Permalink

5

Security Plugins – WordPress absichern Teil3

1. Sicherheit durch Plugins?Security Plugins

Im ersten und zweiten Teil der Artikelserie WordPress absichern habe ich Tipps vorgestellt, um die Wahrscheinlichkeit eines erfolgreichen Angriffs deutlich zu reduzieren. Die dargestellten Maßnahmen hatten alle etwas gemeinsam: Sie mussten händisch vom Anwender durchgeführt werden – was wiederum ein gewisses Maß an technischem Verständnis erforderte.

Doch es geht auch anders. Sogenannte Security Plugins versprechen WordPress gegen allerlei Angriffe abzusichern. Dabei reicht die Palette vom “Rundum-Sorglos-Paket” bis hin zu Einzellösungen für bestimmte Angriffsszenarien. Je nach Anwendungsfall und technischem Vorwissen stehen dem Anwender also eine ganze Reihe von Security Plugins zur Verfügung.

Wie sinnvoll bzw. nützlich sind diese Plugins? Welche bieten einen wirklichen Zugewinn an Sicherheit? Anhand von Beispielen versuche ich euch eine Idee bzw. Gefühl zu vermitteln was sinnvoll sein kann und welche Plugins ihr euch sparen könnt.

Weiterlesen →

Permalink

2

Internet-Zensur – Erstes eBook online!

1. Internet-ZensurInternet-Zensur

Ziel der Internet-Zensur ist die Kontrolle von Inhalten, Unterdrückung von Informationen und Steuerung nach eigenen Maßstäben. Hauptsächlich betroffen sind Nachrichten und Meinungsäußerungen, die vom Staat oder nichtstaatlichen Gruppen gezielt vertuscht / zensiert werden.

Aufgrund der technischen Möglichkeiten ist die Totalüberwachung in einigen Staaten bereits heute bittere Realität. Mittels Deep Packet Inspection (DPI) hat die Kontrollmöglichkeit ein neues Maß an Perfektion erreicht. Freie Meinungsäußerung und Informationsbeschaffung sind unerwünscht. Im Vordergrund steht dabei vor allem die Machterhaltung des politischen Regimes. Letztendlich ist es ein Katz-und-Maus-Spiel und vor allem für politische Gegner ein gefährlicher Drahtseilakt. Wer deanonymisiert wird hat mit harten Strafen zu rechnen – sogar mit dem Tod. Weiterlesen →

Permalink

0

Vortrag beim Landesmedienzentrum (LMZ)

1. LandesmedienzentrumLMZ

Das Landesmedienzentrum Baden-Württemberg (LMZ) berät Schulen, Universitäten und andere Bildungseinrichtungen über den geeigneten Umgang und Einsatz neuer Medien. Im Rahmen des Programms “Jugendmedienschutz an unserer Schule!“ können interessierte Schulen Informationsveranstaltungen, Workshops und Gesprächsrunden unter anderem zu folgenden Themen durchführen:

  • Jugendliche Medienwelten
  • Handys und Smartphones
  • Soziale Netzwerke – Zwischen Selbstdarstellung und Datenschutz

Auf einem Gesamttreffen der freien LMZ-Referenten in Karlsruhe durfte ich am 23.04.2013 einen Vortrag zum Thema Smartphones halten. Inhaltlich war der Vortrag mit dem Namen “Einblicke in die Smartphone-Technologie” auf die Zielgruppe ausgerichtet und befasste sich im Kern mit der Frage ob man als normaler Anwender überhaupt noch die Kontrolle über seine Daten hat. Weiterlesen →

Permalink

4

Antivirus-Apps für Android – Sinnvoll oder nutzlos?

1. Antivirus-AppsAntivirus-Apps

Android ist voll von Malware, Viren und weiteren Gefahren – eine Antivirus-App ist also absolute Pflicht. Untermauert wird diese Aussage / Meinung mit einer Vielzahl bunter Statistiken, die regelmäßig in diversen Studien und Meldungen plakativ Verwendung finden. Falsch sind diese nicht, allerdings furchtbar irreführend und nicht unbedingt realitätsbezogen.

Und doch verbreiten sich solche Statistiken meist wie ein Lauffeuer. Prominente Beispiele hierfür sind die F-Secure Mobile Threat Reports und McAfee Threats Reports. Herausgeber solcher Studien sind meist Antiviren-Software-Hersteller selbst – kann eine unabhängige Berichterstattung wirklich so aussehen? Gerne werden die Studien dann in Artikeln genannt – so auch jüngst beim Spiegel Android ist am meisten von Mobil-Malware bedroht.

So wird also konsequent die Meldung verbreitet, Android sei nicht sicher und habe mit einer anwachsenden Arme von Schadsoftware zu kämpfen. Sind diese Aussagen korrekt oder verbreitet sich hier langsam ein Mythos? Weiterlesen →

Permalink

2

Schutzmaßnahmen – WordPress absichern Teil2

1. Zusätzliches WissenSchutzmaßnahmen

Im ersten Teil der Artikelserie WordPress absichern habe ich Tipps vorgestellt, die jeder mit wenigen Handgriffen umsetzen kann und das Mindestmaß an Sicherheit darstellen. Damit ist es möglich die Wahrscheinlichkeit eines erfolgreichen Angriffs deutlich zu reduzieren – sozusagen erste Hilfe Sofortmaßnahmen gegen die aktuelle Angriffswelle.

Neben diesem Basisschutz existieren weitere Maßnahmen und wissenswerte Tipps für einen sicheren WordPress-Betrieb. Denn sobald der Bekanntheitsgrad eines Blogs oder Webseite ansteigt sind Konkurrenten und Neider nicht weit – plötzlich steht man im Fokus der Aufmerksamkeit.

Die heute dargestellten Tipps und Informationen dienen dem erweiterten Schutz und lassen sich mit etwas Zeitaufwand umsetzen. Wie bereits erwähnt wird das Niveau bzw. der Schwierigkeitsgrad mit jedem Beitrag der Artikelserie ansteigen.

Weiterlesen →

Permalink

6

Basisschutz – WordPress absichern Teil1

1. Und täglich grüßt das Murmeltier…Basisschutz WordPress

WordPress wird vielfach für Blogs, Webseiten oder andere Zwecke genutzt. Aufgrund der globalen Verbreitung im Web ist es gleichzeitig ein beliebtes Angriffsziel. Aktuell überschlagen sich Newsseiten (heise Artikel) und Blogs mit Warnungen vor einem Botnetzwerk, welches WordPress-Installationen weltweit attackiert.

Um seine WordPress-Installation abzusichern und gegen solche Übergriffe zu schützen sind zunächst nur ein paar einfache Maßnahmen notwendig. In dieser Artikelserie erkläre ich die Absicherung von WordPress (3.x) . Los geht’s mit einfachen Tipps, die wirklich jeder mit wenigen Mausklicks umsetzen kann. Das Niveau wird sich langsam steigern und Folgendes umfassen:

  • Basisschutz – Was wirklich jeder umsetzen sollte wenn er WordPress einsetzt.
  • Erweiteter Schutz bzw. was muss ich beachten?
  • Sicherheits-Plugins. Sind die eigentlich sinnvoll?
  • Konfigurationsbeispiele für die Absicherung des Admin-Bereichs (Apache, Lighttpd)
  • Eingriffe in den Quellcode.
  • Installation eines Host Intrustion Detection System (HIDS) zur frühzeitigen Erkennung von Angriffen. (setzt Systemzugang vorraus)

Unnütze Tipps und Schnickschnack lasse ich weg. Folgt ihr den vorgestellten Maßnahmen erhöht sich die Wahrscheinlichkeit, dass ihr kein Opfer eines Angriffs werdet. Weiterlesen →

Permalink

0

Penetrationstest – Sicherheit von Webanwendungen Teil4

1. SicherheitsprüfungPenetrationstest

Webanwendungen auf Schwachstellen und Fehlkonfigurationen zu prüfen wird mittlerweile von vielen Unternehmen als notwendige Maßnahme anerkannt. Denn oftmals ist der Erfolg eines Unternehmens eng mit einer funktionierenden IT bzw. Webanwendung verknüpft – bei einem Ausfall oder Einbruch drohen empfindliche Umsatzeinbußen. Vom Imageschaden ganz zu schweigen.

Gerade weil Webanwendungen über öffentliche Netze ständig erreichbar sind, unterliegen sie in besonderer Weise unautorisierten, anonymen Zugriffsversuchen. Durch Vulnerability Assessments und Penetrationstests lassen sich mögliche Schwachstellen aufdecken – wer die Lücken kennt, kann sich dagegen auch schützen.

Penetrationstests sind je nach Umfang komplex und unterscheiden sich stark in ihrer Durchführung. Im folgenden Beitrag werden wichtige Charakteristika exemplarisch dargestellt. Weiterlesen →

Permalink

0

Angriffstechniken – Sicherheit von Webanwendungen Teil3

1. Open Web Application Security Project (OWASP)Angriffstechniken

Jeder Betreiber einer Webseite muss mit Angreifern rechnen. Zweckentfremdete Webanwendungen werden für Spam, Phishing und sonstige Zwecke missbraucht. Besonders anfällig dafür sind Webanwendungen mit PHP oder anderen Skriptsprachen.

In einer Top-10 Liste für das Jahr 2013 hat die OWASP die größten Risiken für Webanwendungen erfasst. Ein umfassender Penetrationstest kann diese Risiken sichtbar machen und für Klarheit beim Stand der Sicherheit sorgen. Wer die gängigen Angriffstechniken kennt, kann sich dagegen auch schützen.

Im heutigen Beitrag werden einige Angriffstechniken aus der OWASP-Liste vorgestellt. Es zeigt auf welch unterschiedliche Arten Webanwendungen verwundbar sein können. Weiterlesen →

Permalink

0

Klassifizierungsmodell – Sicherheit von Webanwendungen Teil2

1. EbenenmodellModell

Webanwendungen stellen ganz spezielle Anforderungen an die Sicherheit. Durch ihre Offenheit im Web sind sie nicht nur für legitime Benutzer zugänglich, sondern ziehen auch dubiose Gestalten magisch an. Im Schatten der Anonymität verschaffen sie sich Zugang zu sensiblen Daten. Herkömmliche Firewalls bieten dagegen keinen Schutz.

Im ersten Teil wurde bereits auf die Frage eingegangen aus welchem Grund Webanwendungen ein Risiko darstellen. Weiterhin wurden mit der OWASP eine offene Community vorgestellt, die sich die sich zum Ziel gesetzt hat die Sicherheit von Anwendungen und Diensten im Internet zu verbessern.

In diesem Beitrag wird die Sicherheit von Webanwendungen in einem 6 Ebenen-Modell charakterisiert. Es ist angelehnt an das Modell vom Bundesamt für Sicherheit in der Informationstechnik (BSI), das in einem Maßnahmenkatalog die Schutzmaßnahmen zur Vorbeugung gegen typische Schwachstellen in Webanwendungen zusammenfasst. Weiterlesen →

Permalink

0

Risiko Webanwendung – Sicherheit von Webanwendungen Teil1

1. WebanwendungenWebanwendungen

Heutzutage ist ein Alltag ohne Web kaum noch vorstellbar. Besonders im Consumer-Bereich hat sich das Web als unverzichtbares Medium etabliert. Aber auch Geschäftsprozesse sowie der Austausch zwischen Bürger und Behörde lagert sich zunehmend in das Internet aus. Angefangen bei der Suche nach Informationen, sozialer Vernetzung, über das Lesen/Senden von E-Mails bis hin zum Online-Shopping, Internet-Banking oder Auktionen – all diese Anwendungszwecke gelten als selbstverständlich und werden im Hintergrund durch Webanwendungen realisiert.

Aufgrund ihrer globalen Erreichbarkeit ziehen Webanwendungen nicht nur interessierte Anwender an, sondern sind gleichzeitig ein begehrtes Angriffsziel. Zweckendfremdete Webanwendungen werden für Spam, Phishing und sonstige Zwecke missbraucht. Daneben stehen Kreditkartennummern und Kundendaten ganz oben auf dem Wunschzettel der Angreifer. Etablierte Sicherheitsmaßnamen wie Firewalls bieten dagegen kaum Schutz.

In der Artikelserie “Sicherheit von Webanwendungen” möchte ich auf Folgendes eingehen:

  • Warum Webanwendungen ein Risiko darstellen.
  • Auf welchen Ebenen eine Webanwendung verwundbar ist.
  • Welche Informationen möchten Angreifer ausspähen.
  • Welche typischen Angriffsszenarien auf Webanwendungen existieren.
  • Maßnahmen und Tools zur Erhöhung der Sicherheit vorstellen. Weiterlesen →
Seite 1 von 712345...Letzte »