Den eigenen Server aus der Perspektive eines Angreifers zu betrachten ist eine der effektivsten Methoden Sicherheitslücken zu finden bevor jemand anderes es tut. Grundlegende Pentest-Techniken für die eigene Infrastruktur — nichts davon auf fremde Systeme anwenden. Reconnaissance — was ist von außen…
SSO (Single Sign-On) bedeutet: einmal einloggen, überall angemeldet sein. Hinter jedem "Mit Google anmelden" oder "Mit Microsoft anmelden" steckt entweder SAML oder OIDC. SAML vs. OIDC SAML 2.0 (Security Assertion Markup Language): XML-basiert, Unternehmensstandard, komplex. Findet sich bei Salesfor…
XSS-Schwachstellen sind einfach zu verhindern wenn man konsequent escapet. Trotzdem passieren sie — durch Vergessen, durch Third-Party-Code, durch Rendering-Edge-Cases. Content Security Policy ist die zweite Verteidigungslinie. Was CSP macht CSP sagt dem Browser per HTTP-Header welche Quellen für Sc…
Ein Information Security Management System (ISMS) klingt nach ISO-27001-Zertifizierungen und riesigen Unternehmen. Die Grundidee ist aber simpler: Informationssicherheit nicht nach Gefühl betreiben sondern systematisch, dokumentiert und überprüfbar. Der PDCA-Zyklus ISMS basiert auf Plan-Do-Check-Act…
Datenschutz wird meistens als Reaktion gedacht: nach einem Leak, nach einer Datenpanne, nach einem Urteil. Datensparsamkeit ist das Gegenteil — eine proaktive Entscheidung, erst gar nicht zu teilen was nicht geteilt werden muss. Das Grundprinzip Daten die nicht existieren können nicht gestohlen, gel…
Die meisten Passwort-Policies sind kontraproduktiv. Mindestlänge 8 Zeichen, Sonderzeichen, Großbuchstaben, alle 90 Tage ändern — und als Ergebnis bekommt man das alle Vierteljahr zu wird. Was NIST empfiehlt (seit 2017) Das NIST (National Institute of Standards and Technology) hat seine Guidelines üb…
openssl ist auf jedem Linux-System dabei und unersetzlich wenn man mit Zertifikaten arbeitet. Self-Signed Zertifikat erstellen Für interne Dienste oder lokale Entwicklung. bedeutet kein Passwort auf dem Private Key — nötig damit Nginx ohne manuelle Eingabe startet. Bestehende Zertifikat prüfen Ablau…
Ein einfacher Passwort-Generator der sicheren Zufall nutzt ist schnell gebaut. Einfachste Variante Gibt 32 zufällige Bytes als Base64-String aus. Schnell und überall verfügbar. Nur bestimmte Zeichen Für Passwörter die keine Sonderzeichen enthalten dürfen. löscht alle Zeichen die nicht im angegebenen…
rkhunter scannt das System nach bekannten Rootkits, verdächtigen Datei-Berechtigungen und manipulierten System-Binaries. Kein aktiver Schutz aber ein nützliches Audit-Tool. Installation Erste Datenbank initialisieren Beim ersten Start muss rkhunter den aktuellen Zustand als Referenz speichern. Das d…
Das BSI IT-Grundschutz-Kompendium ist ein mehrtausend-seitiges Dokument. Niemand liest das komplett. Aber die Grundprinzipien dahinter sind auch für kleine Projekte und Einzelentwickler relevant. Was IT-Grundschutz ist Ein Rahmenwerk des Bundesamts für Sicherheit in der Informationstechnik (BSI) für…
Passwörter in einer geteilten Textdatei, per Slack verschickt oder im Browser-Passwortmanager der nicht synchronisiert — das sind die Alternativen die Teams ohne einen richtigen Passwort-Manager nutzen. Alle sind schlechter als Vaultwarden. Was Vaultwarden ist Vaultwarden ist eine inoffizielle Bitwa…
IT-Sicherheit hat eine konzeptionelle Grundlage die hinter jedem praktischen Sicherheitsentscheid steckt. Wer die CIA-Triade verinnerlicht hat trifft bessere Entscheidungen — auch wenn er sie nie explizit benennt. Die CIA-Triade Drei Schutzziele, alle gleichwertig: Confidentiality (Vertraulichkeit) …
Am 19. Juli 2024 um 04:09 UTC begann einer der größten IT-Ausfälle der Geschichte — verursacht nicht durch einen Cyberangriff, sondern durch ein fehlerhaftes Update des Sicherheitsanbieters CrowdStrike. Was passierte CrowdStrike Falcon ist ein EDR-Produkt (Endpoint Detection and Response) das auf Wi…
Eine Glühbirne ist kein Sicherheitsrisiko. Eine Glühbirne mit WLAN-Chip, Firmware aus dem Jahr der Auslieferung, und einem China-Cloud-Backend dem sie alle 30 Sekunden Statusinformationen schickt — ist eine andere Sache. Das IoT-Sicherheitsproblem Smart-Home-Geräte werden nach dem Preis gekauft, nic…
Docker-Container mit Standardeinstellungen sind nicht sicher konfiguriert. Root-Prozesse, beschreibbare Dateisysteme, übermäßige Capabilities — alles Default. Das lässt sich mit wenig Aufwand deutlich verbessern. Non-root User Wenn der Container kompromittiert wird hat der Angreifer keinen Root-Zuga…
Am 29. März 2024 entdeckte Andres Freund, ein Microsoft-Ingenieur, zufällig eine Backdoor in xz-utils — einem Kompressionsprogramm das auf praktisch jedem Linux-System installiert ist. Der Angriff war so gut durchdacht dass er ohne diesen zufälligen Fund wahrscheinlich unbemerkt geblieben wäre. Was …
IT-Sicherheit in kleinen Unternehmen scheitert selten an fehlenden Tools. Sie scheitert daran, dass niemand zuständig ist, Prozesse nicht existieren und „wir sind zu klein für einen Angriff" als Strategie gilt. Warum kleine Unternehmen attraktive Ziele sind Ransomware-Gruppen haben ihre Angriffe aut…
Datenbankmigrationen auf einer Produktionsdatenbank mit laufendem Traffic sind die häufigste Ursache für ungeplante Downtimes. Die meisten Probleme sind vermeidbar. Was gefährlich ist MySQL/MariaDB sperrt bei manchen ALTERs die Tabelle für die gesamte Dauer. Bei 50 Millionen Zeilen dauert das. Onlin…
Wenn ein Server kompromittiert wurde ist die erste Reaktion meistens falsch: neu aufsetzen, alles löschen, weitermachen. Damit vernichtet man Beweise die erklären würden wie der Angreifer rein kam — und ohne das bleibt die Lücke offen. Grundprinzip: erst sichern, dann aufräumen Die Reihenfolge ist w…
Webhooks sind HTTP-Requests die ein fremder Server an einen eigenen Endpunkt schickt. Das Problem: jeder kann solche Requests schicken. Ohne Validierung verarbeitet man möglicherweise gefälschte Daten. Signatur-Validierung Die meisten Webhook-Anbieter (GitHub, Stripe, Shopify) signieren ihre Request…
Es gibt Unternehmen deren Geschäftsmodell ausschließlich darin besteht Daten über Menschen zu sammeln, zusammenzuführen und zu verkaufen. Die meisten Menschen wissen nicht dass diese Unternehmen existieren — obwohl sie detaillierte Profile über sie führen. Wer Datenhändler sind Data Broker kaufen un…
Vaultwarden ist eine inoffizielle aber vollständig kompatible Implementierung des Bitwarden-Servers. Läuft auf einem kleinen VPS mit kaum Ressourcen und ist mit allen Bitwarden-Clients kompatibel. Installation mit Docker verhindert dass sich Fremde registrieren können. Port nur auf localhost binden …
CVEs finden ist einfach. Der schwierige Teil ist zu entscheiden was davon wirklich kritisch ist, wer es behebt, bis wann, und wie man nachverfolgt ob es erledigt wurde. Schwachstellen systematisch erfassen Quellen: / — Anwendungsabhängigkeiten — Container-Images — Betriebssystem-Konfiguration CVE-Fe…
Bevor man einen Server ins Internet stellt sollte man wissen welche Ports von außen erreichbar sind. nmap ist dafür das richtige Werkzeug. Installation Einfacher Port-Scan Scannt die 1000 häufigsten Ports und zeigt an welche offen sind. Alle Ports scannen Dauert länger aber erfasst auch ungewöhnlich…
MOVEit Transfer ist eine Enterprise-Software für verwaltete Dateiübertragungen — eingesetzt von Banken, Behörden, Krankenkassen und Unternehmen weltweit. Im Mai/Juni 2023 nutzten Angreifer der Gruppe Cl0p eine SQL-Injection-Schwachstelle in der Web-Oberfläche aus. Was folgte war einer der breitesten…
LUKS ist der Standard für Festplatten-Verschlüsselung unter Linux. Wichtig für Backupfestplatten, externe Laufwerke oder VPS-Volumes mit sensiblen Daten. Voraussetzung Neues Volume verschlüsseln Erst alle Daten sichern — dieser Schritt löscht alles auf dem Laufwerk. Bestätigen mit (Großbuchstaben) u…
HTTPS nutzt jeder. Aber was hinter dem grünen Schloss steckt bleibt oft undurchsichtig. Public-Key-Infrastruktur ist das Fundament — und das Konzept ist verständlicher als es klingt. Asymmetrische Kryptographie Das Grundprinzip: zwei Schlüssel die zusammengehören. Private Key: nur der Besitzer kennt…
Business Email Compromise ist keine Schadsoftware, kein Exploit, kein technischer Angriff. Es ist eine E-Mail. Und es hat Unternehmen weltweit mehr Geld gekostet als alle Ransomware-Angriffe zusammen. Was BEC ist Der FBI Internet Crime Report nennt BEC seit Jahren als die kostenintensivste Cyberkrim…
OAuth 2.0 ist das Protokoll hinter "Mit Google anmelden" und allen vergleichbaren Flows. Es ist nicht besonders komplex — aber die Terminologie verwirbelt den Einstieg. Was OAuth löst Früher: eine App will auf GitHub-Repositories zugreifen → der Benutzer gibt sein GitHub-Passwort der App. Die App ha…
LastPass ist einer der größten Passwortmanager der Welt. 2022 wurde er zweimal gehackt. Die vollständige Geschichte wurde monatelang in Häppchen kommuniziert — jede Offenlegung schlimmer als die vorherige. Was passierte August 2022: Angreifer stahlen Quellcode und technische Dokumentation aus der En…
Ein gestohlener Laptop ist ein Hardwareschaden — ärgerlich und teuer, aber begrenzt. Ein gestohlener Laptop ohne Festplattenverschlüsselung ist ein Datenproblem: Fotos, Dokumente, gespeicherte Browser-Passwörter, E-Mail-Archive, Steuererklärungen. Alles lesbar für jeden der ein Linux-Live-System sta…
Im September 2022 verkündete ein 18-jähriger Hacker im Uber-internen Slack: "I announce I am a hacker and Uber has suffered a data breach." Er hatte Zugriff auf VPN, AWS, Google Cloud, Slack-Workspace, HackerOne-Bug-Bounty-Reports (inklusive unveröffentlichter Schwachstellen) und mehr. Der Angriff: …
Log4Shell hat gezeigt was passiert wenn eine weit verbreitete Bibliothek eine kritische Lücke hat. In wenigen Stunden waren Millionen von Systemen angreifbar. Viele Betreiber wussten nicht mal dass sie Log4j verwenden. Das Problem Moderne Anwendungen bestehen zu großen Teilen aus fremdem Code. Eine …
Du nutzt ein VPN. Deine IP ist versteckt. Trotzdem sieht dein Internetanbieter jeden Domainnamen den du aufrufst — weil DNS-Anfragen am VPN vorbeigehen. Das nennt sich DNS-Leak. Was DNS ist und warum es exponiert DNS übersetzt Domainnamen in IP-Adressen. Bevor der Browser google.com aufruft, fragt e…
Zwei-Faktor-Authentifizierung ist aktiviert. Sicher. — Außer bei SMS-2FA, unsicheren Authenticator-Apps, oder wenn der zweite Faktor denselben Angriffsvektoren ausgesetzt ist wie der erste. Warum 2FA überhaupt Ein gestohlenes Passwort reicht nicht mehr. Der Angreifer braucht zusätzlich den zweiten F…
Am 9. Dezember 2021 wurde CVE-2021-44228 veröffentlicht: eine Remote Code Execution Schwachstelle in Log4j 2, der am weitesten verbreiteten Java-Logging-Bibliothek. CVSS Score: 10.0. Die Sicherheitsforschung reagierte mit selten gesehener Dringlichkeit. Was Log4Shell war Log4j hatte eine Funktion na…
Sicherheitslücken in verwendeten Bibliotheken und Paketen zu kennen bevor sie ausgenutzt werden ist einfacher als es klingt. Man muss nur die richtigen Quellen beobachten. Was ein CVE ist CVE steht für Common Vulnerabilities and Exposures. Jede öffentlich bekannte Sicherheitslücke bekommt eine Numme…
Datei-Uploads sind eine häufige Schwachstelle wenn man nicht aufpasst. Wer einfach alles akzeptiert was reinkommt öffnet Tür und Tor für ausführbare Dateien, riesige Uploads und andere Probleme. Grundstruktur Aufruf Upload-Verzeichnis absichern Das Upload-Verzeichnis sollte keine PHP-Ausführung erla…
„WhatsApp ist doch verschlüsselt" ist technisch korrekt und trotzdem eine Vereinfachung die wichtige Unterschiede verdeckt. Die Unterschiede zwischen den großen Messengern sind real — und relevant je nach Schutzbedarf. Was Ende-zu-Ende-Verschlüsselung bedeutet E2E bedeutet: Der Inhalt der Nachricht …
Ein Let's Encrypt Zertifikat reicht nicht. Nginx liefert standardmäßig auch schwache Cipher Suites und alte TLS-Versionen aus. Das lässt sich mit ein paar Zeilen abstellen. Sichere SSL-Konfiguration In der oder in einer eigenen Include-Datei. HSTS — Browser erzwingen HTTPS Im Server-Block. Einmal ge…
Am 7. Mai 2021 schaltete Colonial Pipeline — Betreiber der größten Treibstoffpipeline der USA (8.850 km, 45% des Treibstoffs der Ostküste) — seinen Betrieb vorsorglich ab. Ursache: ein Ransomware-Angriff der Gruppe DarkSide. Was passierte DarkSide hatte IT-Systeme von Colonial verschlüsselt und droh…
Ein Unternehmen meldet einen Datenbreach. Millionen Datensätze betroffen. Du bekommst eine E-Mail: „Wir nehmen den Schutz deiner Daten sehr ernst." Was passiert danach — mit deinen Daten? Die ersten Stunden: internes Chaos Nach einem Breach vergehen oft Wochen bis die betroffenen Nutzer informiert w…
Ein Sicherheitsvorfall tritt immer zum schlechtesten Zeitpunkt ein. Wer dann erst anfängt zu überlegen was zu tun ist verliert wertvolle Zeit. Erkennen Monitoring-Alerts, ungewöhnlicher Traffic, User-Meldungen, Log-Anomalien. Nicht jeder Alert ist ein Incident. Aber jeder ungewöhnliche Befund brauch…
Lynis scannt das eigene System und gibt eine detaillierte Liste mit Sicherheitsproblemen und Verbesserungsvorschlägen aus. Kein Tool das automatisch repariert — aber eines das zeigt wo man hinschauen sollte. Installation Oder die aktuelle Version direkt von der Quelle. Scan starten Läuft einige Minu…
Im Dezember 2020 wurde bekannt was später als "der schwerwiegendste Cyberangriff auf die US-Bundesregierung" bezeichnet wurde. Zehntausende Organisationen weltweit hatten monatelang unbemerkt eine Backdoor in ihrer Netzwerk-Monitoring-Software laufen. Das Angriffsvektor Orion — eine IT-Monitoring-Pl…
PHP Sessions sind standardmäßig nicht besonders sicher konfiguriert. Mit ein paar ini_set-Aufrufen am Anfang jeder Anfrage lässt sich das schnell ändern. Grundlegende Absicherung Diese Einstellungen vor setzen. verhindert dass JavaScript die Session-Cookie auslesen kann. schützt gegen CSRF über den …
Zero-Trust ist zum Buzzword geworden. Auf jeder Konferenz, in jeder Herstellerbroschüre. Was dahinter steckt ist älter und simpler als der Hype vermuten lässt. Das Grundprinzip Klassisches Netzwerkmodell: wer im internen Netz ist, dem wird vertraut. Zero-Trust: niemand wird vertraut, egal wo er sitz…
Das Firmennetzwerk hatte eine Firewall, einen Mail-Gateway, kontrollierte Endgeräte. Das Homeoffice hat einen Consumer-Router, das private WLAN und denselben Laptop auf dem auch Netflix läuft. Die Angriffsfläche hat sich erheblich vergrößert. Das geteilte Gerät Dienstgerät und Privatgerät zu trennen…
Ashley Madison war eine Dating-Plattform mit dem Slogan "Life is short. Have an affair." Im Juli 2015 drangen Angreifer unter dem Namen "Impact Team" in die Systeme ein und drohten: entweder wird die Seite abgeschaltet, oder alle Daten werden veröffentlicht. Avid Life Media (der Betreiber) schaltete…
Seit Let's Encrypt gibt es keine Ausrede mehr eine Seite ohne HTTPS zu betreiben. Kostenlos, automatisch erneuerbar und in wenigen Minuten eingerichtet. Certbot installieren Für Apache statt Nginx. Zertifikat ausstellen Certbot passt die Nginx-Konfiguration automatisch an und richtet die HTTPS-Weite…
Am 15. Juli 2020 wurden Accounts von Barack Obama, Joe Biden, Elon Musk, Bill Gates, Apple, Uber, Jeff Bezos und dutzenden anderen Twitter-Accounts gleichzeitig gekapert und für Bitcoin-Betrug genutzt. Die Tweets: "Ich verdopple jede Bitcoin-Zahlung an diese Adresse in den nächsten 30 Minuten." Inne…
Cross-Site Request Forgery bedeutet dass eine fremde Seite im Hintergrund Requests an deine Anwendung schickt während ein eingeloggter Nutzer diese Seite besucht. Der Browser schickt dabei automatisch die Session-Cookie mit. Der Schutz dagegen ist ein zufälliges Token das nur die eigene Seite kennt.…
„Das würde ich doch merken" ist die gefährlichste Einstellung gegenüber Social Engineering. Die Angriffe die funktionieren sind nicht offensichtlich — sie sind präzise auf das Ziel zugeschnitten. Was Social Engineering heute ist Der Begriff umfasst alles was Menschen dazu bringt etwas zu tun das sie…
Wer sich noch mit Passwort per SSH einloggt sollte das ändern. Key-Authentifizierung ist sicherer und auf Dauer auch bequemer. Schlüsselpaar erstellen Das machen wir lokal auf unserem Rechner, nicht auf dem Server. ed25519 ist aktuell die beste Wahl, RSA mit 4096 Bit geht aber auch. Der Befehl fragt…
TOTP (Time-based One-Time Password) ist der Standard hinter Google Authenticator, Authy und Co. Das Protokoll ist offen und in PHP ohne externe Bibliothek implementierbar. Wie es funktioniert Server und Client teilen einen geheimen Key. Beide berechnen aus dem Key und der aktuellen Zeit (in 30-Sekun…
Basic Auth ist der schnellste Weg um einen Bereich mit einem Passwort zu schützen. Für interne Tools, Staging-Umgebungen oder Admin-Bereiche reicht das völlig. Passwort-Datei erstellen erstellt die Datei neu. Für weitere Benutzer ohne . Nginx konfigurieren Einen ganzen Server-Block schützen. Nur ein…
Betriebssystem aktuell. Browser aktuell. Antivirus läuft. Und der Router daheim läuft seit drei Jahren mit der Firmware von Lieferung. Das ist das tatsächliche Einfallstor. Was Firmware ist und warum sie vergessen wird Firmware ist die Software die direkt auf Hardware läuft: Router, NAS, IP-Kameras,…
GPG ist der Standard um Dateien zu verschlüsseln und Signaturen zu erstellen. Einmal verstanden ist es ein nützliches Werkzeug für Backups, Passwortübergaben und mehr. Installation Schlüsselpaar erstellen RSA 4096 Bit wählen, Namen und E-Mail eingeben, Passphrase setzen. Eigene Schlüssel anzeigen Da…
Im Oktober 2013 gab Adobe bekannt dass Angreifer 2,9 Millionen Nutzerdaten gestohlen hatten. Tatsächlich waren es 153 Millionen — eines der größten Datenlecks bis dahin. Bekannt geworden nicht durch Adobe, sondern weil die Daten im Internet auftauchten. Was gestohlen wurde Nutzernamen, E-Mail-Adress…
MD5 und SHA1 haben in Passwort-Hashing nichts verloren. Beides ist viel zu schnell und damit für Brute-Force-Angriffe anfällig. PHP hat seit Jahren die richtigen Funktionen eingebaut. passwordhash und passwordverify Passwort beim Registrieren hashen. Den Hash in der Datenbank speichern, niemals das …
Am 6. Juni 2013 veröffentlichte der Guardian die ersten Dokumente von Edward Snowden. Was folgte war kein einzelner Artikel sondern eine monatelange Serie von Enthüllungen die das Verständnis von Internet-Überwachung fundamental veränderten. Was enthüllt wurde PRISM: ein NSA-Programm das direkten Zu…
Im Juli 2019 stahl eine ehemalige AWS-Mitarbeiterin Daten von 106 Millionen Capital-One-Kunden aus einer falsch konfigurierten AWS-Umgebung. Die Schwachstelle: Server-Side Request Forgery (SSRF) kombiniert mit übermäßigen IAM-Berechtigungen. Was SSRF ist Bei einem SSRF-Angriff bringt man einen Serve…
JSON Web Tokens sind überall. Viele nutzen sie ohne wirklich zu verstehen wie sie funktionieren. Das rächt sich wenn man die Sicherheit falsch einschätzt. Aufbau Ein JWT besteht aus drei Base64url-kodierten Teilen getrennt durch Punkte. Header enthält Algorithmus und Typ. Payload enthält die Claims.…
sudo gibt Benutzern die Möglichkeit Befehle als root auszuführen. Standardmäßig darf ein Benutzer in der sudo-Gruppe alles als root — das ist oft mehr als nötig. sudoers bearbeiten Immer über visudo, niemals direkt die Datei öffnen. visudo prüft die Syntax bevor es speichert und verhindert damit das…
Cookies blockieren, Inkognito-Modus nutzen, Tracking-Blocker installieren — und trotzdem erkannt werden. Browser-Fingerprinting umgeht all das, weil es ohne Speichern funktioniert. Was ein Fingerprint ist Jeder Browser meldet beim Seitenaufruf eine Kombination aus Eigenschaften: User-Agent-String, i…
API-Keys sind oft das schwächste Glied in einer Anwendung. Einmal ausgestellt und dann jahrelang in einem .env vergessen. Hier wie man es besser macht. Key generieren 64 Zeichen hex — ausreichend Entropie für einen API-Key. Key speichern Den Key niemals im Klartext speichern — nur den Hash. Key vali…
„Kein öffentliches WLAN nutzen" ist der Sicherheitsrat den alle kennen und niemand befolgt. Zu Recht — denn er ist so pauschal dass er nicht mehr hilfreich ist. Was früher stimmte Vor HTTPS-Everywhere war öffentliches WLAN tatsächlich gefährlich. Man konnte mit Wireshark passiv mithören, Anmeldedate…
Heartbleed (CVE-2014-0160) war eine der folgenreichsten Schwachstellen in der Geschichte des Internets. Betroffen war OpenSSL — die TLS-Bibliothek die zu diesem Zeitpunkt auf geschätzten zwei Dritteln aller HTTPS-Webserver lief. Was die Schwachstelle war Das TLS-Protokoll hat eine Heartbeat-Erweiter…
fail2ban kennen viele für SSH, es funktioniert aber genauso gut für Nginx. Wer einen Login-Bereich hat der im Internet erreichbar ist sollte Brute-Force-Versuche unterbinden. Voraussetzung: fail2ban ist installiert Filter erstellen Wir erstellen einen Filter der fehlgeschlagene Logins erkennt. Das M…
Du schickst ein Foto. Der Empfänger sieht das Bild. Was er außerdem sehen kann: wann es aufgenommen wurde, mit welchem Gerät, und wo auf der Welt du dabei gestanden hast — auf zehn Meter genau. EXIF-Daten in Fotos JPEG, PNG, HEIC — fast alle Bildformate speichern Metadaten im EXIF-Format. Typische I…
Shellshock (CVE-2014-6271) war eine Schwachstelle in Bash die seit Version 1.14 aus dem Jahr 1994 existierte — 20 Jahre unentdeckt. Betroffen war jedes System das Bash verwendete und dabei Umgebungsvariablen von außen entgegennahm. Der Bug in einem Satz Bash führte Code aus der in Umgebungsvariablen…
Sony musste das PlayStation Network für 23 Tage komplett abschalten. 77 Millionen Nutzerkonten waren betroffen — Namen, Adressen, E-Mails, Geburtsdaten und verschlüsselte Passwörter. Möglicherweise auch Kreditkartendaten, obwohl Sony das nie vollständig bestätigte. Was passierte Im April 2011 drange…
Equifax ist eine der drei großen US-amerikanischen Kreditauskunfteien. Im September 2017 bestätigte das Unternehmen einen Einbruch der Daten von 147 Millionen Menschen betraf — nahezu die Hälfte der US-Bevölkerung. Was gestohlen wurde Sozialversicherungsnummern (SSN) — in den USA das primäre Identif…
Mit chroot lässt sich ein Benutzer auf ein bestimmtes Verzeichnis einschränken. Praktisch für SFTP-Zugänge bei denen der Benutzer nur seinen eigenen Bereich sehen soll. SFTP mit chroot über SSH Das geht ohne viel Aufwand direkt über den OpenSSH-Server. Benutzer und Verzeichnis anlegen. Das chroot-Ve…
Sechs Wochen nach WannaCry, am 27. Juni 2017. Wieder EternalBlue, wieder SMB, wieder globale Ausbreitung. Aber NotPetya war fundamentell anders — und schlimmer. Die Fassade NotPetya sah aus wie Ransomware. Es zeigte eine Bitcoin-Zahlungsaufforderung. Aber: die Entschlüsselung war technisch unmöglich…
Stuxnet war ein Wendepunkt. Nicht wegen seiner Verbreitung, sondern wegen seines Ziels: Industriesteuerungen in iranischen Urananreicherungsanlagen physisch zu beschädigen. Das erste bekannte Schadprogramm das gezielt Hardware zerstörte. Was Stuxnet tat Der Wurm infizierte Windows-Systeme über USB-S…
Am 12. Mai 2017 begann eine der destruktivsten Ransomware-Kampagnen der Geschichte. WannaCry verschlüsselte innerhalb von Stunden hunderttausende Computer in 150 Ländern — darunter der National Health Service in Großbritannien, Deutsche Bahn-Anzeigetafeln, Telecom-Anbieter und Universitätskliniken. …
E-Mail fühlt sich privat an. Man schreibt, schickt ab, der Empfänger liest. Was dazwischen passiert interessiert die meisten nicht — sollte es aber. Die Strecke einer E-Mail Eine E-Mail läuft typischerweise durch: deinen Mail-Client → deinen Mailserver (MTA) → möglicherweise mehrere Relay-Server → d…
Sicherheitsupdates manuell einspielen vergisst man. unattended-upgrades macht das automatisch und beschränkt sich dabei auf Security-Patches, fässt aber keine großen Versionssprünge an. Installation Konfiguration Die wichtigsten Zeilen. Alles andere kann so bleiben wie es ist. ist wichtig. Kernel-Up…
Irgendwo da draußen liegt dein Passwort in einer Textdatei. Wahrscheinlich von einem Dienst den du schon vergessen hast. Das wäre halb so schlimm — wenn du es nicht auch woanders benutzt hättest. Credential Stuffing: automatisiertes Durchprobieren Nach jedem größeren Datenleck landen Millionen E-Mai…
Conficker war einer der am weitesten verbreiteten Computerwürmer der Geschichte. Auf dem Höhepunkt infizierte er schätzungsweise 9 bis 15 Millionen Maschinen weltweit — darunter Militärnetzwerke, Krankenhäuser und Regierungsbehörden. Was war Conficker Ein Wurm der sich über drei Wege verbreitete: ei…
Am 21. Oktober 2016 war ein großer Teil des US-Internets für Stunden nicht erreichbar. Twitter, Reddit, GitHub, Spotify, CNN — alle down. Die Ursache: ein DDoS-Angriff auf Dyn, einen der größten DNS-Provider der USA. Das Werkzeug: Mirai. Was Mirai war Mirai war ein Botnet aus IoT-Geräten — IP-Kamera…
Yahoo hält einen zweifelhaften Rekord: die größte Datenpanne in der Geschichte des Internets. Im September 2016 gab Yahoo zu dass 2014 Daten von 500 Millionen Accounts gestohlen wurden. Drei Monate später: weitere 1 Milliarde von 2013. Später stellte sich heraus: alle 3 Milliarden Yahoo-Accounts. Wa…
In diesen kleinen Tutorial legen wir uns ein dreifaches und automatisiertes Backup auf 3 verschiednen Instanzen an. Verschüsselt wird da sganze vor dem Upload mit EncFS da sich dies für Linux einfach anbietet und auch den benötigten wenn auch nicht ultimativen Schutz anbietet. Wir installieren EncFS
Das ganze ist eine bekannte Schwachstelle in Wordpress und mann kann dies natürlich auch mit weiteren Wordpress Plugins umgehen aber das ist relativ Ressourcenfressend da Wordpress sowieso schon total vollgemüllt ist. So kann man auch auf Serverebene dagegen vorgehen. Schritt #1: IPTables nutzen Sch…
Um bestimmte Daten vor dem automatischen Auslesen von Spambots zu schützen kann man sich mit dieser kleinen netten Funktion behelfen. Geplant war es um Email Adressen im Quelltext der Seite unleserlich zu machen aber das ganze funktioniert auch ganz einfach mit anderen Informationen. Im Quelltext de…
In wenigen Schritten lässt sich SSH gegen die meißten Angriffe absichern. Hier mal eine kleine Auflistung der grundlegenden Dingen die man einfach umsetzen kann und die demnoch wirkungsvoll sind. Loginversuche mitloggen und ggf. IP sperren (Bruteforce) Sofern noch nicht vorhanden installieren wir Fa…