Beiträge

Cert.at – IT Sicherheit in Österreich

Wie schon hier beschrieben hat uns CERT sehr geholfen. Aber wer sind die eigentlich????

Was ist CERT.at?

CERT.at ist das nationale CERT (Computer Emergency Response Team) für Österreich. In dieser Funktion ist CERT.at der Ansprechpartner für die komplette österreichische IT-Sicherheit im nationalen Umfeld und gleichzeitig kompetenter Gesprächspartner für ausländische CERTs sein. Aus diesem Grund ist CERT.at in den einschlägigen Fachorganisationen auf internationaler Ebene als Stimme Österreichs vertreten, so etwa bei Trusted Introducer, FIRST und TF-CSIRT.

Wer steht hinter CERT.at?

CERT.at beruht auf einer Initiative von nic.at, der österreichischen Domain-Registry, und wird auch von nic.at gesponsert. Diese Sonderstellung wird durch alle Beteiligten akzeptiert und ergibt sich aus der Neutralität von nic.at, die als Anbieter von Basisdiensten nicht in Konkurrenz zu Internet Service Providern (ISPs) steht. Die Konstellation, das nationale CERT durch die nationale Domainregistry zu betreiben, hat bereits erfolgreiche Vorbilder in Europa, so etwa in der Schweiz, in Polen und in Finnland.

Für wen arbeitet CERT.at?

Zielgruppe von CERT.at sind nationale österreichische IT-Security-Teams und lokale CERTs. Weiterhin besteht eine Kooperation mit dem Government Computer Emergency Response Team für die öffentliche Verwaltung und die kritische Informations-Infrastruktur (KII) in Österreich. Eines ist CERT.at jedoch nicht: Es ist keine allgemeine Anlaufstelle für private User, die um einen Trojanerbefall auf ihrem Rechner fürchten. Hier verweist CERT.at auf allgemein zugängliche Informationen im Netz oder kommerzielle IT-Dienstleister.

Was leistet CERT.at?

CERT.at handelt wie alle nationalen CERTs klassisch vorbeugend: Es wird im Idealfall gehandelt, bevor ein Schaden eingetreten ist, also vorbeugend. Dazu gehören auch Früherkennung, aktuelle Notfallpläne und aufklärende Arbeit in der Öffentlichkeit. Die Analyse und Nachbereitung eingetretener Incidents liefert wertvolle Hinweise für die Planung künftiger IT-Sicherheitsmaßnahmen. Im Vordergrund steht hierbei ein ganzheitlicher Ansatz der Vernetzung. Nur durch gezielte und unabhängige Koordinierung können Warnungen rechtzeitig erstellt und verbreitet werden. Die Befugnisse von CERT.at haben allerdings auch Grenzen: So besteht kein Durchgriffsrecht auf die nationale Netzwerkinfrastruktur. Dieses Manko wird jedoch durch enge Kontakte zu den führenden ISPs weitgehend ausgeglichen.

Die zentralen Aufgaben von CERT.at sind:

  • Vernetzung anderer CERTs und CSIRTs (Computer Security Incident Response Teams)
  • Weitergabe von Warnungen und Alerts an KMUs (kleine und mittlere Unternehmen) und die allgemeine Öffentlichkeit
  • Information von betroffenen Netzbetreibern und lokalen Security Teams bei Angriffen auf Rechner auf nationaler Ebene

CERT.at behandelt jede Information als vertraulich und holt vor der Weitergabe die Zustimmung des Übermittlers ein. Ausnahme: Die Weitergabe ist sofort notwendig, um einen Vorfall zügig zu bearbeiten und Schaden abzuwenden. Dies gilt auch für die Information von Medien und Behörden. Die Koordinierungsfunktion von CERT.at verbietet auch eine potentielle Konkurrenz zu am Markt agierenden IT-Sicherheitsfirmen.

Weitere Infos (externe Seiten):

So half uns Cert.at

Wir staunten nicht schlecht als wir eine Email von cert.at mit folgendem Inhalt bekamen (nur ein Auszug):

[stextbox id=“warning“]

Als österreichisches Computer Emergency Response Team (CERT.at) ist uns bei einem routinemäßigen Scan von österreichischen Webseiten aufgefallen, dass Ihre Webpräsenz aktuell einen Webshop bzw. Werbung bzw.
entsprechende Weiterleitungen zu potentiell gefälschten pharmazeutischen Produkten beinhaltet. Dies deutet auf einen Einbruch in den zugrundeliegenden Server hin.

Bitte helfen Sie mit, das Problem zu beheben und so andere Personen davor zu bewahren, dass diese Opfer eines Betruges werden.

… dann Hinweise auf URL´s von uns im Google Index ……. und dann weiter …..

Dahinter steht folgende Geschäftsidee der Hacker:

* Es wurden (von den Hackern) bestimmte Stichworte in die Seite eingebaut, die
nur dem Google bzw. Bing „Crawler“ (der Software, die Google benutzt, um die
Seite zu indizieren) angezeigt werden. Diese Stichworte beinhalten gewisse
Pillen und Medikamente.

* Normale Besucher sehen keine Veränderung.

* Nach einer Weile, wenn die Suchmaschinen ihre Bewertungen (Rankings)
angepasst haben, dann wird einem Besucher der Seite – soferne er über eine
Google Suche auf die Seite kam – die Pillenwerbungen angezeigt (anstatt dem
normalen Inhalt).

Wenn aber „normale“ Besucher auf die Webseite gehen (also die Webseite direkt
ansurfen, ohne über eine Google Suche zu kommen), dann wird der normale Inhalt
angezeigt. Somit sehen „normale“ Besucher der Seite keine Veränderungen.

[/stextbox]

Peinlich – wir wurden gehackt ohne das wir es bemerkt haben. Lesen Sie sich das bitte einmal genau durch. Geht man direkt auf unsere Webseite ist alles OK aber wenn man über den Google Index auf bestimmte Seiten von uns klickte dann kam man auf eine Seite für „blaue Pulver für Männer“ …….

Weiterlesen

Die populärsten und sichersten Browser

Webbrowser sind ein absolutes Muss für die Darstellung von Homepages. Doch welche sind besonders beliebt und bieten den größten Schutz beim Surfen im Internet? Webbrowser werden von verschiedenen Entwicklern angeboten und finden ihre Verbreitung über unterschiedliche Vertriebswege. Die bekanntesten sind jene, die zusammen mit den auf Endgeräten vorinstallierten Betriebssystemen geliefert werden. Gemeint sind damit PCs und Notebooks, die über Windows verfügen und damit den Internet Explorer nutzen, sowie Apple-Rechner, die mit dem Mac OS ausgestattet sind und den hauseigenen Browser Safari verwenden. Beide Browser sind seit vielen Jahren etabliert und werden stetig weiter entwickelt. Die aktuellsten Versionen sind der IE 9 und Safari 5.

Der IE 9 ist in puncto Sicherheit unter anderem mit einem Tracking Schutz und einer ActiveX-Filterung ausgestattet. Der Tracking Schutz verhindert die Speicherung von persönlichen Daten auf fremden Websites. Einige Seiten tun dies, um die Surf-Gewohnheiten von Usern auszuloten und individualisierte Werbedisplays anzuzeigen. Der ActiveX-Filter schaltet die Elemente der Software aus. Damit werden schädliche Komponenten auf Webseiten gehindert, auf den Rechner zuzugreifen.

Doch auch beim Safari 5 hat sich einiges für die Sicherheit beim Surfen getan. So verfügt die neueste Version über einen XSS Auditor, der böswillige Skripts herausfiltert und Angreifern damit den Zugriff auf den Rechner erschwert. Ebenfalls neu ist der Icon für „Privates Surfen“. Wird dieser aktiviert, können andere Computernutzer weder Suche, Verlauf oder andere Aktivitäten nachvollziehen. Diese bleiben völlig privat und für andere unsichtbar.

Neben den Browsern der beiden Konzerne Apple und Microsoft stellen auch andere Entwickler kostenlose Browser zur Verfügung, die sich ebenfalls einen festen Platz auf dem Markt erworben haben. Dazu zählen der Mozilla Firefox (aktuell in Version 4), Opera (11) und der jüngste von allen: Google Chrome. Alle laufen sowohl auf Windows, Mac und Linux. Die entsprechenden Downloaddateien findet man auf den Anbieterseiten.

Zum Thema Sicherheit können alle mit den Software-Giganten Microsoft und Apple mithalten. Der Firefox 4 identifiziert mit einem Tool augenblicklich Websites und verfügt ebenfalls über einen Tracking Schutz und einen privaten Modus. Zudem verknüpft er sich mit dem Antiviren-Programm von Windows, das auf dem Rechner installiert ist. Auch Opera teilt einige Features wie den Phishing-Schutz mit seinen Konkurrenten. Darüber hinaus bietet er die Option, Cookies zu steuern und zeigt mit farbigen Badges die Verschlüsselungsqualität von Homepages an. Auch Google Chrome wartet mit nützlichen Ausstattungsmerkmalen auf, zu denen die so genannte Sandbox-Technologie zählt. Diese verhindert den automatischen Zugriff von Malware auf das Endgerät.

Alle Browser sind weit entwickelt, kleine Schwächen findet man allerdings bei jedem der Internet-Programme. Dennoch ermöglichen sie weitgehend sicheres Surfen und viele Features, die nicht nur Spaß machen, sondern auch praktisch und unkompliziert sind.

Browser (externe Seiten):

Sind Joomla oder WordPress anfälliger als ‚Insellösungen‘?

Immer wieder berichten User im Internet über Sicherheitslücken bei Joomla und WordPress. Wie anfällig sind diese wirklich?

Generell sind CMS modular erweiterbare Webseitensysteme, die auf Basis von unterschiedlichen Plattformen wie Java, Asp.NET oder auch PHP arbeiten. Die Anfälligkeit eines solchen Systems ergibt sich also aus den Anfälligkeiten der eingesetzten Module, dem Kern des CMS sowie der benutzten Plattform.

Den wohl anfälligsten Teil machen die zusätzlich installierten Module aus, da diese meist nur vereinzelt genutzt werden und somit bestehende Sicherheitslücken nur langsam entdeckt und geschlossen werden können. Gleiches gilt auch für den Kern von weniger verbreiteten CMS, da diese nicht über genug Ressourcen verfügen, um Sicherheitslücken aufzudecken und zu schließen. Die Meldungen über Sicherheitslücken bei Joomla und Co. sind meist darin begründet, dass ein Update, welches genau diese Sicherheitslücke schließt, in Entwicklung ist oder bereits veröffentlicht wurde.

Wenn ein Hacker eine Webseite angreifen will, hat er zwei Möglichkeiten: Er nutzt bekannte Sicherheitslücken, oder er sucht nach bisher unbekannten Lücken. Die erste Methode ist in der Regel einfacher zu realisieren und macht die großen CMS angreifbarer, da hier Lücken schneller und häufiger bekannt werden. Andererseits werden bekannte Lücken in der Regel schnell geschlossen und vorübergehende Lösungen veröffentlicht. Wer also sein CMS aktiv wartet und häufig aktualisiert, hat im Bezug auf die Sicherheit einen Vorteil. Die zweite Variante hat hingegen bei weniger verbreiteten CMS und vor allem bei Individuallösungen mehr Erfolg. Dies betrifft aber auch zusätzlich verwendete Module eines größeren CMS.

Manche Sicherheitslücken treten sowohl bei Joomla als auch bei WordPress in ganz ähnlicher Form auf. Ein beliebtes Angriffsziel für Attacken sind z.B. SQL-Anweisungen. Sie konnten – zumindest in älteren Versionen – so manipuliert werden, dass der Angreifer unter Umständen sogar die Zugangsdaten eines Administrators zur Datenbank ermitteln konnte. Sind diese erst einmal bekannt, dann sind dem Lesen und Manipulieren von Daten kaum noch Grenzen gesetzt.

Bei WordPress wurden solche Angriffe beispielsweise in älteren Versionen durch einen Wurm realisiert. Er griff die Software an und richtete sich ein Administrator-Konto ein. Als konkretes Beispiel wurde die Komponente Newsletter 2.x für WordPress öffentlich genannt. Ein Update war lange nicht verfügbar. Neben der Variante, in der Datenbank entsprechenden Schutz einzubauen, gab es aber hier die Möglichkeit, direkt den Quellcode zu ändern, damit schon bei der Eingabe über die Tastatur die entsprechenden Sicherheits-Überprüfungen vorgenommen werden.

Neuere Versionen versuchen gerade diese Sicherheitslücke zu schließen. Erfahrene Anwender haben die Möglichkeit, in ihrer Datenbank selbst entsprechende Sicherheitsmechanismen einzubauen, die so einen Manipulationsversuch unwirksam machen. Außerdem wird den Anwendern auch hier geraten, stets die neueste Version zu installieren und Updates zu nutzen.

Quellen (externe Seiten):