Archiv der Kategorie: Sicherheit

Die 25 gefährlichsten Programmierfehler zum Thema Sicherheit

Ein Zusammenschluss von vielen namhaften Firmen hat eine List der 25 gefährlichsten Programmierfehlern veröffentlicht. Mindestens diese sollte sich jeder Programmierer merken und sie nicht mehr machen.

Hier ist der Bericht zu finden:

http://www.sans.org/top25errors/

Natürlich helfen solche Maßnahmen, aber die imperfiktion des Menschen ist das eigentliche Problem und der Ausweg daraus sind ordentliche Tests, die sicher stellen, dass Fehler ausgeschlossen werden.
Folgende Stichpunkte helfen hier weiter:

  • Qualitätssicherung (als Oberbegriff)
  • Unit Tests
  • Sicherheitsanalyse durch Spezialisten

Online geprüfte Lizenzen gefährden viele Unternehmen

Fast 2 Tage waren nicht wenige Unternehmen ohne Schutz, weil ein Lizenzserver bei SonicWall versagt hat. Ein „Reset“ diverser Lizenzen führte dazu, dass wichtige Funktionen von SonicWall Produkten ihre Dienste eingestellt haben.

Dazu werden sie laut Hersteller erst wieder aktiv, wenn man sie wieder resynchronisiert. Diese Anleitung ermöglich es registrierten Kunden die Lizenz wieder zu aktivieren.

Es ist nicht das erste Mal, dass Produkte ihren Dienst einstellen, weil der Lizenzserver eine Störung hat, oder Kunden unabsichtlich auf Blacklists landen. Wird der Fehler nicht bemerkt (wie es hier der Fall sein könnnte), so enstehen nicht unerhebliche Risiken für Unternehmen.

Folgende Produkte waren betroffen:

  • SonicWALL UTM Firewall Appliances-PRO series, TZ series und NSA Series Appliances
  • Alle SonicWALL Email Security Appliances und Email Security Software.
  • SonicWALL Content Security Manager Appliances und Continuous Data Protection Appliances

Auf der Homepage des Herstellers steht keine Warnung und damit dürfte es eine Zeit lang dauern, bis den Zuständigen in den Unternehmen das Problem aufgefallen ist und wieder behoben wird.

Ich hoffe diese Lizenzpolitik wird hoffentlich bald für solche sicherheitskritische Produkte abgestellt und vor allem dafür gesorgt, dass der Kunde bei solchen Vorfällen möglichst schnell informiert wird.

Quellen und weitere Hinweise:

Zwei kritische Sicherheitslücken in WordPress 2.6.3 behoben

Und wieder musste ein Update her, um die Sicherheit der WordPress Applikation zu garantieren.

Eine der Lücken ermöglichte sogar Zugriff auf den Root Server und die zweite befand sich im default-theme von WordPress. Dort war es möglich eine XSS-Lücke auszunutzen und Besuchern Code unterzuschieben.

Und weiter geht es!

Quellen und weitere Informationen:

WordPress auf 2.6.2 und einige Plugins aktualisiert

Was tut man nicht alles für die Sicherheit seines Blogges. Heute war wieder mal ein Update fällig. Dabei habe ich auch Plugins aktualisiert. Da freut sich das Entwickler- und Adminherz, wenn alles neu ist! 😉

WordPress 2.6.2 behebt eine Sicherheitslücke, mit der es möglich war Accounts zu übernehmen, wenn die Registrierung des Blogs offen ist.

Für weitere Informationen siehe:

Möge PHP4 in Frieden ruhen

Gestern am 08.08.2008 wurde die Unterstützung für PHP 4.4 als letzte Version der PHP4 Familie eingestellt. Wenn es auch kein wirklicher Trauertag ist, da die meiste Software weiter unter PHP5 funktionieren wird, so sollte dieser Tag dokumentiert werden.

Gentoo hat offiziell in einer E-Mail  an die Announce-Mailinglist angekündigt PHP4-basierte Software aus ihren Repositories zu nehmen. Durch diesen drastischen Eingriff wird höchst wahrscheinlich nicht wenig Software und kleine Skripte verloren gehen bzw. nicht mehr unterstützt werden.

Auch die Hoster müssen spätestens jetzt ihre Server auf PHP5 portieren, da keine weiteren Sicherheitsaktualisierungen für PHP4 zur Verfügung gestellt werden. Es wird auch einzelne Kunden härter treffen, da ihre Software mit PHP5 nicht mehr funktionieren wird.

Aus der Sicht der Sicherheit kann allerdings dieser Tag gelobt werden. Mit dem Versionswechsel wird die alte Version von PHP auf aktuellere Versionen hoch gehieft und PHP4-basierte Software wird ebenfalls auf den neusten Stand gebracht oder durch gewartete Software ersetzt. Nicht selten werden damit nicht mehr gewartete Komponenten zwangsweise ersetzt werden müssen.

Trotz der ganzen Kritik, muss an die Entwickler von PHP ein großer Lob ausgesprochen werden. Mit PHP4 wurden erste Ansätze für objektorientierte Programmierung eingeführt und mit Version 5 weiter entwickelt. Die lange Wartungszeit von PHP4 hatte Entwicklern genug Zeit gegeben ihre Software auf PHP5 zu portieren. Damit kann keine Kritik an die PHP-Entwickler ausgesprochen werden.

Weitere Informationen:

Was ist ein sicheres Passwort und wie kann ich es mir „merken“?

Passwörter stellen die Basis für Zugänge zu Diensten dar. Nicht selten sind die Zugänge aber ganze Firmennetzwerke. Aus diesem Grund sollte die Wahl des Passwortes sehr gut überlegt sein und nach Möglichkeit sollten andere Methoden wie Smart Cards oder wenigstens Zertifikate benutzt werden, um die Sicherheit zu erhöhen.

Trotzdem werden auch Heutzutage sehr viele Zugänge durch Passwörter geschützt und da muss man sich raus helfen. Deswegen versuche ich im weiteren Lösungsansätze und ihre Tücken zu beschreiben.

Erster Lösungsansatz:
Heute können Passwörter mit einer Länge von 5 Zeichen in wenigen Minuten geknackt werden und mit der steigenden Rechenleistung müssen die Passwörter immer länger werden. Das hilft natürlich dem Benutzer nur wenig sich Passwörter zu merken. Wenn der Name der Frau, Tochter, Sohn, Mutter oder Schwiegermutter zu kurz wird, dann kommt oft eine Kombination der genannten Punkte zustande. Oft werden auch Geburtstage von nahen Menschen als Passwörter benutzt. Hier lässt nicht nur die Länge der Passwörter, als auch die Komplexität zu wünschen übrig. Dazu benötigt es oft nicht mal eines schneller Rechners, als ein bisschen raten und die nahe stehenden Personen kennen. Oft führen Passwortattacken zum Erfolg, da Nutzer sich einfache Begriffe als Passwörter aussuchen.
Damit fallen lange Passwörter ohne weitere Komplexitätsbedingungen als steigernde Sicherheitsmaßnahmen kaum ins Gewicht.

Zweiter Lösungsansatz:
Der zweite Ansatz besteht darin nicht nur wie im ersten Ansatz die Länge, sondern zusätzlich die Komplexität der Passwörter mit Zahlen zu erhöhen. Dadurch wird der Suchraum für Wörterbuch Attacken schwierig und für Bruteforce Attacken deutlich komplexer, weil der Suchraum sind durch die Zahlen vergrößert. Allerdings hilft es oft nicht gegen „schlechte Kombinationen“ wie z.B. Name der Frau/Freundin + Geburtstag. Nur wenige und nicht wirklich geheime Informationen helfen dem Angreifer auch dieses komplexer wirkende Passwort zu knacken.

Dritter Lösungsansatz:
Im dritten Ansatz sollten nicht nur lange Passwörter, sondern Zahlen und Sonderzeichen erzwungen werden. Zusätzlich soll eine Mindestanzahl an Zahlen und Sonderzeichen vorgeschrieben werden. Solch ein komplexes Passwort wird viele Wörterbuch und Bruteforce Attacken erschweren. Davon ausgenommen sind „glänzend“ gewählte Passwörter wie „1ch_b1n_sup3r“ oder ähnliche Kombinationen, wenn sie auch jetzt deutlich schwerer zu erraten sind.
Das größere Problem ist die große Unzufriedenheit der Benutzer, weil sie sich oft für viele verschiedene Dienste (privat und beruflich) Passwörter merken müssen. Auch der Administrator gewinnt damit keine Freunde unter den Nutzern, wenn er auch oft wenig für diese Regelungen kann.
Aber komplexe Passwörter lassen nicht nur Admins, sondern auch Nutzer ruhiger schlafen, weil sie auch die Verantwortung für ihre Handlungen tragen müssen. Damit gehen wir zum vierten und meiner Ansicht nach im Moment den vernünftigsten Weg, bis es endlich vertrauenswürdige „Signle Sign On“ Systeme existieren, die uns von dieser Komplexität befreien.

Vierter Lösungsansatz:
Da komplexe und lange Passwörter zwangsweise gefordert werden, sollte auch ein vernünftiger Kompromiss gefunden werden, der dem Benutzer das Merken der vielen langen Passwörter abnimmt und ihm damit vor allem das regelmäßige Ändern der Passwörter erleichtert. Als Basisschutz für diesen Passwortspeicher nehmen wir ein komplexes und langes Passwort, welches die anderen Passwörter schützen soll. Der Nutzer speichert die Passwörter in einem sicheren Speicher, aus dem er die Passwörter bei Bedarf mit Hilfe des Master Passwortes auslesen kann.

Sicherung des Passwortspeichers:
Der Speicher für Passwörter stellt aber gleichzeitig ein hohes Sicherheitsrisiko dar, da in ihm alle Passwörter und damit alle Zugänge gespeichert sind. Oft sind in solchen Speichern auch Kreditkarten Nummern und Zugänge zu Bankkonten hinterlegt.
Wegen Bequemlichkeit und da viele ihr Mobiltelefon fast immer bei sich tragen, gewinnt das Handy als Passwortspeicher an Bedeutung. Da das Handy klein, leicht und immer mitgeführt wird, stellt es auch ein gutes Diebesgut dar. Aber auch Implementierungsfehler in der Firmware, Software oder Betriebssystem können das Auslesen der verschlüsselten Datei mit den Passwörtern ermöglichen.
Da die Sicherheit der mobilen Geräte kaum beeinflusst werden kann, sollte bei einem Diebstahl der Daten, dem Dieb so wenig wie möglich Informationen preisgegeben werden. Auch wenn der Angreifer das Passwort nicht kennt, so wird er es versuchen zu knacken.
Ist der Inhalt einfach nur verschlüsselt, so kann davon ausgegangen werden, dass nach endlicher Zeit die Verschlüsselung geknackt werden kann und damit die Passwörter in falsche Händer geraten.
Um dieses Problem zu lösen, haben die Forscher des Fraunhofer Instituts Sichere Informationstechnologie sich eine Lösung einfallen lassen. Für den Mobile Sitter wird ein Master Passwort erstellt, welches die Passwörter gegen Angriffe schützt, in dem es bei beliebiger Eingabe Passwörter liefert. Damit ist das Raten von Passwörter kaum möglich, da der Angreifer immer ein Ergebnis erhält und dadurch nicht auf das richtige Masterpasswort schließen kann. Der Benutzer erhält bei der richtigen Eingabe aber seine Passwörter zu sehen. Ein Bild hilft ihm als Erkennungsmerkmal, dass er auch wirklich das richtige Passwort eingegeben hat.
Als einziges Manko ist die Möglichkeit des Ändern der Passwörter bei beliebiger Eingabe zu sehen. Aber auch dieser Nachteil ist wichtig für die Sicherheit, da der Angreifer unter keinen Umständen erfahren soll, dass er das richtige Passwort eingegeben hat. Allerdings sollte keiner sein Handy mit Passwörtern jemand anders geben und eine Export-Möglichkeit rettet die gespeicherten Informationen auch bei unfreiwilligen Änderungen.

Erhöhte Sicherheit mit dem Mobile Sitter:
Besonders sicherheitsbewusste Nutzer können die Sicherheit noch weiter erhöhen, in dem sie verschiedene Passwörter mit verschiedenen Master Passwörtern speichern und damit gleichzeitig eine Art „Gruppierung“ der Passwörter nach Sicherheitsstufe und Einsatz sicherstellen können. Erhält de Angreifer den verschlüsselten Speicher und ein Passwort, so bleiben wenigstens die anderen Passwörter geheim, da sie mit einem anderen Passwort verschlüsselt wurden.

Wer sich für den Mobile Sitter oder andere ähnliche Systeme interessiert, den verweise ich auf die Herstellerseiten. Dort sind auch die Verschlüsselungsverfahren und mögliche Geräte für die Nutzung aufgelistet. Der Mobile Sitter gilt hierbei als Beispiel für ein Produktklasse und verhilft zu deutlich mehr Sicherheit im Vergleich zu Passwortspeicher Systemen mit einer möglichen Eingabe für das Master Passwort.

Damit das Generieren der Passwörter auch wirklich sicher ist, empfehle ich die folgende Seite, auf der auch der Algorithmus für die Generierung erklärt ist: https://www.grc.com/passwords.htm

Quellen und Links zusammengefasst:

Über Kritik oder Anregungen zu diesem und anderen Beiträgen würde ich mich sehr freuen.

Debian OpenSSL Debakel zusammengefasst und trotzdem gelobt!

Nein, ich möchte nicht lästern und mich über Debian beschweren. Ich möchte Debian und den Entwicklern für die offenen Kommunikation danken. Natürlich trug auch dieser Fehler nicht wenig Arbeit mit sich, aber besser offen diskutiert und alle gewarnt, als den Fehler unter dem Teppich zu verstecken.

Aus diesem und anderen Gründen werde ich Debian weiter nutzen, unterstützen und fördern. Das gillt generell für Linux und offene Projekte, den nur so haben wir eine Wahl in unseren Entscheidungen und müssen uns nicht von einer einzelnen Firmen diktieren und kontrollieren lassen. Dabei meine ich nicht direkt Microsoft, sondern alle Firmen die Druck auf die Kunden ausüben, weil die Kunden keine andere Wahl haben.

Allerdings sind auch die Nutzer oft dran Schuld, weil sie alles aussitzen und sich nicht um Alternativen kümmern.

Quellen und weitere Hinweise:

  • http://www.heise.de/newsticker/Schwache-Krypto-Schluessel-unter-Debian-Ubuntu-und-Co–/meldung/107808
  • http://www.heise.de/security/Der-kleine-OpenSSL-Wegweiser–/artikel/108001/0
  • http://www.securityfocus.com/archive/1/492112/30/0/threaded
  • http://metasploit.com/users/hdm/tools/debian-openssl/
  • http://www.de.debian.org/security/2008/dsa-1576
  • http://www.heise.de/newsticker/Konsequenzen-des-OpenSSL-Debakels–/meldung/107921

WordPress 2.3.3 behebt schwere Sicherheitslücke in xmlrpc.php

Jaaaa, wieder ein Update und ich bin wieder gefragt die Aktualisierung einzuspielen 🙁

Über einen Fehler in der xmlrpc.php Datei war es mit der vorhergehenden Version möglich, Posts ohne Anmeldung zu editieren.

Zusätzlich wurde ein paar kleinere Fehler behoben.

Also schnell die Aktualisierung einspielen!!!

Quellen und weitere Hinweise:

WordPress 2.3.2 bringt Bugfixes und schließt Sicherheitslücken

WordPress ist in Deutsch und English als Aktualisierung (Version 2.3.2) vorhanden. Bei dieser Aktualisierung werden Sicherheitslücken geschlossen und Fehler behoben.

Bei den Fehlern können Entwürfe ohne Wollen des Nutzers gelesen werden und Informationen über die Datenbankstruktur verraten werden (Information Leakege).

Eine Aktualisierung auf die Version 2.3.2 wird dringend empfohlen!

Quellen: