Beiträge

Neue SSL-Zertifikate für Server und eMail

Anmeldung zum Confixx

Am 15. September wurden alle Webserver und Mailserver mit neuen SSL-Zertifkaten bestückt. Da die neuen Zertifikate auf die netztaucher GmbH ausgestellt wurden, konnte neben einem interaktiven Siegel, welches Details beim Berühren mit der Maus anzeigt (Corner of Trust), auch eine erweiterte Validierung durchgeführt werden.

Die neuen SSL-Zertifikate sind somit direkt zu erkennen, Sie erscheinen mit einer grünen Leiste im Browserfenster, so wies es zum Beispiel bei Websites von Banken usw. der Fall ist.

Bitte verwenden Sie zum Login auf die Server und für die Verbindung mit den Mailservern immer eine SSL-Verschlüsselung!

Extended-Validation-SSL-Zertifikate

(EV-SSL; deutsch etwa „Zertifikate mit erweiterter Überprüfung“) sind X.509 SSLZertifikate, deren Ausgabe an strengere Vergabekriterien gebunden ist. Dies bezieht sich vor allem auf eine detaillierte Überprüfung des Antragstellers durch die Zertifizierungsstelle.

Hinweis für eMail

Bitte beachten Sie die notwendigen Einstellungen für Ihren Mailer. Nur wenn Sie als Namen der Mailserver den Namen Ihres Servers eintragen, verwenden Sie SSL korrekt. Eine Anleitung zur Konfiguration finden Sie hier: http://mail.fairHOST24.de. Falls Sie Support benötigen, melden Sie sich bitte.

ProtokollServernamePortnummer
IMAP_servername_.kundenserver42.dePort 993
SMTP_servername_.kundenserver42.dePort 465
POP3_servername_.kundenserver42.dePort 995

 

BSI informiert über gehackte Hostingaccounts

Eben kamen Listen ausgespähter FTP-Accounts herein. Ich habe die entsprechenden Kunden und Reseller informiert. Kein Hoax, obwohl sich weder auf der Website, noch auf deren Facebookseite etwas findet.

Das Bundesamt für Sicherheit in der Informationstechnik informiert

CERT-Bund hat von einer vertrauenswürdigen externen Quelle eine Liste gestohlener FTP-Zugangsdaten für in Deutschland gehostete Server erhalten.

Die Zugangsdaten wurden im Rahmen der Analyse eines Botnetzes gefunden und werden offenbar dazu verwendet, um in mit dem FTP-Account verbundene Webseiten schädlichen Code einzuschleusen, welcher auf Drive-by-Exploits verweist. Es liegen leider keine Informationen vor, wann und wie die Zugangsdaten ausgespäht wurden.

Nachfolgend senden wir Ihnen eine Liste der Zugangsdaten für Server in Ihrem Netzbereich. Die Passwörter wurden sanitarisiert. Wir möchten Sie bitten, den Sachverhalt zu prüfen und Ihre Kunden entsprechend zu informieren. Bitte bestätigen Sie den Eingang dieser Benachrichtigung und informieren Sie uns über die von Ihnen getroffenen Maßnahmen.

Was ist zu tun?

  1. Lücke finden
  2. Lücke schliessen, absichern
  3. Passwörter ändern

Ich informiere meine Kunden mit dem untenstehenden Text.

Ihr Webaccount wurde offenbar kompromitiert und abgelegter Programmcode
wurde benutzt um Ihnen, oder anderen Webseitenbetreibern zu schaden. Der
erste Schritt muss nun sein alle Passwörter zu ändern.

Dazu gehören:
—————————————————————–
# Confixx-Passwort
# Datenbankpasswort
# Passwörter für eMail-Accounts
—————————————————————–

Danach ist abzuklären durch welche Lücke der Zugriff erfolgte. Dann muss diese
Lücke geschlossen werden. Sofern Sie diese Arbeiten nicht leisten können, oder
möchten, können Sie uns gern beauftragen.

*Bitte handeln Sie schnell!*
Ich freue mich auf Ihren Kontakt,
Marco Neuber.

Sicherheitstips für WordPress

WordPress ist gilt mittlerweile als „Betriebsystem des Internets“. Etwa 20% aller Internetseiten laufen mit dieser Software. Da verwundert es nicht, wenn im grossen Stil versucht wird Lücken aufzuspüren und auszunutzen.

2013 gab es weltweit mehrere Angriffswellen auf WordPressinstallationen. Dabei wurde versucht in das System einzudrinngen und Schadcode zu platzieren. Besucher solch präparierter Seiten wurden dann infiziert. Momentan ist es wieder ruhiger geworden. Kein Grund die Sicherheit zu vernachlässigen.

Sicherheit ist ein Prozess

Es klingt so einfach, ist es aber nicht. Um WordPress abzusichern muss der Eigentümer immer wachsam bleiben. Generell sind folgende Themen wichtig.

  1. immer die neuste Version der Software verwenden
    • ohne den aktuellen WordPress-Core gibt es keine Sicherheit
    • regelmässig kontrollieren, Updatefunktion benutzen
    • WP-Updatservice nutzen
  2. kein Benutzer sollte admin heissen
    • bei Angriffen werden zuerst Standardbenutzer probiert
    • gute Idee: Initialen des Benutzers, plus WP
    • inaktive Benutzer löschen
  3. sicheres Passwort verwenden
    • 22% der Hacks gehen auf zu leichte Passwörter zurück
    • Passwortgeneratoren benutzen, Passwörter nicht doppelt verwenden
    • sicheren Passwortspeicher nutzen, z.B. 1Password
  4. Verzeichnis wp-admin schützen
    • mit doppeltem Passwortschutz kein Brute Force möglich
    • gute Kontrollmöglichkeit von Loginversuchen
    • Communityfunktionen werden beeinträchtigt
  5. unbenutze Plugins und Themes vom Server löschen
    • 29% der Hacks gehen auf Fehler in Templates zurück
    • regelmässig Pluginupdatefunktion benutzen, Vorsicht bei Plugins die länger als 1 Jahr unaktualisiert bleiben
    • sofort handeln wenn es Aktualisierungen gibt

Weitere Möglichkeiten per Plugin

Outlook Express öffnet keine Anhänge

Ein Kunde hat ein Problem mit seinem Mailclient – Outlook Express. So fangen immer die ganz bösen Geschichten an… Nun gut, das soll ja nur ein kleiner Tipp werden, für den der das Verhalten auch nicht gleich versteht.

Eine eingehende eMail trägt einen Anhang, man kann per Klick auf die Büroklammer auch den Anhang sehen. Er lässt sich aber weder speichern noch direkt öffnen. Das Fled bleibt inaktiv. Schuld war eine kleine Einstellung im Outlook Express selbst. Unter den Programmeinstellungen auf dem Reiter Sicherheit findt sich der Punkt „Anhänge mit potentiell gefährlichem Inhalt nicht öffnen“ oder so ähnlich, wenn diese Einstellung entfernt wird, dann läuft wieder alles.

Das kann ja nun auch nicht der Weg sein einfach Anhänge zu verbieten wenn der Mailer an sich Schrott ist;-) „Tips zum richtigen Mailwerkzeug gibt es hier“:https://netztaucher.com/news/pages/vorstellungmailer.php. Meine Empfehlung für ein eMail-Programm ist immer noch „Opera M2“:http://opera-info.de/forum/board.php?boardid=10

Was kann ich noch für euch Datenkraken tun?

Euch meine (elektronische) Post als Kopie zusenden, meinen Wohnungsschlüssel hinterlegen, euch erzählen wann ich wo hingehe, mit wem ich worüber am Telefon spreche?

Ups da fällt mir gerade ein: Mein Telefon darf ja ohne richterliche Anordnung überwacht werden, meine Wohnung darf abgehört werden wenn gegen mich ermittelt wird. Wenn Gefahr in Verzug ist, dann ohne Richter, ein Bankgeheimnis gibt es nicht mehr und meine eMails verschlüssele ich meist nicht und dank der „stillen SMS“:http://www.heise.de/mobil/artikel/50922 wisst ihr ja wo ich bin…

Eine Speicherung von weniger als einem Jahr ergebe aus polizeilicher Sicht keinen Sinn, so Kolmey, denn die Polizei erhalte Hinweise über Internet-relevante Straftaten nicht immer schnell genug, um rechtzeitig die nötigen Auskünfte von den zuständigen Providern abfordern zu können.

Um es mit den Worten von „Henryk M. Broder“:http://www.henryk-broder.de/tagebuch/winwin.html zu sagen: Sie Knallkopp. Denken Sie wirklich das jemand der beabsichtigt ein Verbrechen zu begehen zu dumm ist seine Kommunikation zu verschleiern ?

Warum wird jeder unter Generalverdacht gestellt der das Internet nutzt? Kommunikation ist schon unfrei genug! Ihre Begehrlichkeiten stinken mich an!

Ich ahne schon was jetzt kommt, richtig. Gegen die ganz Bösen, die Kinderficker, richtet sich das ja.

Wenn es etwa um die Verbreitung von Kinderpornografie geht, sei es durchaus wahrscheinlich, dass es erst dann zu einer Anzeige komme, wenn das Einstellen des betreffenden Materials ins Netz bereits Monate zurückliege.

Und als Beweis für sein Verständnis der Materie gleich hinterher:

Ein Projekt des LKA, das die Abgabe anonymer Hinweise auf solche Straftaten per E-Mail ermögliche, habe bislang gute Erfolge verzeichnet.

eMail ist ja nun wirklich anaonym.

Der komplette Artikel steht hier:
Internet-Verbindungsdaten mindestens ein Jahr speichern