Artikelarchiv für die Kategorie "Sicherheit"

Neue Spam-Welle für WordPress-Blogs im Anmarsch?

An Spam in den Kommentaren habe ich mich ja mittlerweile gewöhnt und mich mehr oder weniger damit abgefunden, da das Antispam-Plugin für gewöhnlich klasse Arbeit leistet. Derzeit aber trudelt ein Spam-Kommentar nach dem anderen ein, welche, warum auch immer, nicht von Antispam Bee aussortiert werden.

Absender:

  • Juicy Couture Outlet
  • Atlanta Falcons Jerseys
  • Retro Jordan 11
  • Air Jordan 1
  • Scott Cycling Jersey
  • usw.

Geworben wird übrigens für Sport-Fanartikel.

Da will ich die Gelegenheit nutzen und an einen etwas älteren Artikel erinnern. Ich beschreibe dort, wie man Spammer anhand der IP-Adresse über die .htaccess aussperrt.

Weiterlesen →

[WordPress] Keine Kommentare mehr möglich nach Antispam Bee Update

Gestern hat mich ein Besucher (Danke Robert!) darauf aufmerksam gemacht, dass er keinen Kommentar in meinem Gästebuch hinterlassen kann. Trotz ausgefülltem Kommentarfeld wurde von WordPress ein leeres Feld angemeckert und der Kommentar abgelehnt. Ganz spontan fiel mir ein, dass ich vor kurzem ein Update von Antispam Bee, übrigens ein geniales Antispam-Plugin, durchgeführt habe.

Ich habe das Plugin testweise deaktiviert und schon war das kommentieren ohne Probleme möglich. Also gleich mal auf die Plugin-Seite geschaut, um eine Lösung zu finden. Leider war dort kein Hinweis auf das Problem zu finden. Google fand dann schnell bei fragr.de die Lösung für mich.

Um es kurz zu machen: die Update-Version von Ende Januar hatte einen Fehler und wurde durch eine neue Version, allerdings mit der gleichen Versionsnummer, ersetzt. WordPress zeigte daher keine Update des Plugins an. Als Workaround wurde vom Autor im einem Forum die manuelle Neu-Installation des Plugins vorgeschlagen.

Es kann auf Webservern mit bestimmten PHP-Versionen dazu kommen, dass das Eingabefeld nicht erkannt wird. Ich habe das Plugin bereits heute Vormittag angepasst.

Ihr müsste das Plugin erneut herunter laden und aufspielen.

Schade, dass der Autor keine neue Versionsnummer vergeben hat und die Benutzer so über den Fehler informiert wurden bzw. auf der Plugin-Seite auf das Problem hingewiesen wurde.

Aber vergeben und vergessen bei einem solch genialen Plugin.

[WordPress] Absichern und den Benutzer „admin“ entfernen

Seit einiger Zeit nutze ich das Plugin Limit Login Attempts von Johan Eenfeldt. Das Plugin dokumentiert fehlgeschlagene Login-Versuche und sperrt die IP-Adressen bei wiederholten Fehlversuchen. Für mich ein Plugin, dass jeder WordPress-Betreiber auf jeden Fall einsetzen sollte.

Warum ich das hier schreibe? Ganz einfach: ich habe erschreckt feststellen müssen, wieviele Unbekannte in jüngster Vergangenheit versucht haben sich in meiner WordPress-Installation anzumelden und damit meine Webseite unter ihre Kontrolle zu bringen. Und eins fiel mir noch auf: der dabei verwendete Benutzername, der vom Plugin auch protokolliert wird, lautete immer „admin“.

Und da muss ich einen recht simpel umzusetzenden, aber extrem wirkungsvollen WordPress-Sicherheits-Tipp weitergeben, den ich vor einiger Zeit gelesen und dann auch gleich angewandt habe:

Bei einer Standard WordPress-Installation wird der Benutzer „admin“ automatisch vom System angelegt. Diesen Benutzernamen sollte man unbedingt ändern; entweder man benennt ihn über die Datenbank um oder man legt einen neuen Benutzer mit der Rolle Administrator und einem abweichenden Benutzernamen an und löscht anschließend den alten „admin“.

Den dann reicht dem Angreifer nicht nur dass Passwort, sondern er muss auch noch den dazu passenden Benutzernamen herausbekommen.

Bevor ihr jedoch zur Tat schreitet, sichert auf den Fall eure Datenbank.

Weiterlesen →

Khairi Omer möchte mit mir auf Facebook befreundet sein

Seit einigen Tagen trudeln in meinem Mail Postfach vermehrt Facebook Freundesanfragen ein. Und ich wundere mich, wer so alles mit mir befreundet sein will… Razeena Ommar, Khairi Omer, etc.. Nur leider kenne ich diese Personen nicht. Und die Mailadresse, an die die Nachricht versendet wurde, ist gar nicht bei Facebook hinterlegt. Komisch, oder?

Sieht so aus, als ob eine neue Welle von Phishing Attacken unter dem Deckmantel von Facebook im Anmarsch ist.

Ich krame nochmal diesen Artikel hervor und zeige, wie ihr fragwürdige Mails enttart. Denn zugegebenermaßen sehen diese den Facebook Benachrichtigungen zum verwechseln ähnlich.

Wer also Zweifel an der Echtheit einer Mail hat, dem zeige ich hier zwei Möglichkeiten auf, diese zu prüfen.

Weiterlesen →

Hannspree Hannspad SN10T1 Backup erstellen und wiederherstellen

Das Hannpspad SN10T1 erfreut sich mittlerweile großer Beliebtheit, nicht zuletzt wegen des günstigen Preises. Die Foren-Beiträge zu dem Tablet werden immer zahlreicher und auch die Custom-Roms werden immer besser an die Hardware angepasst. Ich habe in diesem Artikel beschrieben, wie das Hannspad gerootet wird und Custom-Roms installiert werden können. Natürlich kann dabei auch mal etwas schiefgehen. Gut, wer dann eine Sicherung parat hat.

Wer sein Hannspad bereits gerootet hat, kennt vermutlich die Möglichkeit mittels des CWM (ClockworkRecoveryMode) eine Sicherung zu erstellen und auch wiederherzustellen. Nur leider nützt die Sicherung nichts, wenn man nicht mehr in den CWM kommt, weil das Hannspad vorher abbricht. Diese Anleitung setzt bereits vor dem CWM an, und stellt im Falle eines Bricks die letzte Möglichkeit der Wiederherstellung dar.

Die Anleitung für das Sichern und Wiederherstellen habe ich aus dem SlateDroid-Forum ins Deutsche übersetzt. Auch die Dateien stammen aus dem Forum. Vielen Dank dafür an die Ersteller.

Und so funktioniert die Sicherung und Wiederherstellung des Backups:

Weiterlesen →

„Gefällt mir“-Button verstößt gegen deutsche Datenschutzbestimmungen

Nach einer neuen Analyse von Datenschützern verstößt der auf Webseiten häufig genutzte „Gefällt mir“-Button von Facebook aktuell gegen deutsches Recht. Das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein (ULD) stellte fest, dass dieser nicht mit den Bestimmungen des Datenschutzes und des Telemediengesetzes (TMG) vereinbar ist.

So heißt es in einer Presseerklärung:

Bei Nutzung der Facebook-Dienste erfolgt eine Datenweitergabe von Verkehrs- und Inhaltsdaten in die USA und eine qualifizierte Rückmeldung an den Betreiber hinsichtlich der Nutzung des Angebots, die sog. Reichweitenanalyse. Wer einmal bei Facebook war oder ein Plugin genutzt hat, der muss davon ausgehen, dass er von dem Unternehmen zwei Jahre lang getrackt wird. Bei Facebook wird eine umfassende persönliche, bei Mitgliedern sogar eine personifizierte Profilbildung vorgenommen. Diese Abläufe verstoßen gegen deutsches und europäisches Datenschutzrecht. Es erfolgt keine hinreichende Information der betroffenen Nutzerinnen und Nutzer; diesen wird kein Wahlrecht zugestanden; die Formulierungen in den Nutzungsbedingungen und Datenschutzrichtlinien von Facebook genügen nicht annähernd den rechtlichen Anforderungen an gesetzeskonforme Hinweise, an wirksame Datenschutzeinwilligungen und an allgemeine Geschäftsbedingungen.

Dieser Meinung hat sich nun auch der Niedersächsische Landesbeauftragte für den Datenschutz (LFD) angeschlossen.

Die ausführliche Datenschutzrechtliche Bewertung könnt ihr hier nachlesen.

Ich habe daher den Button bis zur Beseitigung der rechtswidrigen Zustände durch Facebook von meiner Webseite entfernt.

PSN gehackt – Persönliche Daten entwendet

Wie ihr sicher mitbekommen habt, ist das PSN ist seit dem 20.04.2011 nicht mehr erreichbar. Wer versucht sich mit dem PSN zu verbinden, erhält die Meldung, dass das PSN derzeit gewartet wird. Sony hat gestern Abend hierzu endlich Stellung bezogen. Heute trudelte auch eine Mail mit der offiziellen Stellungnahme von Sony bei mir im Posteingang ein, die auf die Gründe für das Abschalten des PSN eingeht. Ziemlich hamma. Aber lest selbst.

Hier der Wortlaut:

Geschätzte PlayStation Network und Qriocity Kunden,

wir mussten feststellen, dass in der Zeit vom 17. April bis zum 19. April 2011 bestimmte Services des PlayStation Network sowie Qriocity mittels illegalen und unberechtigten Eingreifens in das Netzwerk angegriffen wurden. Als Folge dieser Eingriffe haben wir:

1.    vorübergehend sämtliche PlayStation Network und Qriocity Services ausgeschaltet;
2.    eine außenstehende, anerkannte Sicherheitsfirma damit beauftragt, eine vollständige und lückenlose Untersuchung zu den Geschehnissen durchzuführen;
3.    zügig alle notwendigen Schritte unternommen, um die Sicherheit zu verbessern sowie um die Struktur des Netzwerkes zu stärken, indem das gesamte System umgebaut wurde, um eine optimale Sicherung Ihrer persönlichen Daten zu gewährleisten.

Wir schätzen aufs Äußerste Ihre Geduld, Ihr Verständnis sowie Ihre Kulanz, während wir alles nur mögliche tun, um diese Angelegenheit schnellst- und bestmöglich aufzuklären und zu bearbeiten.

Auch wenn wir derzeit noch bei der Untersuchung aller relevanten Details zu dem Vorfall sind, meinen wir, dass sich eine unbefugte Person Zugriff zu folgenden persönlichen Daten verschaffen konnte: Name, Adresse (Stadt, Bundesland, Postleitzahl), Land, E-Mail Adresse, Geburtsdatum, PlayStation Network/ Qriocity Passwort und Login sowie PSN Online ID. Es kann darüber hinaus möglich sein, dass auch Ihre Profilangaben widerrechtlich abgerufen wurden inklusive Ihrer Kaufhistorie und Ihrer Rechnungsanschrift (Stadt, Bundesland, Postleitzahl). Falls Sie einem zweiten Konto für einen Unterhaltsberechtigten zugestimmt haben, kann es sein, dass oben genannte Angaben Ihres Unterhaltsberechtigten ebenfalls angeeignet wurden. Obwohl es derzeit keine Anzeichen dafür gibt, dass auf Kreditkarteninformationen widerrechtlich zugegriffen wurden, können wir diese Möglichkeit nicht gänzlich außer Betracht lassen. Falls Sie Ihre Kreditkarteninformationen im PlayStation Network oder Qriocity angegeben haben, möchten wir Sie sicherheitshalber darüber benachrichtigen, dass auf Ihre Kreditkartennummer (exklusive Ihres Sicherheitscodes) sowie auf die Gültigkeitsdauer zugegriffen werden konnte.

Für Ihre eigene Sicherheit möchten wir Sie inständig bitten, besonders wachsam vor potenziellen Gaunereien via E-Mail, Telefon und Post zu sein, in denen persönliche, private Informationen ausgehorcht werden. Sony wird Sie in keiner Form kontaktieren – auch nicht per E-Mail –, um Kreditkarten-, Sozialversicherungs-, Steueridentifikationsnummern oder andere Informationen zur Person zu erfragen. Sollten Sie danach gefragt werden, können Sie sich sicher sein, dass Sony nicht der Adressat der Anfrage ist. Sobald das PlayStation Network und alle Qriocity Services vollständig wieder hergestellt sind, empfehlen wir Ihnen eindringlich, nach dem Einloggen Ihr Passwort zu ändern. Sollten Sie darüber hinaus den Benutzernamen oder das Passwort, welchen/-s Sie im PlayStation Network oder Qriocity nutzen, auch für andere unabhängige Dienste oder Konten verwenden, empfehlen wir Ihnen eindringlich, auch diese zu ändern.

Um sich vor möglichem Identitätsdiebstahl oder finanziellem Verlust zu wappnen, bestärken wir Sie, Ihre Kontoaktivitäten wachsam zu überprüfen und sämtliche Kontoauszüge zu überwachen.

Wir bedanken uns für Ihre Geduld, während wir unsere Ermittlungen abschließen und bedauern die entstandenen Unannehmlichkeiten. Unsere Mitarbeiter arbeiten ununterbrochen daran, unsere Services schnellstmöglich wieder zu Verfügung zu stellen. Sony nimmt die Wahrung persönlicher Daten äußerst ernst und wird daher weiter unablässig daran arbeiten, zusätzliche Sicherheitsmaßnahmen zu ergreifen, damit die sensiblen persönlichen Daten gesichert sind. Unsere höchste Priorität ist, Ihnen als Kunden Qualität und sichere Unterhaltungsservices zu bieten. Kontaktieren Sie uns bitte unter de.playstation.com/psnoutage sollten Sie irgendwelche zusätzlichen Fragen haben.

Mit freundlichen Grüßen,
Sony Network Entertainment und die Sony Computer Entertainment Teams

Es wird von bis zu 77 Millionen Account-Daten ausgegangen, die von den Sony Servern erbeutet wurden. Leider ist die Informationspolitik seitens Sony nicht immer ganz eindeutig. So ist nicht klar, ob Kreditkartendaten entwendet wurden und ob die PSN-Passwörter für die Diebe einsehbar waren. Vermutlich weiß es Sony selbst nicht.

Jeder PSN- und Qriocity-Nutzer sollte in der nächsten Zeit extrem wachsam sein und Unstimmigkeiten bei Kreditkartenabrechnungen sofort seinem Kreditinstitut melden. Auch seinen Mail-Posteingang sollte man besonders gründlich durchsehen. Wer die Kombination aus der im PSN angegebenen Mailadresse und dem hinterlegten Kennwort auch bei anderen Online-Diensten (ebay, Paypal, Facebook, Online-Shops, etc.) nutzt, sollte unverzüglich das Kennwort ändern.

Ich kann euch noch diesen Artikel des „Spiegel“ ans Herz legen.

Und wieder mal ein Versuch…

… an unser Geld zu kommen. Heute trudelte mal wieder eine, sagen wir mal, fragwürdige Mail in meinem Postfach ein. Absender: das DHL Service Center. So sieht das gute Stück aus:

Kommt dem Ein oder Anderen vielleicht bekannt vor. Phishing mit DHL Packstationsdaten gab es in der Vergangenheit schon öfters. Aber die Mail ist gar nicht schlecht gemacht. Keine groben Rechtschreib- oder Grammatikfehler; da hat sich jemand Mühe gegeben. Nur dumm, dass ich noch nie eine Packstation von DHL genutzt habe. Aber auch sonst gibt die Mail zu berechtigter Skepsis Anlass.

Weiterlesen →

Post von Microsoft bekommen?

Entschuldigt die Störung. Habt ihr heute auch Post von Microsoft bekommen? Folgende Mail landete heute in meinem Posteingang:

Lieber Microsoft-Kunde,

wir freuen uns Ihnen mitteilen zu dürfen,daß wir Ihnen zum bestehenden Sicherheitsproblem bzgl. Internet Explorer 9 und Firefox 3.x einen Update-Patch bereitstellen können. Kompatibel mit Windwos XP / VISTA und Windows 7.

Ihren Patch finden Sie unter:

http://www.microsoft-updates.de/web_update.exe

oder auf http://www.microsoft-updates.de/

Update for Windows XP, VISTA, WIN7

Installation:

1. Downloaden Sie den Update-Patch

2. Update-Patch ausführen durch Doppelklick oder Rechtsklick/öffnen 3. Nach der Installation starten Sie Ihr Betriebssystem neu.

Mit freundlichen Grüßen

Steve Lipner

Director of Security Assurance

Microsoft Corp.

Der erfahrene User von heute merkt natürlich sofort, dass dies ein kläglicher Versuch ist, uns dazu zu bewegen, irgendwelche Schadprogramme auf unserem Computer zu installieren. Was genau sich hinter dem Programm web_update.exe versteckt, weiß ich nicht und will es auch gar nicht wissen. Es ist aber ganz sicher kein Sicherheitsupdate von Microsoft.

All diejenigen, die hinter dieser Mail eine lobenswerte Aktion von Microsoft für unsere Internetsicherheit sehen, sollten vielleicht mal weiterlesen.

Weiterlesen →

WLAN des Nachbarn anzapfen ist nicht strafbar

Interessantes, und für mich etwas unverständliches, Urteil des Amtsgerichts Wuppertal für alle WLAN-Betreiber. Das Amtsgericht hat nun entschieden, dass wer ohne Erlaubnis über ein fremdes, ungesichertes WLAN surft, sich nicht strafbar macht.

Im vorliegenden Fall wurde dem Tatverdächtigen vorgeworfen, sich im August 2008 mit seinem Laptop mittels einer drahtlosen Netzwerkverbindung in ein offenes WLAN eingewählt zu haben, und ohne Erlaubnis und Zahlung eines Entgelts das Internet zu nutzen. 

Das Amtsgericht begründete ihr Urteil damit, dass das sogenannte Schwarzsurfen weder den Tatbestand des unbefugten Abhörens von Nachrichten nach §89 I 1 TKG noch des unbefugten Abrufens oder Verschaffens personenbezogener Daten nach §§44, 43 II Nr.3 BDSG erfülle.

Nun ja. Von meinem Rechtsempfinden her, habe ich da ein etwas mulmiges Gefühl. Da nutzt Jemand etwas, für das ein Anderer Geld zahlen muss, ohne sein Einverständnis.

Auf jeden Fall sollte sich jeder Betreiber eines WLAN über die Konsequenzen bewusst sein, was passieren kann, wenn man sein Funknetzwerk nicht absichert.

Stellt euch nur mal vor, es wählt sich der böse Nachbar in euer Netz ein und lädt per Filesharing Filme, Musik oder Schlimmeres herunter. Die Staatsanwaltschaft ermittelt die IP-Adresse und steht bei euch vor der Haustür. Na dann erklärt denen mal, dass ihr das nicht wart…

Wer sich in euer Netzwerk einwählen kann, hat natürlich auch Zugriff auf euren Rechner und kann so Mails lesen, Fotos anschauen etc..

Also immer schön das WLAN absichern. So schwer ist das nicht.