Kategorie: Sicherheit

Kategorien
Sicherheit

Wie schützt man sich gegen Phishing und anderes Ungemach?

Die Grundregel vorweg: Keine Bank, kein Rechenzentrum, kein Kreditkarteninstitut und kein anderer seriöser Anbieter fordert Sie per E-Mail auf, vertrauliche Zugangsdaten preiszugeben – auch nicht um der Sicherheit willen.

Wenn Sie von der ZIM Benutzerberatung eine E-Mail erhalten haben, können Sie die Echtheit der Mail mit der elektronischen Signatur (S/MIME) überprüfen. Wie das geht, das beschreiben wir in einem separaten Beitrag hier im Blog.

Was Sie beachten sollten!

  • Überprüfen Sie stets die Adressleiste in Ihrem Browser. Am besten tragen Sie die Adressen zu häufig besuchten Login-Seiten in die Favoritenliste Ihres Browsers ein.
  • Klicken Sie niemals auf Links in einer dubiosen E-Mail. Versuchen Sie im Zweifelsfall stattdessen, die im E-Mail-Text genannte Seite über die Startseite der betreffenden Organisation zu erreichen – also ohne den angegebenen Link in die Adresszeile des Browsers einzutippen.
  • Wenn Sie sich nicht sicher sind, ob eine E-Mail vielleicht berechtigter Weise nach vertraulichen Daten fragt, fragen Sie am besten telefonisch bei dem genannten Anbieter nach.
  • Geben Sie keinesfalls persönliche Daten wie Passwörter, PINs, Kreditkarten- oder Transaktionsnummern via E-Mail preis – egal, wie vertrauenserweckend die betreffende E-Mail erscheint.
  • Geben Sie persönliche Informationen nur in der gewohnten Weise etwa auf der Online-Banking-Website ein. Sobald Ihnen irgendetwas seltsam vorkommt, beenden Sie die Verbindung sofort und kontaktieren Sie den regulären Website-Betreiber.
  • Starten Sie niemals einen Download-Link direkt aus einer E-Mail heraus, auf deren Echtheit Sie sich nicht hundertprozentig verlassen können. Starten Sie, wenn möglich, einen Download stets direkt von der Anbieter-Website.
  • Öffnen Sie insbesondere niemals Dateien im Anhang einer verdächtigen E-Mail.
  • Beenden Sie jede Online-Session durch einen regulären Log-out – statt einfach nur das Browserfenster zu schließen.
  • Geben Sie niemals persönliche Daten auf Webseiten mit unverschlüsselter Verbindung ein. Ob eine Website verschlüsselt mit Ihrem Browser kommuniziert, erkennen Sie an der Abkürzung “https://” in der Adresszeile sowie an dem kleinen Vorhängeschloss- Symbol neben der Adresszeile des Browsers.
  • Achten Sie auf die Absenderadresse. Oft wird in Phishing-E-Mails ein bekannter Markenname als Absendername genutzt, aber die absendende Mailadresse ist abweichend davon. Beispiel: “DHL” wird als Absendernamen geführt, die Mailadresse lautet aber auf 123rt4134jkl@foo.bar
  • Achten Sie stets darauf, dass Ihre Antivirus-Software aktuell und die Firewall aktiv ist.

Wenn es doch passiert ist…

Die folgenden Maßnahmen gelten insbesondere, wenn Sie ausführbare Dateien gestartet oder aber Mailanhänge heruntergeladen und installiert haben:

  • Informieren Sie den zentralen IT-Support Ihrer Fakultät, die zentralen Windows Dienste des ZIM oder die Benutzerberatung des ZIM über die mögliche Infektion und lassen ihren Account sperren bzw. setzen sich von einem anderen Rechner aus ein neues Passwort!
  • Trennen Sie den betroffenen Rechner physisch vom Netz (Netzwerkkabel abziehen) und sichern Sie das Kabel gegen “wiedereinstecken”.
  • Informieren Sie Ihr Umfeld über die Infektion, denn Ihre Mailkontakte sind besonders gefährdet.
  • Ändern Sie alle auf dem betroffenen Systemen (zum Beispiel im Web-Browser) gespeicherten und eingegebenen Zugangsdaten. Verwenden Sie hierzu nicht das betroffene System!
  • Die Schadprogramme nehmen teilweise tiefgreifende (sicherheitsrelevante) Änderungen am infizierten System vor. Sollte Ihr Rechner mit Schadsoftware wie Emotet infiziert sein, dann empfiehlt sich, diesen Rechner neu aufzusetzen.
Kategorien
Allgemein Sicherheit

Meltdown & Spectre

Diese zwei Namen bestimmen derzeit die Techwelt, denn alle gängigen Betriebsysteme und CPUs sind betroffen. Alle Desktop-PCs, Laptops, Tables, Smartphone und sonstige Geräte lassen sich durch Verwendung dieser Angriffsmuster auslesen. Da es sich nicht um Schadsoftware handelt, können Ihnen Virenschutz-Programme leider nicht helfen.

  • Wir empfehlen Ihnen unverzüglich die Installation sämtlicher Sicherheits-Updates der Betriebssysteme Ihrer Geräte!
  • Zudem ist es erforderlich sämtliche Firmware zu aktualisieren. Informationen dazu erhalten Sie bei den jeweiligen Herstellern.

Eine gute FAQ zum Thema: https://www.heise.de/newsticker/meldung/FAQ-zu-Meltdown-und-Spectre

Kategorien
Sicherheit WebTech

Hitch, der TLS Doktor

Ein Einblick tief in den Maschinenraum unserer Webserver – Obacht es wird technisch:

Bis heute wurden fast alle Webseiten der Bergischen Universität über das nicht verschlüsselte Protokoll HTTP ausgeliefert. Nur bei Seiten, welche sensible Daten erheben und von denen wir darüber hinaus Kenntnis hatten, wurden verschlüsselt per HTTPS an die Anwender gebracht. Das ist nun anders – alle Webseiten, welche durch das zentrale CMS TYPO3 ausgeliefert werden und auf eine Domain mit der Endung .uni-wuppertal.de hören, werden standardmäßig verschlüsselt. Siehe hierzu unsere Meldung von Heute.

Damit das funktioniert, haben wir eine neue Software im Einsatz, welche die notwendigen Zertifikate verwaltet und gleichzeitig unseren Webbeschleuniger varnish beliefert: Hitch!

Nicht der Date-Doktor, sondern eher der TLS Doktor. Hitch ist ein sogenannter terminierender SSL-Proxy. Das bedeutet, er nimmt SSL-Verbindungen entgegen, entschlüsselt diese, reicht das ganze weiter an unseren Webproxy varnish, wartet auf Antwort, verschlüsselt diese wieder und liefert die Webseite an den Kunden aus. Hitch ist ein sogenannter “dummer” Proxy, kann also im Gegensatz zu HAProxy keinerlei Manipulationen vornehmen oder gar regelbasiert Unterscheidungen treffen, sondern nur “auspacken-weiterleiten-einpacken-ausliefern” betreiben 😉

Nachfolgend unsere Config dazu, da ist nahezu Standard und nix besonderes:

frontend = {
  host = "*"
  port = "443"
}
backend = "[127.0.0.1]:6086"    # 6086 is the default Varnish PROXY port.
workers = 2                    # number of CPU cores

daemon = on
user = "nobody"
group = "nogroup"
syslog-facility = "daemon"

# Enable to let clients negotiate HTTP/2 with ALPN. (default off)
#alpn-protos = "http/2, http/1.1"

# run Varnish as backend over PROXY; varnishd -a :80 -a localhost:6086,PROXY ..
write-proxy-v2 = on             # Write PROXY header

# List of PEM files, each with key, certificates and dhparams
pem-file = "/path/to/pemfile.pem"

# Which ciphers do we support:
ciphers = "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH"

Hitch lauscht auf 443, leitet intern alles an varnish auf Port 6086 weiter. Dazu verwendet er das PROXY V2 Protokoll. Damit nun alle Seiten der Universität aus TYPO3 verschlüsselt werden, weisen wir varnish an, alle auf Port 80 einkommenden Verbindungen für die Domains, welche auf uni-wuppertal.de enden, auf HTTPS, also Port 443, weiterzuleiten:

import std;

sub vcl_recv {
    if (std.port(local.ip) == 80 && req.http.host ~ "(?i)uni-wuppertal.de$" ) {
        if (req.http.host !~ "^(www.)?(ausnahmen|kommen|hierhin).uni-wuppertal.de$" ) {
            set req.http.x-redir = "https://" + req.http.host + req.url;
            return(synth(301));
        }
    }
}

Hier gibt es allerdings im zweiten if-Statement einen Ausnahmeblock, da wir für einige Domains im Namensraum uni-wuppertal.de derzeit keine Umleitung vornehmen. Diese lassen sich aber an zwei Händen abzählen.
Die eigentliche Umleitung wird dann in sub vcl_synth vorgenommen:

sub vcl_synth {
    if (resp.status == 301) {
        set resp.http.Location = req.http.x-redir;
        return (deliver);
    }
}

Wer also einen leistungsfähigen SSL Proxy benötigt, dem sei der leichtgewichtige Hitch durchaus an’s Herz gelegt. Das er aus dem selben Hause wie varnish kommt, ist für uns natürlich noch ein weiterer Vorteil.

Kategorien
Sicherheit

Cryptomator für Android oder: Private Daten in der Cloud ablegen cont’d

Über die Software cryptomator habe ich ja schon an dieser Stelle geschrieben. Damals hieß es in meinem Artikel, dass

Es existieren Varianten für alle gängigen Betriebssysteme, lediglich für Android ist erst eine frühe Betaversion erschienen. Hier wird aber der Funktionsumfang auch in den nächsten Monaten den Versionen für Windows, OS X oder iOS angeglichen werden.

Das hat sich mittlerweile geändert. So existiert zwar noch kein offizielles Release für Android, aber eine erstaunlich gute Beta-Version derzeit in der Version 0.5. Diese kann nicht nur gängige Clouddienste wie Google Drive oder Onedrive anbinden, sondern auch Sciebo sprechen! Und das geht wie folgt:

Weiterlesen “Cryptomator für Android oder: Private Daten in der Cloud ablegen cont’d”
Kategorien
Sicherheit

Safer Internet Day 2017

Heute, am 07.02.2017, ist der “Safer Internet Day 2017”, an dem die Initiative der Europäischen Kommission unter dem Motto “Be the change: unite for a better internet” weltweit zu Veranstaltungen und Aktionen rund um das Thema Internetsicherheit aufruft.

Der deutsche Schwerpunkt liegt dieses Jahr auf dem Thema “(Cyber)Mobbing“, welches schon im Jahr 2009 Thema war und sicherlich nichts an Aktualität eingebüßt hat. Die Inititiative klicksafe hält dazu eine aktualisierte Version des Unterrichtsmoduls “Was tun bei Cyber-Mobbing?” auf ihren Webseiten zum Abruf bereit.

Wir nehmen dies zum Anlass, in loser Folge in der Woche bis zum 14.02.2017 über unsere Social-Mediakanäle Twitter und Facebook auf Artikel, Netzfundstücke und andere Initiativen rund um das Kernthema aufmerksam zu machen.

SID 2017 - safer internet day