Seiten

Mittwoch, 30. Juli 2014

Applikationssicherheit Die größten Schwachstellen in Web-Anwendungen

Technischer Fortschritt, Unmögliches möglich machen und immer mehr Komfort für Internet-User, sowie erweiterte Marketing-Strategien für Unternehmen, lassen immer mehr Web-Anwendungen ins Leben rufen. Doch werden Web-Anwendungen oftmals von Schwachstellen begleitet. Nur wer weiß, wo die Schwachstellen versteckt sind, kann agieren und sich zurücklehnen.



Projekte, die Schwachstellen aufdecken


Zu den Schwachstellen von Web-Anwendungen äußerte sich nun das Community Projekt "Open Web Applikation Security Projekt", kurz OWASP. Sie überprüfen im Rahmen von Teilprojekten regelmäßig Web-Anwendungen auf Schwachstellen. Damit sollen Entwickler, Web-Designer und Unternehmer die Möglichkeit gegeben werden, auf diese agieren und ausräumen zu können.
Das neuste Projekt stellt die aktuellen Schwachstellen in Web-Anwendungen vor, die nicht ignoriert werden sollten, wenn Sicherheitslücken geschlossen werden möchten.

Cross Site Scripting (XSS) - Injection Flaws - Malicious File Execution


Cross Site Scripting (XSS) führt die Liste der Sicherheitslücken in Web-Anwendungen an und bezieht sich auf fast alle Web-Anwendungen. Hier fehlt die Überprüfung von Zeichencodierungen, die für Sicherheit bei der Datenrücksendung an den Browser sorgen sollten. Dies erleichtert einen Angriff unter anderem ein Javascript-Code im Browser auszuführen, um so auf alle Website-Daten zugreifen zu können.
Ob Webscript Injection, OS Command Injection oder SQL-Injection, auch hier führen Injection-Fehler zu Sicherheitsrisiken. Insbesondere SQL-Injection stellt ein weitverbreitetes Risiko dar, da sich hier der Angreifer unter bestimmten Voraussetzungen mit der Übermittlung eines gültigen SQL-Code Zugang auf die Datenbank verschaffen, Systemkommandos ausführen und Daten einsehen, manipulieren oder sogar löschen kann.
Mit dem Malicious File Execution können eingehende Daten, die ein erhöhtes Sicherheitsrisiko bedeuten,  ohne Gültigkeits-prüfungen auf dem Web-Server gespeichert werden, indem sich schädliche Dateien darunter befinden, Codes auf dem Server integriert werden, die dann zur Ausführung verschiedenster Befehle genutzt werden können.

Insecure Direct Object Reference - Cross Site Request Forgery (CSRF) - Information Leakage and Improper Error Handling


Das Risiko bei Insecure Direct Object Reference besteht in einer Manipulationsmöglichkeit, indem auf Dateien und Informationen auf dem Webserver zugegriffen werden kann. Bei dem Cross Site Request Forgery (CSRF) kann der User einer Web-Anwendung zum Opfer werden, wenn er sich beispielsweise nicht ordnungsgemäß abgemeldet hat. Durch das Surfen auf einer präparierten Website schafft er die Möglichkeit, schädlichen Codes zu begegnen, die sich direkt in die geöffnete Web-Applikation setzen, um so unbefugt Funktionen zu aktivieren, wie beispielsweise Banküberweisungen. Hierbei handelt es sich um eine Schwachstelle, die rapide an Interessenten gewinnt. Über Information Leakage and Improper Error Handling können Informationen über Web-Anwendungen unautorisiert eingesehen und als Sicherheitslücken zum Vorteil von Angreifern genutzt werden.

Sicherheitsrisiken in der Kommunikation


Broken Authentication und Session-Management, Insecure Cryptographic Storage und Insecure Communications gehören zu den Schwachstellen von Web-Anwendungen, wenn es zum Beispiel um die sichere Datenübertragung durch Verschlüsselung geht. Zugangsdaten wie Passwörter oder Kreditkartennummern können durch die Sicherheitslücken schnell ausspioniert und Sitzungen übernommen werden. Auch das Fehlen von kryptografischen oder unsicheren Funktionen sorgen für ein Sicherheitsrisiko.

Schwachstellen jetzt überprüfen und Web-Anwendungen sichern


Damit sich Entwickler, Web-Designer, Programmierer und auch der User von Web-Anwendungen auf der sicheren Seite befinden und sich ohne Sorgen im Internet bewegen können, sollte schon beim Entwickeln von Web-Anwendungen auf Sicherheitslücken geachtet und dementsprechend gehandelt werden. Das Projekt "Top Ten" von OWASP bietet Warnungen, die man ernst nehmen sollte.

Jetzt professionell beraten lassen - und ESF-Fördermittel nutzen


Während des yourIT-Sicherheitsaudits "Webapplikationen" versetzen wir uns auch in die Lage eines Angreifers und prüfen Ihre ins Internet exponierten Systeme auf Schwachstellen. Dabei setzen wir auf modernste und automatisierte Schwachstellen-Scanner mit ausführlichen genormten Berichten statt manueller Suche mit subjektiv beeinflussten Ergebnissen. Ihr Vorteil: Das Sicherheitsaudit ist jederzeit wiederholbar und sie können dadurch Ihren kontinuierlichen Verbesserungsprozess (KVP) aufzeigen. Und es bleibt einfach viel mehr Zeit für die Beratung übrig - schließlich führt nur das zu einer tatsächlichen Optimierung.

yourIT - Beratungspaket Sicherheitsaudit "Webapplikationen" - sponsored by ESF

Geringe Kosten durch staatliche Förderung


Wir bieten Ihnen die Durchführung der Phasen A Bedarfsanalyse + B Konzeptentwicklung zum Festpreis von 990 EUR netto an. Darin enthalten sind die oben erwähnten Leistungen für bis zu 2 externe IP-Adressen. Jede weitere externe IP-Adressen kostet zusätzlich nur 350 EUR.

Abzüglich 50% ESF-Fördermittel bleibt ein Eigenanteil von nur 495 EUR.

Weitere Infos zu unseren ESF-geförderten Beratungspaketen haben wir Ihnen hier zusammengestellt:
www.mitgroup.eu.


Ich freue mich auf Ihre Projektanfragen.

Ihr Ralf Ströbele

Ralf Ströbele

Mittwoch, 9. Juli 2014

Wie Kommunikation professioneller wird! E-Mails auf dem Rückzug

Der berufliche Alltag stellt gerade in Sachen Kommunikation viele Nutzer vor immense Herausforderungen. Die kleine Anfrage, die schnelle Information und die zielgenaue Informationsweitergabe sind unverzichtbar, wenn es darum geht, den Arbeitsalltag zu gestalten und mit den Kollegen effizient zu verwalten. Doch gerade die E-Mail macht deutlich: Information kann auch anstrengen, kann das Postfach verstopfen und so für berufliche Blockaden sorgen. An ihre Stelle treten immer häufiger Social Enterprise Networks, die alle Empfänger erreichen und zugleich für die zeitnahe Information sorgen.



Verschiedene Vorteile sorgen für verstärkte Nutzung


Was vor ein paar Jahren mit der Mail als dem Heilsbringer schlechthin funktionierte, ist heute in vielen Bereichen Geschichte. Social Enterprise Networks gewinnen zunehmend an Bedeutung, da sie alle im Intranet verbundenen Teilnehmer optimal erreicht. Die Vorteile gegenüber den klassischen E-Mails liegen auf der Hand.
  1. Gleichzeitige Erreichbarkeit aller potenziellen Interessenten
  2. Postfach bleibt leer
  3. Große Datenmengen können publiziert werden
  4. Empfänger wählen den Zeitpunkt der Bearbeitung selbst
  5. Empfänger in großen Entfernungen haben ebenfalls Zugriff

Kommunikation im Unternehmen wird professionalisiert


Die Unternehmenskommunikation setzt diese Networks heute vielfach sehr gezielt ein. Dabei machen sie sich insbesondere bei jenen bezahlt, die über verschiedene Standorte und räumlich große Entfernungen verfügen. An die Stelle des digitalen Briefs tritt die Möglichkeit, zu einem gewünschten Zeitpunkt selbst auf die Informationsangebote zurückzugreifen. Auch fachliche Diskussionen mit den Anmerkungen der Teilnehmer können so binnen kürzester Zeit nachverfolgt werden. Der Vorteil liegt auf der Hand. Die Interessenten sind in der Lage, sich für das tatsächlich Interessante zu entscheiden und so wesentliche Zeitressourcen sinnvoll zu nutzen.

Rat und Angebot beim IT-Systemhaus einholen


Ob Verein oder große Organisation, ob Unternehmen oder Behörde: Lassen Sie sich von uns mit den notwendigen Informationen versorgen. Egal, ob Sie sich zunächst einmal informieren möchten oder ob Sie bereits ein konkretes Angebot wünschen: In jedem Falle können Sie Social Enterprise Networks als deutliche Arbeitserleichterung nutzen. Mit der Hilfe dieser modernen Technik sind Sie inhaltlich und unternehmerisch auf der Höhe der Zeit.

Ich freue mich auf Ihre Projektanfragen.

Ihr Ralf Ströbele

Ralf Ströbele

Montag, 7. Juli 2014

Intelligente Kommunikation: Unified Communications

In unserer modernen, miteinander vernetzten Welt, sind mobile Mitarbeiter in firmeninternen ebenso wie in sozialen Netzwerken ständig online und unterwegs. Es gibt eine Unmenge an Informationen, welche verarbeitet werden müssen. Daraus ergibt sich manchmal eine verwirrende Komplexität. Aus diesem Grund ist es wichtig, mit einem modernen System für Kommunikation den Überblick über alles zu behalten. Mit Unified Communications sind die Mitarbeiter in den Teams miteinander verbunden und können zusätzlich jederzeit auf alle Informationen zurückgreifen, die sie für ihre Arbeit benötigen. So können sie nicht nur flexibler und schneller arbeiten, sondern sparen deutlich an Zeit und somit auch Kosten ein.


Alle Kommunikation in einer einheitlichen Umgebung


Mit Unified Communications lassen sich alle Kanäle, die für eine reibungslose Kommunikation zwischen den Mitarbeitern genutzt werden müssen, einheitlich in einer Benutzeroberfläche zusammenführen. Die Informationen zur Präsenz zeigen zudem genau an, wann ein Mitarbeiter für die anderen gut erreichbar ist. Somit lassen sich sowohl Chats als auch Telefonate mit einem Mausklick zu einer Telefon- beziehungsweise Videokonferenz erweitern. Dank Unified Communications lassen sich alle Kanäle bündeln, über ein IP-Netz führen und zu einer homogenen Lösung vereinigen. Ebenso können alle Beteiligten gemeinsam mit Web-Conferencing Dokumente in Echtzeit bearbeiten. Hierzu erlaubt Unified Communications die Einbindung von Kollaborationswerkzeugen.

Wie lässt sich Unified Communications im Unternehmen nutzen?

 


  • Projekte lassen sich unabhängig vom Standort der beteiligten Mitarbeiter völlig flexibel strukturieren und bearbeiten
  • Mit dem professionellen Management wird das Wissen der Experten im Unternehmen besser für alle nutzbar: diese sind sowohl intern, als auch unternehmensübergreifend deutlich besser erreichbar.
  • Die geschäftlichen Abläufe, welche auf Kommunikation beruhen, werden deutlich
  • Selbst von unterwegs ist die Effizienz der Arbeit gewährleistet.
  • Weil die Informationen schneller und gezielter gefunden werden können, lassen sich Entscheidungen schneller treffen und Projekte zielgerichteter bearbeiten.

Vor- und Nachteile von Unified Communications


Moderne Kommunikation nimmt in unserem Alltag einen großen Raum ein und das Mobiltelefon, mit dem der Mitarbeiter problemlos auch seine Mails abruft, ist längst allgegenwärtiger Begleiter. Im Hotelzimmer lässt sich die Präsentation fertigstellen - und im Netzwerk der Firma für alle sichtbar hinterlegen. Ob der Geschäftspartner in Übersee abends von zu Hause aus kontaktiert wird, oder die Reisezeit für eine Webkonferenz genutzt wird: Alles ist möglich. Dank der Lösungen, welche Unified Communications bietet, lassen sich die unterschiedlichen Kanäle zusammenfassen, neue Freiräume schaffen und die Kommunikation sinnvoll steuern. Der Nachteil dabei ist: Jeder muss seine frei gewordene Zeit auch dazu nutzen, um wirklich einmal abzuschalten und die gewonnene Freizeit auch als solche zu nutzen. gewählt.

Effektivität und Kundenbindung erhöhen


Aber nicht nur für die Kommunikation der Mitarbeiter untereinander bietet Unified Communications eine effiziente Arbeitsbasis, sondern auch für die Kunden. Unabhängig davon, wo sich ein Mitarbeiter befindet - er ist problemlos erreichbar und kann offene Fragen klären. Wenn Sie Ihre firmeninterne und -externe Kommunikation verbessern und optimieren wollen - sprechen Sie uns als IT-Systemhaus an. Wir finden eine Lösung.zum Bedarf entsprechend erweitert werden kann, ohne dass die Kosten überproportional mitwachsen.

Ich freue mich auf Ihre Projektanfragen.

Ihr Ralf Ströbele

Ralf Ströbele

Freitag, 4. Juli 2014

Passwortsicherheit: Schutz vor Cyberkriminalität

In Zeiten der Cyberkriminalität ist die Passwortsicherheit eine der größten Herausforderungen, um sich und seine Technik vor entsprechenden Angriffen zu schützen. Nach Erkenntnissen des Bundeskriminalamtes nimmt der Computerbetrug als ein Teil der Cyberkriminalität kontinuierlich zu. Pro Jahr werden knapp 70.000 Delikte registriert - diese Zahl hat sich damit seit 2008 verdoppelt. Nachdem jüngst bekannt wurde, dass in Deutschland 18 Millionen Zugangsdaten von Internet-nutzern gestohlen wurden, war die Empörung, aber auch die Sorge groß. Klar ist: Es gibt verschiedene Möglich-keiten, sich vor Cyberkriminalität zu schützen.


Schutz vor Cyberkriminalität

 

Die wichtigste Möglichkeit besteht in einer umfassenden Passwortsicherheit. Je komplexer ein Passwort ist, desto sicherer sind auch Rechner und E-Mail-Account. Sinnvoll ist es, ein Passwort alphanumerisch anzulegen, also Zahlen und Buchstaben zu kombinieren. Wer darüber hinaus noch die Groß- und Kleinschreibung innerhalb des Passwortes berücksichtigt, der wird jeden Kriminellen eher abschrecken. Darüber hinaus sollte der Kreis derer, die zum Passwort Zugang haben, kleinstmöglich gehalten werden.

Kriminelle versuchen, über den Zugang zu den individuellen Kommunikationsdaten sich einen Vorteil zu verschaffen - beispielsweise über den bargeldlosen Zahlungsverkehr. Im geschäftlichen Umfeld wird versucht, Zugang auf E-Mail- Konten und komplette Rechnersysteme zu erlangen. Internet-kriminelle versuchen an Benutzerdaten zu gelangen um dort beispielsweise E-Mail-Inhalte oder Kreditkartendaten abzurufen. Notwendig ist deshalb ein Schutz der Systeme nach innen und außen.

Passwortsicherheit: So einfach geht es

 

Nach Auskunft des Bundesamtes für Sicherheit in der Informationstechnik sollten Passwörter mindestens zwölf Zeichen lang sein. Sie sollten aus Groß- und Kleinbuchstaben bestehen und Zahlen und Buchstaben sowie Sonderzeichen bestehen. Namen von Angehörigen gelten als Tabu. Passwörter sollten möglichst so erstellt werden, dass sie keinen Bezug zur eigenen Verwandtschaft haben und in Wörterbüchern nicht vorkommen. Es sollten außerdem keinerlei aneinandergereihte fortlaufende Buchstaben oder Zahlen genutzt werden. Auch die mehrfache Verwendung von Passwörtern sollte vermieden werden. Schließlich sollten Passwörter regelmäßig geändert werden.

Software hilft in Sachen Sicherheit

 

Eine besondere Möglichkeit, Passwörter zu verwalten, sind spezielle Programme. So ist es möglich, dank dieser Software-Programme die Vielzahl verschiedener Passwörter gerade im gewerblichen Bereich regelmäßig zu ändern und damit ein Maximum an Sicherheit zu gewährleisten. Wer das tut, der kann seine verschiedenen Accounts sicher nutzen und ist vor kriminellen Attacken geschützt. Sprechen Sie Ihr IT-Systemhaus darauf an.

Ich freue mich auf Ihre Projektanfragen.

Ihr Ralf Ströbele

Ralf Ströbele

Donnerstag, 3. Juli 2014

Zahlreiche Router angegriffen

300.000 Router weisen manipulierte DNS-Einstellungen auf. Schwachstellen von Routern werden von Hackern ausgenutzt. Gerade Heimnetzwerke oder Netzwerke kleinerer Unternehmen sind betroffen. Vor allem Europa und Asien waren Ziel des Angriffs. Man rechnet mit rund 300.000 betroffenen Routern.


Verlauf des Angriffs und seine Folgen

 

Mitarbeiter des IT-Sicherheitsanbieters Team Cymru verzeichneten einen groß angelegten Hacker-Angriff. Dieser begann im Dezember 2013 und hatte vor allem Geräte aus Europa und Asien zum Ziel. Hier wurden bevorzugt die Länder Vietnam, Thailand, Italien und Indien Opfer des Angriffs, wobei der Angriff sich nicht gezielt auf diese Länder konzentriert, vielmehr wurden hier erhöhte Angriffe verzeichnet. Die Hacker änderten Routereinträge und die DNS-Server wurden auf die IP-Adressen 5.45.75.11 und 5.45.75.36 geändert.
Durch die Änderung der IP-Adressen der angefragten Domains, konnten die User durch sogenannte Man-in-the-Middle-Attacken auf die beiden oben genannten IP-Adressen umgeleitet werden. Die Mitarbeiter von Team Cymru entdeckten in einem Zeitraum von zwei Wochen etwa 300.000 so gehackte IP-Adressen. Aufgrund dieser Beobachtung rechnet man auch mit einer etwa gleich hohen Zahl von betroffenen Geräten. Man kann daher davon ausgehen, dass der wahre Angriff wahrscheinlich noch bevorsteht und es sich hierbei nur um einen Test handelte. Gehackt wurden vor allem Geräte von den Herstellern D-Link, TP-Link und Zyxel. Es wird vermutet, dass bei diesen Modellen nicht mehr die vom Werk her eingestellten Passwörter benutzt worden sind. Die Experten von Team Cymru sehen den Grund für diese Anfälligkeit darin, dass der User nicht sehr gut mit der Konfiguration solcher Geräte vertraut ist und die Standardeinstellungen oftmals einen zu hohen Unsicherheitsfaktor darstellen.

In der Vergangenheit konnte man in Polen bereits schon einmal einen solchen Angriff beobachten. Damals wurden die Online-Banking-Daten von Usern ausgespäht, die auf solche manipulierten Seiten weitergeleitet worden sind. Somit hatten die Hacker die Möglichkeit, diese Daten für ihre Zwecke zu missbrauchen.

Was kann man tun?


Zunächst sollten die lokalen Einstellungen der Router überprüft werden und darüber hinaus der Zugriff von außen bzw. ein Fernzugriff nicht gestattet - also deaktiviert - werden. Der Fernzugriff bietet den Hackern ungeahnte Möglichkeiten, die eigenen Ressourcen auszuspionieren. Des Weiteren empfiehlt es sich, die Firmware regelmäßig zu aktualisieren und immer auf dem neuesten Stand zu halten.

Es sollte stets beachtet werden, dass Sicherheitslücken bei jedem Hersteller lauern können. So sind jüngst Sicherheitslücken bei AVM und Cisco aufgedeckt worden. Gerade in den WLAN-Routern schleichen sich oft diese Lücken ein. Hauptursache hierfür sind mangelnde Sicherungen bei Zugangs-beschränkungen.

Ein Problem liegt in der Tatsache, dass es für die meisten Router keine automatische Aktualisierung gibt und die User sich dazu selbst einloggen müssten. Die meisten User sehen dieses Sicherheitsrisiko aber nicht und lassen den Router nach der ersten Einrichtung arbeiten, ohne von Zeit zu Zeit die erforderlichen Updates durchzuführen.

Fazit


Damit der eigene Router und somit auch die eigenen Daten vor Hacker-Angriffen geschützt sind, ist die regelmäßige Durchführung von Updates unumgänglich. Diese Maßnahme kann jeder User in der Regel selber durchführen. Für alle Fragen ist es aber ratsam, ein IT-Systemhaus zu kontaktieren. Dieses steht mit Beratung, Unterstützung und Ausführung zur Verfügung.

Ich freue mich auf Ihre Projektanfragen.

Ihr Ralf Ströbele

Ralf Ströbele