Zertifikat zu empfehlen, um gleich mehrere Webseiten abzudecken.

Schützen Sie Ihre Glaubwürdigkeit und Ihren Ruf indem Sie den Kunden Sicherheit beim Online einkaufen und bezahlen bieten.