Sicherheitsguide. Whitepaper. Version 4 vom 27.01.2013



Ähnliche Dokumente
Inhaltsverzeichnis. Szenario...2

Inhaltsverzeichnis. Seite 2 von 11

Sicherheit QUALITÄTSSICHERUNG DESIGNER24.CH V 1.2. ADRESSE Designer24.ch Web Print Development Postfach Turbenthal Schweiz

Universal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite.

Anleitung zum Online-Monitoring für Installateure

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Hosted Exchange. Konfigurationsanleitung Outlook 2007

FrogSure Installation und Konfiguration

Anleitung zum Computercheck So aktualisieren Sie Ihr Microsoft- Betriebssystem

Protect 7 Anti-Malware Service. Dokumentation

POP -Konto auf iphone mit ios 6 einrichten

Anleitung zum Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem

Bedienungsanleitung für den SecureCourier

Anleitung zum ebanking KOMPLETT - Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem

Benutzerhandbuch. Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer.

Verwendung des IDS Backup Systems unter Windows 2000

Nachricht der Kundenbetreuung

Web Interface für Anwender

Anleitungen zum Publizieren Ihrer Homepage

Wichtige Hinweise zu den neuen Orientierungshilfen der Architekten-/Objektplanerverträge

malistor Phone ist für Kunden mit gültigem Servicevertrag kostenlos.

FritzCall.CoCPit Schnelleinrichtung

Anleitung Thunderbird Verschlu sselung

OUTLOOK (EXPRESS) KONFIGURATION POP3

Einrichtung einer eduroam Verbindung unter dem Betriebssystem Android

TeamSpeak3 Einrichten

Hosted.Exchange. Konfigurationsanleitung Outlook 2007

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

So richten Sie Ihr Postfach im Mail-Programm Apple Mail ein:

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Anleitung WLAN BBZ Schüler

AppCenter Handbuch August 2015, Copyright Webland AG 2015

INTERNETZUGANG WLAN-ROUTER ANLEITUNG FIRMWARE-UPDATE SIEMENS

oder ein Account einer teilnehmenden Einrichtung also

Installationsanleitung dateiagent Pro

Schritt-für-Schritt-Anleitung So verschlüsseln Sie Ihr -Konto in der Software 6.0

Anleitung zum Extranet-Portal des BBZ Solothurn-Grenchen

S Sparkasse Hohenlohekreis. Leitfaden zu Secure

Das vorliegende Dokument beinhaltet vertrauliche Informationen und darf nicht an Dritte weitergereicht werden.

Aufruf der Buchungssystems über die Homepage des TC-Bamberg

Acer edatasecurity Management

So empfangen Sie eine verschlüsselte von Wüstenrot

STRATO Mail Einrichtung Microsoft Outlook

Kundeninformationen zur Sicheren

Mail-Account Unimail mit der Einstellungen für Outlook Express 5.0

Lizenzen auschecken. Was ist zu tun?

-Versand an Galileo Kundenstamm. Galileo / Outlook

FTP-Leitfaden RZ. Benutzerleitfaden

Auftrag zum Erwerb und zur Einrichtung von Fernverbindungen Version 1 Version 2 Version 3 Allgemeines

Tipps zur Verbesserung der Sicherheit im Online-Banking

Anleitung zur Konfiguration eines NO-IP DynDNS-Accounts mit der TOOLBOXflex-3.2

ANYWHERE Zugriff von externen Arbeitsplätzen

FTP-Server einrichten mit automatischem Datenupload für

Live Update (Auto Update)

Wie richten Sie Ihr Web Paket bei Netpage24 ein

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

5. Testen ob TLS 1.0 auf Ihrem System im Internet-Explorer fehlerfrei funktioniert

Guide DynDNS und Portforwarding

Agentur für Werbung & Internet. Schritt für Schritt: -Konfiguration mit Apple Mail

Die YouTube-Anmeldung

2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein

Internet online Update (Internet Explorer)

Anleitung zum Upgrade auf SFirm Datenübernahme

OLXTeamOutlook 1.5 für Outlook 2003, 2002/XP, 2000 und 97/98

Leichte-Sprache-Bilder

-Konten für Studierende und Zugriffswege auf die Mail-Systeme der Hochschule Rhein-Waal

HOWTO Update von MRG1 auf MRG2 bei gleichzeitigem Update auf Magento CE 1.4 / Magento EE 1.8

" -Adresse": Geben Sie hier bitte die vorher eingerichtete Adresse ein.

Checkliste wie schütze ich meinen account

Datenübernahme von HKO 5.9 zur. Advolux Kanzleisoftware

Import des persönlichen Zertifikats in Outlook Express

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx

WordPress lokal mit Xaamp installieren

Maileinstellungen Outlook

Urlaubsregel in David

Clientkonfiguration für Hosted Exchange 2010

Durch Drücken des Buttons Bestätigen (siehe Punkt 2) wird Ihre an Ihr Outlookpostfach weiterleiten.

Installation/Einrichtung einer Datenbank für smalldms

Version NotarNet Bürokommunikation. Bedienungsanleitung für den ZCS-Import-Assistenten für Outlook

Durchführung der Datenübernahme nach Reisekosten 2011

Schulungsunterlagen zur Version 3.3

Ein POP3-Account ist eine Art elektronischer Briefkasten. Bitte beachten Sie, daß keine Umlaute (ä,ö,ü,ß) eingegeben werden dürfen.

Zugriff auf OWA Auf OWA kann über folgende URLs zugegriffen werden:

Herzlich Willkommen bei der nfon GmbH

Schwachstellenanalyse 2012

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

Öffnen Sie den Internet-Browser Ihrer Wahl. Unabhängig von der eingestellten Startseite erscheint die folgende Seite in Ihrem Browserfenster:

Ihre Interessentendatensätze bei inobroker. 1. Interessentendatensätze

Anleitung. Schritt für Schritt: iphone und ipad. Richten Sie Ihr -Konto mit Ihrem iphone oder ipad Schritt für Schritt ein.

Updatebeschreibung JAVA Version 3.6 und Internet Version 1.2

HESS-Shop. Handbuch. Etikettenformulare veredelte Produkte Garnituren Laserrollen Beipackzettel

Mediumwechsel - VR-NetWorld Software

How-to: Webserver NAT. Securepoint Security System Version 2007nx

DSL Konfigurationsanleitung PPPoE

Verwendung des Terminalservers der MUG

Anleitung zum Upgrade auf SFirm 3.x + Datenübernahme. I. Vorbereitungen

robotron*e count robotron*e sales robotron*e collect Anmeldung Webkomponente Anwenderdokumentation Version: 2.0 Stand:

Transkript:

Sicherheitsguide Whitepaper Version 4 vom 27.01.2013 www.kennziffer.com GmbH Friedrich-Ebert-Straße 51429 Bergisch Gladbach fon +49 2204 842660 fax +49 2204 842669 info@kennziffer.com Geschäftsführer: Magnus Schubert Amtsgericht Köln HRB 46977 Ust.-ID: DE 191321971 Seite 1 von 9

Inhaltsverzeichnis Szenario...3 Ihre Risiken...4 Einschleusen von Schadcode in Webseiten (Cross Site Scripting, SQL-Injections etc.)...4 Ausnutzen von bekannten Schwachstellen des Server-Betriebssystems...4 Gefahr: Schwache und schlecht verschlüsselte Kennwörter...4 Die Folgen...5 Seite lahmlegen und verändern ( Defacing )...5 Server zum Versenden von Spam missbrauchen...5 Diebstahl und Missbrauch von Kundendaten...6 Server liefert Schadcode aus...6 Serviceunterbrechung (DoS/DDoS)...7 Veröffentlichung von Hacks...7 Unser Beitrag für Ihre Sicherheit...8 Arbeiten mit aktuellen Systemen...8 Überwachen der Webseite...8 Erkennen von Angriffen...8 Beobachten aller Vorgänge...8 Sichern von Kennwörtern...8 Schützen der Verbindung...9 Abschotten jeder Anwendung...9 Einhalten der TYPO3 Sicherheitsempfehlungen...9 Absichern des TYPO3 Backends...9 Seite 2 von 9

SZENARIO Es ist 06.00 morgens und statt des Weckers klingelt Ihr Handy ununterbrochen. Verschiedene Express-Dienste wollen Ihnen Waren zustellen, die Sie nicht bestellt haben. Verärgert fahren Sie ins Büro und auch hier stehen die Telefone nicht still, da dutzende Anrufer unbedingt den eigentlich in Deutschland verbotenen Hardcore-Streifen bestellen wollen. Die Anrufer sind verärgert, bieten Sie doch auf Ihrer Website gut sichtbar genau diesen Film zum halben Preis an. Kaum öffnen Sie Ihr Mailkonto, lesen Sie hunderte Mails empörter Kunden, die alle in Ihrem Namen anzügliche Nachrichten erhalten haben. Es dämmert lhnen langsam? Spätestens als die Polizei vor der Tür steht und sich nach Ihren Millionen Mailaussendungen nach Fernost erkundigt ist es Ihnen klar? Jetzt kann Ihnen auch Ihr Facebook- Account nicht mehr helfen, denn hier bekennen Sie Ihre Nähe zu politischen Kreisen außerhalb der Rechtsordnung. Eine übertriebene Darstellung? Horrorszenario oder Phantasie? Leider nein. Diese Fälle sind Realität. Ob durch simple Passwörter und deren Verwendung auf verschiedenen Plattformen, ob Einsatz unsicherer Softwarelösungen oder offener Kanäle - Hacker können sich leider sehr einfach Zugang zu Webauftritten, persönlichen Daten und Kundeninformationen verschaffen. Dies ist ärgerlich, kriminell und wirtschaftlich entsteht Ihnen ein enormer Schaden. Von den "emotionalen" Widrigkeiten ganz zu schweigen. Wir möchten Sie für das Thema "Online-Sicherheit" sensibilisieren und Ihnen zugleich Lösungswege aufzeigen, die Ihre Webseite sicherer machen. Wir möchten, dass Sie auch in Zukunft nur durch Ihren Wecker aus Ihren Träumen gerissen werden! Bergisch Gladbach, den 01.05.2015 Ihr team.inmedias Team Seite 3 von 9

IHRERISIKEN Einschleusenvon Schadcodein Webseiten(CrossSite Scripting, SQL-Injectionsetc.) Bekannte und unbekannte Lücken in installierten Applikationen werden ausgenutzt, um Schadcode in die Datenbank bzw. die Webseite zu transportieren. Über eine solche Infektion kann oftmals unerlaubter Serverzugriff erlangt werden. Ausnutzenvon bekanntenschwachstellendesserver-betriebssystems Auch das Betriebssystem des Servers sollte auf dem aktuellen Stand sein. Dafür ist der Hoster zuständig. Im schlimmsten Fall kann direkter Serverzugriff erlangt werden. Gefahr: Schwacheund schlechtverschlüsseltekennwörter Zu kurze Kennwörter, bzw. leicht zu erratende Kennwörter, ermöglichen unautorisierten Personen leichten Zugriff. Eine Sensibilisierung für die richtige Art ein geeignetes Passwort zu finden ist notwendig. Seite 4 von 9

DIEFOLGEN Verläuft ein Angriff erfolgreich, sind die Konsequenzen für den Serverbetreiber, dessen Kunden und Besucher vielseitig. Oftmals erlangt der Angreifer nicht nur Zugriff auf die Applikation, wie beispielsweise das eingesetzte Content Management System (CMS), sondern auch Serverzugriff. Dadurch sind Anpassungen an Dateien, das Auslesen der Datenbank oder das Installieren einer eigenen Shell zum Absetzen von Befehlen meist blitzschnell möglich. Ohne Anspruch auf Vollständigkeit zeigen wir Ihnen ein paar Beispiele der Folgen auf: Seite lahmlegen und verändern ( Defacing ) Erlangt der Angreifer Serverzugriff, kann er im schlimmsten Fall den gesamten Internetauftritt physikalisch löschen, so dass dieser neu hergestellt werden muss. Im Normalfall wird lediglich die Startseite mit eigenen Inhalten und eigener Optik angepasst. Das Defacing wird als "Sport" betrachtet und meist kurz darauf über einschlägige Foren publik gemacht. Seltener wird dies zur Publikmachung von politischen Statements genutzt. Inhaltsanpassungen mit fragwürdigem Gedankengut, Spam oder ungewollten Verlinkungen können die Folge sein. Je nach Inhalt der Anpassung sind Imageschäden für den Angegriffenen in weitem Ausmaß möglich. Erfolgt kein Monitoring der Webseite, kann eine Veränderung durch Defacing erst spät bemerkt werden. Bei Seitenlöschung kommt es zu Ausfallzeiten, die besonders Shop- oder Serviceanbieter hart treffen können. Server zum Versendenvon Spammissbrauchen Mittels eingeschleuster Mailing-Scripte versendet der Angreifer massenhaft Spam-Mails über den gekaperten Server. Nicht nur, dass der Server auf den bekannten Spam-Sperrlisten landet und somit Mails von den auf ihm befindlichen Domains immer als Spam eingestuft werden, auch Google straft die Seite ab. Wichtige E-Mails erreichen dadurch ihre Adressaten nicht mehr und das Entfernen des Blacklistings des Servers kann Tage dauern. Der Imageschaden ist immens, wenn in den Absenderadressen der versendeten Spam-Nachrichten reale Domains des Servers auftauchen. Über die Aktualisierung der eingesetzten Software und regelmäßiges Monitoren des Servers, kann die Gefahr des Spammings gering gehalten werden. Seite 5 von 9

Diebstahlund Missbrauchvon Kundendaten Ist einmal der Zugang zum Server erlangt, stehen dem Angreifer alle Möglichkeiten zur Nutzung des Servers und seiner Daten zur Verfügung. Somit besteht die Möglichkeit, dass Kundendaten aus Dateien oder Datenbanken ausgelesen und auf dem Schwarzmarkt verkauft werden. Für einen frischen, vollständigen Datensatz inkl. Name, Anschrift, Passwort und evtl. sogar Kontodaten/Kreditkartendaten, zahlen Interessenten gerne mehrere hundert Euro. In der Masse gesehen ergibt dies ein lukratives Geschäft für den Angreifer. Die verkauften Daten werden breitgefächert verwendet: Abbuchungen von Kundenkonten, Entschlüsselung des Kennworts und Ausprobieren auf diversen bekannten, großen Webseiten, oder einfach nur zum Spamming. In selteneren Fällen wird von Identitätsdiebstahl berichtet: Über die zur Verfügung stehenden Informationen werden neue Accounts bei Internetshops angelegt und im Namen der Betroffenen Bestellungen aufgegeben. In sozialen Netzwerken kann die Identität eines Dritten vorgetäuscht und somit Schaden für den Betroffenen angerichtet werden. Ähnlich verhält es sich mit vertraulichen Firmendaten, die in Datenbanken oder Dateien auf dem eigenen Server liegen können. Selbst bei dem Verdacht, dass Kundendaten ausgelesen wurden muss Anzeige gegen Unbekannt erstattet und die Webseite vorerst vom Netz genommen werden, um die Schwachstelle, welche der Angreifer nutzte, zu lokalisieren und zu schließen. Dadurch entstehen längere Ausfallzeiten. Durch einen aktuellen Softwarestand, sichere Kennwörter und ein aktives Monitoring per IDS wird Angreifern der Zugriff auf den Server erschwert und somit das Risiko von Datendiebstahl verringert. Server liefert Schadcodeaus Oftmals übernehmen Angreifer eine Webseite, damit diese Schadcode an alle ihre Besucher ausliefert. Dies geschieht über Schwachstellen der Software innerhalb des Rechners des Webseitenbesuchers. Nach der Erstinfektion der Besucherrechner wird meist neue Schadsoftware unbemerkt nachgeladen. Zudem infiziert der Angreifer sämtliche Dateien eines Dateityps auf dem Server mit dem zu verteilenden Schadcode. Bemerkbar macht sich dies u.a. durch erhöhte Ladezeiten der Seite oder bei der Kontrolle von Scriptdateien auf dem Server selbst. Die Reinigung eines solch infizierten Systems nimmt viel Zeit in Anspruch. Da die Webseite für die Bereinigung meist vom Netz genommen werden sollte, entstehen auch hier wieder Ausfallzeiten. Durch die regelmäßige Prüfung auf aktuelle Softwareversionen und das regelmäßige Monitoring von Server und Software, lässt sich das Risiko solcher Zwischenfälle erheblich verringern. Seite 6 von 9

Serviceunterbrechung(DoS/DDoS) Um die Verfügbarkeit von Serverdiensten wie Webserver, Datenbankserver oder Fileserver zu unterbrechen, senden Angreifer Millionen von Datenpaketen gleichzeitig an das Opfer, bzw. nutzen gezielt Ports des zu störenden Dienstes. Auf Grund der Überlastung stellt der Serverdienst den Betrieb ein. Somit kann beispielsweise die Webseite nicht mehr verfügbar sein, kein Zugriff auf die Datenbank ist mehr möglich, Dateien können nicht mehr heruntergeladen werden, etc. Meist werden solche Angriffe von einem zentralen Rechner kontrolliert, welcher weitere Rechner kontrolliert, die mit Schadcode infiziert sind und somit auf die Befehle des Zentralrechners hören. So kann die Anzahl der gesendeten Pakete maximiert werden und der Angreifer selbst bleibt anonym, da sein Rechner keine Pakete sendet nur die Rechner unter seiner Kontrolle. Dies wird oft als Botnetz mit Control and Command -Struktur bezeichnet. Ein solcher Angriff kann zu stunden- bzw. tagelanger Nicht-Verfügbarkeit der Webseite führen. Der Sicherheitsstandard des Hosters ist entscheidend, ob solche Angriffe geblockt und entsprechend abgefangen werden können. Veröffentlichungvon Hacks Auch wenn nach einem Hack auf der Seite nichts geändert wurde und auch keine Daten entwendet wurden, kann es sein, dass der Angreifer sein Werk in einschlägigen, öffentlichen Foren präsentiert. Dort dokumentiert er wie er vorgegangen ist und findet schnell Nachahmer die möglicherweise den Server kapern, Inhalte ändern oder Daten auslesen. Vielleicht verkauft der Angreifer sein Wissen auch an den Meistbietenden. In diesem Falle ist erhöhte Wachsamkeit erforderlich, da ein weiterer Angriff vermutlich bevorsteht. Sind Software und Betriebssystem auf dem neuesten Stand und findet ein regelmäßiges Monitoring statt, so kann ein nicht authorisierter Zugriff auf den Server meist vermieden werden. Doch auch wenn Benutzernamen und Kennwörter in einem Forum auftauchen, kann der Dienstleister meist mit entsprechenden, schnellen Maßnahmen reagieren. Seite 7 von 9

UNSERBEITRAGFÜRIHRESICHERHEIT Arbeitenmit aktuellensystemen Aktuelle Server- und Softwareversionen verringern das Risiko eines Hacks. Unser Server bei Domainfactory wird ständig überprüft und neue Versionen werden automatisch aufgespielt. Auf den Servern sind zudem für PHP die sicheren Einstellungen aktiviert. Dies schränkt diverse Angriffsversuche über die Integration externer Scripte weiter ein. Überwachender Webseite Potentielle Angriffe können geloggt und ausgewertet werden, die Verfügbarkeit der Webseite kann gemessen und auf Änderungen von Seiteninhalten reagiert werden automatisch. Aktuelle Softwareversionen werden sichergestellt. Wir beobachten den Status mit Hilfe des Tools Caretaker. Erkennenvon Angriffen Sämtliche Zugriffe auf die TYPO3-Webseite werden geloggt, sobald sie einem bekannten Angriffsszenario entsprechen. Zusätzlich erhält die Technik umgehend eine entsprechende E-Mail. Über die Einrichtung eines solchen Intrusion Detection Systems (IDS) können schwerwiegende Angriffe abgefangen und die Sicherheit des Systems erhöht werden. Beobachtenaller Vorgänge In unseren TYPO3-Auftritten können automatisierte Sicherheitshinweise per Mail konfiguriert werden. Es erfolgt die sofortige Benachrichtigung der Technik. Weiterhin besteht die Möglichkeit Antwortzeiten, Seiteninhalte, TYPO3-Version und unsichere Erweiterungen, bzw. Erweiterungsupdates, direkt zu monitoren. Bei Unstimmigkeiten erhält der Projektverantwortliche sofort eine Benachrichtigung und kann umgehend reagieren. Sichernvon Kennwörtern Als sicher gelten heute Kennwörter mit mindestens 16 Zeichen, davon mindestens zwei Sonderzeichen und mindestens zwei alphanumerischen Zeichen. Es sollten keine Ausdrücke aus dem allgemeinen Sprachgebrauch verwendet werden, sondern kryptische Passwörter. Zudem sollten Kennwörter mindestens alle drei Monate geändert und angemessen verschlüsselt werden. All dies kann TYPO3 CMS von Haus aus. Allerdings muss die Konfiguration entsprechend Seite 8 von 9

vorgenommen werden. Alle kryptierten Kennwörter, die die genannten Voraussetzungen nicht erfüllen, sind heute innerhalb kürzester Zeit zu entschlüsseln. Eine TYPO3-Extension zum Setzen von Kennwortregeln für TYPO3-Backenduser stellt starke Kennwörter sicher. Zudem wird jeder Backenduser nach drei Monaten automatisch um die Änderung seines Kennworts gebeten. Schützender Verbindung TYPO3-Backendsitzungen können, bei Verfügbarkeit eines entsprechenden Zertifikats, komplett SSL-verschlüsselt abgehalten werden. Keine Eingabe ist für Außenstehende abzufangen. Kennwörter werden verschlüsselt und zusätzlich mit einem Zufallswert gesalzen. Diesen Zufallswert kennt nur die TYPO3-Erweiterung. Dadurch ist ein schnelles Entschlüsseln von starken Kennwörtern fast unmöglich. Abschottenjeder Anwendung Ob Statistik, Live- oder Dev-System: Auf unseren Servern befindet sich alles in einem eigenen, abgeschotteten Bereich. Auch wenn über die Webseite Serverzugriff bestehen sollte, kann sich der Angreifer nicht auf dem gesamten Server frei bewegen. Eine Infektion genau einer Applikation ist möglich, aber nicht die aller Applikationen. Dies spart Zeit beim Finden des Einfallstors und bei der Bereinigung. Einhaltender TYPO3Sicherheitsempfehlungen Hase oder Igel? Wir wissen nie wer schneller ist, aber durch die Einhaltung der Empfehlungen des offiziellen "TYPO3 Security Cookbook": http://typo3.org/documentation/document-library/extensionmanuals/doc_guide_security/current/ sind wir auf der Höhe der Zeit. AbsicherndesTYPO3Backends Der Zugriff auf das TYPO3 Backend stellt die sensibelste Stelle dar. Hier kann ein zusätzlicher Schutz erfolgen: Absicherung des TYPO3 Backends über SSL-Verschlüsselung und zusätzliche Zugriffskontrolle, z. B. per IP basiertem Schutz oder zusätzlichem Passwortschutz auf Serverbasis (htaccess). Seite 9 von 9

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback