Beim Lesen der News zu den Schadcode-verteilenden Magento-Shops in ich auf folgendes Zitat gestossen.

„Sites will get compromised if they arent patched and their software kept up-to-date. Running a website on the Internet is like having a house in a bad neighborhood. People are always trying to break in.“

Den Satz sollte man sich beim Betrieb einer Webseite, oder allgemein für jedes System, immer im Hinterkopf behalten.

Man kann es einfach nicht oft genug sagen, wie wichtig regelmässiges und zeitnahes Patchen der eingesetzten Software und Systeme ist.

 

Quelle:  Brad Duncan @InfoSec Handlers Diary Blog

Nach langer Zeit gibt es hier wieder ein paar interessante Links:

 

Ein sehr interessanter Talk auf der FrosCon14: 

Zero-cost security monitoring (with Icinga) [FrOSCon14]

 

Mini-Webserver gibt es auch für Windows:

AIDeX Mini-Webserver 2010

 

SSL-Scanner zur Überprüfung von SSL-Servern und auch Diensten wie IMAPS und Co:

SSLyze

 

Ein Tool das genau eine Aufgabe löst und das gut. So sagte es mal Doug McIlroy, was heute auch als eine Unix-Philosophie bekannt ist. Diese Tools vorzustellen (oder wieder ins Gedächtnis zu rufen) hat sich der Blog onthingwell.org zur Aufgabe gemacht:

One Thing Well

 

Ein Artikel, der mit aus der Seele spricht..

Wer keine sichere Anleitung schreiben kann, soll es lassen

Kürzlich habe ich in den Schlagzeilen gelesen, dass Google künftig SSL-Seiten höher in seinem Ranking bewerten wird (HTTPS is a ranking signal). Daher habe ich mich entschlossen, meinen Blog auch endlich auf SSL umzustellen. Bei meinen anderen Diensten habe ich von Anfang an auf SSL-Verbindungen gesetzt, aber eben nur mit selbst-signierten Zertifikaten.

Offizielle SSL-Zertifikate sind leider nicht billig. Aber es gibt den Anbieter StartCOM, welcher mit StartSSL kostenlose Zertifikate anbietet. Diese sind dann für ein Jahr gültig.

Nach der Registrierung und Verifizierung der Domains (via Email) kann man auch schon anfangen die Key’s zu generieren.

Dazu erstellt man auf dem Webserver zuerst den privaten Schlüssel (anschliessendes Backup nicht vergessen!):

1
openssl genrsa -out thesysadmin.net.key 4096
openssl genrsa -out thesysadmin.net.key 4096

und generiert damit dann den sogenannten CSR (Certificate Signing Request)

1
openssl req -new -key thesysadmin.net.key -out thesysadmin.net.csr
openssl req -new -key thesysadmin.net.key -out thesysadmin.net.csr

Den Inhalt der csr-Datei liefert man nun bei StartSSL ein. Nachdem die Zertifikate erstellt und freigegeben wurden (dauerte bei mir ca. 10-15 Minuten), müssen diese in der Apache-Konfiguration eingetragen werden. Am Besten leitet man mithilfe einer rewrite-Rule alle http-Anfragen auf die ssl-Seite um. Dazu müssen das Apache-Module „ssl“ und „rewrite“ noch aktiviert werden.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
<VirtualHost *:80>
ServerName      www.thesysadmin.net
RewriteEngine On
RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R,L]
</VirtualHost>
 
<VirtualHost *:443>
ServerName      www.thesysadmin.net
ServerAdmin     webmaster@thesysadmin.net
DocumentRoot    /var/www/vhosts/thesysadmin.net/blog
ErrorLog        /var/log/apache2/thesysadmin.net-error.log
CustomLog       /var/log/apache2/thesysadmin.net-access.log common
 
DirectoryIndex  index.php
SSLEngine On
SSLCertificateFile "/etc/ssl/thesysadmin.net.pub"
SSLCertificateKeyFile "/etc/ssl/private/thesysadmin.net.key"
</VirtualHost>
<VirtualHost *:80>
ServerName      www.thesysadmin.net
RewriteEngine On
RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R,L]
</VirtualHost>

<VirtualHost *:443>
ServerName      www.thesysadmin.net
ServerAdmin     webmaster@thesysadmin.net
DocumentRoot    /var/www/vhosts/thesysadmin.net/blog
ErrorLog        /var/log/apache2/thesysadmin.net-error.log
CustomLog       /var/log/apache2/thesysadmin.net-access.log common

DirectoryIndex  index.php
SSLEngine On
SSLCertificateFile "/etc/ssl/thesysadmin.net.pub"
SSLCertificateKeyFile "/etc/ssl/private/thesysadmin.net.key"
</VirtualHost>

 

Nach einem Apache-Neustart wird man nun direkt auf die ssl-gesicherte Verbindung weitergeleitet.

blog-ssl

Hier wieder interessante Links, welche ich mir aufbewahren und mit meinen Lesern teilen möchte

 

Ein Crontab-Generator. Besonders für Crontab-Neulinge sicher eine willkommene Hilfe, oder für all jene die immer vergessen ob der Montag 0 oder 1 ist 🙂

http://www.crontab-generator.org/

 

Eine interessante Art der professionellen Datenträger-Vernichtung wird hier beschrieben.

Festplatten schmelzen

 

Ähnlich wie impress.js ist auch reveal.js ein beeindruckendes Tool für Präsentationen:

reveal.js

 

Skurrile Geschichten aus dem Helpdesk

Was Admins Nerven kostet

 

Eine Anleitung der Free Software Foundation wie man sein System zur Email-Verschlüsselung fit machen kann.
Auch mit dem Aufruf, möglichst viele seiner Bekannten und Freunde zum Verschlüsseln zu animieren.

Email-Selbstverteidigung

 

 

 

 

 

Ich habe kürzlich eine neue Bankomat-Karte bekommen, in welcher der „tolle“ NFC-Chip für kontaktloses Bezahlen integriert und nach dem ersten „stecken“ (in einen Geldautomaten) aktiviert ist.

Mit dem Wissen, dass die wenigen gespeicherten Daten unverschlüsselt bzw. unzureichend gesichert sind, habe ich mir mal angeschaut wie sich die Bankomatkarte auslesen lässt und vor allem welche Daten da ausgelesen werden können.

Das Ergebnis hat mich doch sehr überrascht. Mehr als eine App für das Smartphone braucht’s nicht (mehr) und es werden mehr Daten preisgegeben als erwartet.

Zuerst habe ich es mit der App „Paycardreader“ probiert, welche im Rahmen einer Dokumentation von „ARD/Report München“ bereits im Jahr 2012 vorgestellt wurde.

Diese hat bei meiner Bankomatkarte aber ausser der Karten-ID nicht wirklich was spannendes ausgelesen.

Im PlayStore findet man die App „Bankomatkarten Infos“ von Johannes Zweng. Den Source-Code zu der App gibts auf Github.

Die App „Bankomatkarten Infos“ lieferte einige mehr Informationen. Neben den erwarteten Daten wie Karten-ID, aktivierter Funktionen, etc.. werden auch die letzten Transaktionen gespeichert. Und zwar nicht nur die Transaktionen der PayPass-Funktion sondern auch wieviel am Geldautomat behoben wurde. Da frage ich mich dann schon, warum diese Daten auf der Karte gespeichert sein müssen…

device-2014-01-08-162727device-2014-01-08-162744  device-2014-01-08-162751

Wer weiß, was sich aus von dem Chip noch alles auslesen und extrahieren lässt. Im Google+ Post von Johannes Zweng wird in den Kommentaren noch fleißig diskutiert und gerätselt.

Ich werde mir auf jeden Fall eine RFID-Schutzhülle für meine Karten besorgen. Besonders die Kreditkarte muss in so eine Hülle. Wie auch schon bekannt, kann der CVV Code recht einfach mit der Brute-Force Methode geknackt/herausgefunden werden, wie dieser Bericht bestätigt (ebenfalls von ARD/Report München).

 

This site uses cookies. Find out more about this site’s impress.