Freie Software ist eine Essenz des digitalen Lebens. Das wundervolle an solchen Programmen wie WordPress ist die kontinuierliche Pflege des Systems durch die mittlerweile gewaltige Community. Das aktuelle Paket behebt eine kritische Sicherheitslücke in der XML-RPC Schnittstelle. Ein Update ist zwingend erforderlich und für jeden WordPress Einsatz empfohlen.
Schlagwortarchiv für: Sicherheit
Spam. Spam. Spam. Wir lieben Spam… nein, wir hassen Spam! Seit ungefähr zwei Tagen ist das Aufkommen der unerwünschten Kommentare und Trackbacks so hoch wie nie zuvor. Zum Glück landet alles brav in der Moderationsschleife, aber das Spamfilter Plugin für WordPress „Akismet“ nimmt scheinbar nur die Hälfte der eingegangenen Spamkommentare war.
Die zu moderierenden Spamkommentare sind vom Aufbau und Inhalt identisch mit dem, was man bei einem Blick in die Akismet Spam Falle findet. Nahezu kein Unterschied, manche Kommentare sind sogar inhaltlich identisch bis auf die angegebenen Namen, E-Mails oder URLs. Dieses abstruse Phänomen kommt nicht nur bei diesem Blog, sondern auch bei anderen Weblogs vor, die auf aktueller WordPress 2.3.1 mit Akismet 2.1.2 basieren. Weiß jemand Rat und Tat, oder kann man von einem globalen Erstschlag der Spammer sprechen?
Wer findet wen im Internet? Internetnutzer sind heutzutage einfach auffindbar. Das beste Beispiel ist immer das Ego-Googlen, doch mittlerweile hat man mit diversen Social Network Anbietern die Möglichkeiten nahezu unendlich ausgeweitet. Mit LinkedIn, XING, FaceBook und anderen Anbietern vernetzt man sich intensivst mit seinen Bekannten und Verwandten. Von zwei Millionen Studenten haben vier Millionen ein StudiVZ Profil – oder so ähnlich.
Die Gefahr für denjenigen Internetnutzer, der sich wiederum als unerfahrener Netzwerker oder Einsteiger ansieht, besteht in der Auffindbarkeit und damit plakativ offenen ehrlichen ungelogenen Wahrheit über das Treiben im Netz. Für Personaller und den potentiellen neuen Arbeitgeber ist das Internet eine Goldgrube um Partyfotos der Vergangenheit auszugraben.
Verschiedene neue Dienstleister setzen an diesem Punkt an – sehr erschreckend kommt Wink.com daher, die mit der Namenssuche sogar eine Verknüpfung zum US-amerikanischen Intelius People Search aufbauen. Ein weiterer Anbieter ist ZoomInfo mit einigen ungenauen Informationen und dem Unverständnis für „Mike“ – hier wird der Name gleich in Michael umgewandelt. Bei Social Grapes werden zwar auf meinen Namen elf Ergebnisse gefunden, die jedoch vorerst nicht ausgeliefert werden.
Bei Spock hält man zumindest dagegen, indem man den User alle Informationen eigenhändig auswählen und ändern kann. UpScoop geht wie viele andere den Weg über die E-Mail Kontakte eines Mailaccounts, zu dem man in der Regel sein Passwort nicht herausgeben sollte. Das berühmte Stalkerati ist irgendwie nicht erreichbar Stalkerati bietet in der deutschen Version die einschlägigen Ergebnisseiten.
Letztendlich kann man viele Sachen über viele Menschen finden wenn man es nur will. Wie die Süddeutsche, die bekanntlich gegenüber Bloggern sehr skeptisch ist, dabei richtig schreibt: „Das Internet entwickelt sich zum globalen Gedächtnis, das jeden kennt und alles weiß – viel mehr, als den meisten Menschen lieb ist.“ Wäre ich ein Delphin, würde ich abhauen und mich für den Fisch bedanken. Doch an aller Informationsflut über das Individuum ist man wiederum selbst schuld.
Einzig und allein eines ist für jedes dieser webzwonulligen Dienstleister wichtig: Man sollte selbst auswählen können, ob die Informationen über einen selbst für jeden öffentlich einsehbar sind oder nicht. Das Aggregieren von Benutzerprofilen in den verschiedensten Web 2.0 Communities, wie es einige der oben genannten Anbieter betreiben, sollte eigentlich wider jeden Geschmack gehen. Schließt deren Spider aus! Gibt es schon das SchnüffelVZ?
Mit dem Thema des Social Chattings im Internet hat sich Twitter einen Namen gemacht. Sicherheit ist im Internet wichtig, da es auch immer öfters um persönliche Daten geht. Gerade bei Twitter erlebt man den individuellen Exhibitionismus der User auf’s schärfste Detail, und man möchte sicherlich nicht, dass jemand anders den Twitter-Account missbraucht. Per Zufall stieß ich vor wenigen Minuten auf ein potentielles Sicherheitsleck von Twitter, was für mich persönlich ein recht unübliches Prozedere darstellte. Ich kann es nicht reproduzieren, frage mich aber, ob jemand anderes dazu in der Lage ist. Das hier ist kein Security-Report.
Szenario: Mein alter Laptop wird von meiner Freundin Katharina derzeit genutzt. Auf der alten Krücke habe ich auch bereits Twitter genutzt. Kat nutzt Twitter ebenfalls. Als ich nach einigen Wochen den Laptop in die Hände bekam und Twitter im Browser aufrief, war sie logischerweise per Cookie bzw. Session angemeldet. Ich loggte sie mit dem „Sign Out“ Link in Twitter aus und war dann bereits angemeldet.
Hat Twitter keinen zentralen Cookie, der immer nur einen User pro Browser zulässt? Ich bin kein Sicherheitsexperte geschweige denn habe ich vertiefte Kenntnisse in Browsersicherheit, aber das kommt mir sehr komisch vor, dass ich immer noch angemeldet war… wer weiß Rat oder kann dieses Phänomen reproduzieren? Den Browser Cache schließe ich aus, da die aktuelle Diskussion zeitnah dargestellt wurde. Eventuell kann es über die zentrale A-DSL Verbindung des Routers gecached sein, was ich aber sehr stark bezweifel, da bisher keine Cacheprobleme bei der normalen Benutzung von Twitter auftraten. Ebenfalls schließe ich einen Bedienungsfehler aus! ;)
Björn Schotte teilte mir bereits gestern mit, dass eine Vereinigung von Chorizo sowie Stefan Essers PHP Patch „Suhosin“ in der neuen Firma „SektionEins“ ansteht. Stefan gehört zu den führenden Web-Security-Experten und Björn Schotte ist durch das PHP Magazin und seine Tätigkeit als einer der Geschäftsführer von MAYFLOWER bekannt.
Der Schwerpunkt der neuen Firma wird die Durchführung von Security Audits sein, die mittlerweile für jede neue Webanwendung auch vor dem öffentlichen Start oder dem Verlassen einer Beta-Phase eine Pflicht darstellen um die User und ihre Daten vor ungewollten Zugriffen schützen zu können. Security wird ja gerade bei Web2.0 Applikationen immer wichtiger, zumal sich SektionEins nicht nur auf PHP beschränkt sondern auch beliebige Webapplikationen prüft – egal ob Java, Ruby oder was auch immer an Software eingesetzt wird.
SektionEins startet dabei mit interessanten Bestandskunden aus dem Finanz- und Hosting-Bereich ebenso wie aus dem Web2.0-Startup-Bereich. Für die Ausgründung des erfolgreich laufenden Bereichs bei MAYFLOWER wird MAYFLOWER zusammen mit Stefan ein ziemlich großes Rebranding fahren, das Stück für Stück in den nächsten Tagen und Wochen insbesondere für Chorizo durchgeführt wird. Bereits schon jetzt kann man sich für den Launch der Webseite registrieren – man darf also wirklich gespannt sein auf das, was MAYFLOWER und Stefan auf die Beine stellen werden.
Nachtrag: Kurz etwas korrigiert und aufs blog.thinkphp.de verlinkt ;)
Ich denke, dass ähnlich der GEZ-Rechnung per E-Mail auch die oberflächlich gesehen von IKEA versandte E-Mail einfach nur falsch ist und einen Phishingangriff mit einer ZIP Datei im Anhang darstellt:
Sehr geehrter IKEA Kunde,
die Gesamtsumme für Ihre Rechnung beträgt: 392,38 Euro.
Anbei erhalten Sie den detaillierten Rechnung sowie die alle anderen wichtigen Unterlagen zu Ihrem Bestellung im beigefügter ZIP Datei. […]
Natürlich habe ich nichts bei IKEA bestellt und schon gar nicht meine E-Mail Adresse in der IKEA Family angegeben, in der ich durchaus registriert bin. Aber wie dem auch sei – der Spam-Score, welcher von meinem Provider HostEurope errechnet wurde, ist entsprechend hoch: X-HE-Spam-Level: +++++++ & X-HE-Spam-Score: 7.2 – also seid gewarnt und öffnet nicht die ZIP-Datei der falschen IKEA E-Mail!
Vielen Dank für die namentliche Erwähnung auf dem Bildblog.de: Wie der nebenstehende Screenshot zeigt, wurde ich über die Werbeeinblendung von Qype dort mit meinem echten Namen angezeigt. Ehrlich gesagt bin ich ein wenig irritiert, dass ich nicht mit dem Account „Sichelputzer“ über das Qype-Advertisement angezeigt wurde…
Sagen wir es so – das ist ein Fall für Ute! Go Ute Go! Denn ich glaube nicht, dass andere Leute es gerne sehen würden mit ihren echten Namen auf fremden, vielleicht sogar kontroversen Webseiten dargestellt werden… also recht harmlos im Moment, aber vielleicht für die Zukunft brisant. ;)
Ich habe soeben rausgefunden woran es liegt: Ich kann im Qype-Profil „Meine Identität“ festlegen, so dass ich mit ganzem Namen gelistet werde. Daher glaube ich, dass für die Zukunft eine besondere Einstellung zwischen Qype selbst und externen Seiten diesen Trouble gar nicht erst entstehen lassen würde.
Wie ich soeben aus einer interessanten Quelle im IRC erfahren habe, kursieren wohl seit gestern Abend 57.000 MySpace-Logins frei im Internet. Darunter sind offenbar zahlreiche deutsche Zugänge mit E-Mail-Adressen und zugehörigen Passwörtern – vollständig in Funktion. Heiße Ware? Heise weiß dazu mehr, indem die Top 20 Passwörter auf die seltene Dämlichkeit der von Sicherheit nicht viel verstehenden User zurückführen läßt:
password1
abc123
swimmer1
iloveyou1
monkey1
****you
123456
myspace1
****you1
i
password
babygirl1
iloveyou2
football1
danny12031986
blink182
princess1
freesh**4me
16188s
123abc
Mit allem Respekt, aber was sind das für unsinnige und obstruse Passphrases? Naja, man kann noch weiter gehen.
Einem Bericht von Gulli.com wurde außerdem im letzten Jahr schon so einiges angestellt. Über Myspace hatte ich mich ja bereits schon vor einigen Monaten ausgelassen. Die ganze Thematik ist natürlich recht verwerflich. Ich finde es extrem fragwürdig, dass über MySpace ein Phishing gestartet werden kann.
Da die Quelle und der volle Umfang der Daten nicht bekannt ist, sollten alle MySpace-User ihr Passwort ändern. Viel Spaß dabei – normalerweise macht man das ja auch regelmäßig.
Mein eigener Account ist mir dabei recht egal, denn ich habe mich nur einmal angemeldet und öffnete keine dieser komischen Mails. Brisant ist, dass Postfächer der durchgesickerten Mailadressen bereits mit den zugehörigen MySpace-Passwörtern abgerufen werden konnten… BUG, ERROR, FIX, DEATH. Wooops, da ist wohl so einiges durchgescheuert. :(
Heute erreichte mich eine sehr interessante E-Mail von meinem Provider Host Europe, von dem ich in Punkto technischen Fragen absolut überzeugt bin. Es ist super freundlich und liebenswert, dass man sich auch persönlich um jemanden als Privatkunden kümmert!
[…] wir haben festgestellt, dass Sie auf Ihrem WebPack unter
www/wp-includes/version.php wordpress 2.0.4
skykat/wp-includes/version.php wordpress 2.0.3
loungemix/wp-includes/version.php wordpress 2.0.4
verwenden. […]
Ich mußte ein wenig schmunzeln dabei, als ich das las. Ich gebe zu, dass ich auf gewissen Blogsystemen wie von Skykat oder LoungeMix ein veraltetes WordPress im Einsatz ist, doch die Version dieses Blogs hier ist definitiv schon seit längerem auf dem aktuellsten Stand von 2.0.5 ;) Dennoch werde ich die anderen Blogs dementsprechend aktualisieren, aber die aus der alten Software resultierenden Angriffsmöglichkeiten sind nur relevant, wenn man es auch erlaubt, dass sich fremde Menschen registrieren. Ebenfalls werden durch die Updates im Allgemeinen nur kleinere Probleme der Blogsoftware behoben, die eher unkritisch für den Fortbestand eines Systems sind und kaum eine Gefahr für die anderen im Netz angeschlossenen (und damit beteiligten) Server darstellen. Oder habe ich dabei etwas vollkommen falsch verstanden?! Für Hinweise in Bezug auf die Sicherheit habe ich ein offenes Ohr!
Aktuelle Beiträge
Blick in die digitale Kristallkugel: Meine Top-10 Technologietrends für 2023
Pro und Kontra zur effektiven Content-Erstellung mit ChatGPT
Digitale Geschäftsmodelle für kleine und mittlere Unternehmen (KMU)
Mittelstand-Digital Zentrum Rheinland veröffentlicht Leitfaden zum einfachen Einstieg in die Digitalisierung
Wie können KMU und Startups bei der Digitalisierung voneinander profitieren?