Zeige Artikel getaggt mit sicherheit

Veröffentlicht von am in CS Tech
Sicher unterwegs im Netz

In letzter Zeit wurde in den Medien viel geschrieben zum Thema Datensicherheit im Internet. Der Auslöser war die sogenannte Heartbleed-Sicherheitslücke, ein Fehler in der weitverbreiteten OpenSSL Software-Bibliothek, welche auf einem grossen Teil der Internet-Server für verschlüsselte Kommunikation eingesetzt wird. Dieser Fehler blieb zwei Jahre zumindest offiziell unentdeckt und erlaubte es, persönliche Benutzer-Passwörter und sogar Kryptographie-Schlüssel aus dem Arbeitsspeicher der betroffenen Server auszulesen. Der angerichtete finanzielle Schaden ist kaum zu beziffern, alleine die Kosten für neue SSL-Zertifikate geht in Millionenhöhe. Der Arbeitsaufwand für Systemadministratoren zum Beheben der Lücke dürfte ein Vielfaches davon betragen.

Es muss davon ausgegangen werden, dass Hacker systematisch Passwörter von betroffenen System ausgelesen haben mit Hilfe des Heartbleed-Bugs. Wer seine Passwörter nach dem Bekanntwerden von Heartbleed für die betroffenen Seiten (z. B. bei Facebook, Google, Yahoo, Instagram, etc.) nicht geändert hat, muss früher oder später mit bösen Überraschungen rechnen. Zudem verwenden viele Internet-Benutzer verständlicherweise das gleiche Passwort auf mehreren Seiten. Wie soll man sich auch dutzende verschiedene Passwörter merken können? Man könnte es natürlich mit Wortkombinationen nach xkcd-Methode versuchen:

xkcd-passwords.jpg

Aber auch diese Methode ist nicht praktikabel, wenn man sich mehrere Passwörter merken soll, wie der Sicherheitsexperte Troy Hunt zu Recht kritisiert.

Passwort-Manager

Die derzeit sinnvollste Lösung zur Erstellung und Verwaltung einer Vielzahl einzigartiger Passwörter ist die Verwendung eines Passwort-Managers. Dabei hat man die Wahl zwischen einem Browser-Passwortmanager oder einem Cloud-Passwortmanager wie Lastpass, wobei die Passwörter auf allen Geräten über ein einziges Masterpasswort verfügbar sind. Die Verwendung eines Passwort-Managers bietet folgende Vorteile:

  • Über ein Masterpasswort hat man Zugriff auf alle anderen Passwörter.
  • Man kann sich für jedes Login automatisch ein spezifisches und sicheres Zufallspasswort erstellen lassen.
  • Die gespeicherten Passwörter werden im Browser automatisch eingefüllt, womit man sich das lästige und potentiell über Keylogger-Malware abgreifbare Eintippen ersparen kann.
  • Wenn Sicherheitslücken wie Heartbleed bekannt werden, können Passwörter schnell geändert und gespeichert werden, ohne dass man sich diese neu merken muss.
  • Die Passwörter sind auf verschiedenen Computern, Browsern, Tablets und Smartphones verfügbar, wenn ein Cloud-Passwortmanager verwendet wird.

Das Masterpasswort muss natürlich besonders sicher sein und gut geschützt werden. Auf fremden Computern wie beispielsweise im Internet-Cafe sollte zur einmaligen Eingabe des Masterpassworts ein virtuelles Keyboard verwendet werden, wobei Tasten mit der Maus auf dem Bildschirm angeklickt werden. Damit haben installierte Keylogger keine Chance das Masterpasswort abzugreifen:

virtual-keyboard.png

Zwei-Faktoren-Authentifizierung

Für zusätzlichen Schutz besonders wichtiger Benutzerkonten (z. B. Google- oder Facebook-Konto) empfiehlt sich das Einrichten der sogenannten Zwei-Faktoren-Authentifizierung. Dabei wird beim Zugriff auf das Konto von nicht als vertrauenswürdig eingestuften Computern ein zusätzlicher kurzer Code verlangt, welcher per SMS oder Authenticator-App auf dem Smartphone erscheint:

google-authenticator_20140512-142405_1.jpg

Fazit

Die Heartbleed-Sicherheitslücke hat wieder einmal aufgezeigt, dass das Internet alles andere als sicher ist. Mit einem Passwort-Manager zur Verwaltung einzigartiger Zufallspasswörter kann das Risiko von Hackerangriffen auf die eigenen Benutzerkonten aber stark eingeschränkt werden. Zudem kann man speziell wichtige Benutzerkonten zusätzlich mit Zwei-Faktor-Authentifizierung schützen.

Veröffentlicht von am in CS Tech
Joomla und Sicherheit

Eine Webseite zu betreiben ist mit einigen sicherheitskritischen Gefahren verbunden. In dieser Hinsicht ist die Arbeit nach der Inbetriebnahme einer Website längst nicht abgeschlossen. Es gibt nicht den einen optimalen Weg sich vor Angriffen zu schützen und man kann keinen Status erreichen der eine perfekte Sicherheit gewährleistet. Stattdessen ist es eine fortwährende Aufgabe, Webseiten sicher zu halten und auf aktuelle Gefahren zu reagieren.

Die Bedrohungen für eine Webseite sind sehr real und tatsächliche Angriffe sind keine Seltenheit. Aufgrund unserer Erfahrungen können wir folgende allgemeine Punkte für das Einrichten und Instandhalten von Webseiten empfehlen, welche das CMS Joomla verwendet:

Kein Ballast

Grundsätzlich ist es ratsam, die Joomla Installation schlank zu halten, indem unnötige Features nicht aktiviert bzw. deaktiviert werden. Neue Funktionen sollten nur bei Bedarf  hinzugefügt oder eingeschaltet werden. Hierdurch wird die Angriffsfläche für potentielle Attacken reduziert und nebenbei ergeben sich Vorteile in Bezug auf Instandhaltung und Performance. Zusatzmodule sollten möglichst sparsam verwendet werden: Diese werden von den Entwicklern oft nicht aktualisiert und können ein Update der Joomla Installation stark erschweren.

Verschlüsselung

Benutzer-Anmeldungen sowie sensible Daten sollten durch eine verschlüsselte Verbindung geschützt werden, damit der entsprechende Datenverkehr nicht mitgelesen werden kann. Die Verschlüsselung sollte mindestens für das Backend erzwungen werden und ebenfalls für das Frontend, falls hier kritische Daten übermittelt werden (z.B. Kontakt-Formulare oder Benutzer-Login).
Am besten kann bereits die Installation per HTTPS durchgeführt werden, aber spätestens sollten die Einstellungen nach der Installation erfolgen. Benutzer-Daten, welche bereits unverschlüsselt übermittelt wurden, sollten hierbei nochmals geändert werden.

joomla-ssl.png

Während der Installation

Während der Installation ist ein sicherer Username und eine sicheres Passwort zu wählen. Die Verwendung von „admin“ als Username oder Passwort ist keine sichere Variante.

Einstellungen nach der Installation

  • Falls während der Installation kein sicherer Username und sicheres Passwort ausgewählt werden konnte, sollte dies anschliessend nachgeholt werden.
  • Alle Joomla Erweiterungen (Komponenten, Module, Plugins) deaktivieren, welche nicht benötigt werden. Falls möglich Zwei-Faktor-Authentifizierung verwenden (bei Joomla! 2.5 anhand von Admin Tools möglich).
  • Explizit die Benutzerregistrierung deaktivieren, falls diese nicht erforderlich ist.

benutzerregistrierung.png

Erweiterungen nach der Installation

Weiterhin kann man das Hinzufügen von Joomla Erweiterungen in Betracht ziehen, welche speziell zur Erhöhung der Sicherheit ausgelegt sind. Wir haben bisher sehr positive Erfahrungen mit der Komponente Admin Tools Professional gemacht, welche eine Vielzahl von professionellen und effizienten Methoden zum Schutz einer Joomla Webseite bietet. Dieses mächtige Tool enthält eine ausgezeichnete Dokumentation (inklusive eines sehr hilfreichen Schnelleinstiegs).

Backups

Funktionierende Backups sind generell unverzichtbar. Zwar ergibt sich daraus keine direkte Verbesserung der Sicherheit, für einen nicht auszuschliessenden Notfall kann ein Backup aber der einzige und sinnvollste Weg sein, eine Webseite von einem erfolgreichen Angriff schnell und wirksam zu bereinigen.
So sollte immer ein möglichst aktuelles Backup vorhanden sein, welches eine saubere Installation aufweist. Dieses Backup sollte an einem anderen Speicherort als der Joomla Installation zugänglich sein. Um Sicherzustellen, dass das Backup tatsächlich funktioniert, sollte ausserdem die Wiederherstellung getestet werden.
Wir haben gute Erfahrungen mit der Joomla Komponente Akeeba Backup gemacht, welche sich hierfür hervorragend eignet.

Instandhaltung

Für die Instandhaltung einer sicheren Joomla Webseite ist es entscheidend, dass die Installation aktuell gehalten und auf bekannte Sicherheitsprobleme reagiert wird. Hierbei sind zwei Bereiche zu unterscheiden: Es geht sowohl um die Instandhaltung der Joomla Core Installation, als auch um die Instandhaltung der zusätzlich installierten Erweiterungen. Vor diesem Hintergrund ist es wichtig über die Aktualität und Sicherheitsprobleme dieser beiden Bereiche im Bilde zu bleiben.

Joomla Core

Joomla unterstützt jeweils eine aktuelle Langzeit- (LTS) und Kurzzeit- (STS) Version, welche beide eingesetzt werden können.joomla-dev-status.png

Es gibt unterschiedliche Wege hierüber informiert zu werden: So enthält die oben genannte Komponente Admin Tools ein Plugin, welches per Email informiert falls neue Updates zu Verfügung stehen.
Auf der offiziellen Joomla Webseite werden aktuelle Informationen zu Sicherheitsupdates veröffentlicht.

Joomla Erweiterungen

Oftmals sind Sicherheitslücken auf die Joomla Erweiterungen zurückzuführen. Wie Eingangs erwähnt, sollten deswegen keine unnötigen Erweiterungen aktiv sein. Um das Sicherheitsrisiko niedrig zu halten, sind ausserdem keine Erweiterungen zu empfehlen, welche nicht regelmässige Updates erhalten und keine hohe Qualität aufweisen.
Um über derartige Probleme Bescheid zu wissen, ist ebenfalls die offizielle Joomla Webseite eine gute Anlaufstelle, welche aktuelle Informationen zu gefährdeten Erweiterungen bereitstellt.


Weiterführende Informationen: Joomla! Security