inhaltsverzeichnis - typo3 certified · arbeiten mit aktuellen systemen ... einhalten der typo3...
TRANSCRIPT
InhaltsverzeichnisSzenario........................................................................................................................................................................................................................3
Ihre Risiken..................................................................................................................................................................................................................4
Einschleusen von Schadcode in Webseiten (Cross Site Scripting, SQL-Injections etc.).................................................................4
Ausnutzen von bekannten Schwachstellen des Server-Betriebssystems........................................................................................4
Gefahr: Schwache und schlecht verschlüsselte Kennwörter...............................................................................................................4
Die Folgen....................................................................................................................................................................................................................5
Seite „lahmlegen“ und verändern („Defacing“).........................................................................................................................................5
Server zum Versenden von Spam missbrauchen....................................................................................................................................5
Diebstahl und Missbrauch von Kundendaten...........................................................................................................................................6
Server liefert Schadcode aus..........................................................................................................................................................................6
Serviceunterbrechung (DoS/DDoS)...............................................................................................................................................................7
Veröffentlichung von Hacks............................................................................................................................................................................7
Unser Basispaket für Ihre Sicherheit...................................................................................................................................................................8
Arbeiten mit aktuellen Systemen..................................................................................................................................................................8
Überwachen der Webseite..............................................................................................................................................................................8
Erkennen von Angriffen...................................................................................................................................................................................8
Beobachten aller Vorgänge.............................................................................................................................................................................8
Abschotten jeder Anwendung.......................................................................................................................................................................9
Einhalten der TYPO3 Sicherheitsempfehlungen.......................................................................................................................................9
Individuelle Sicherheitsmaßnahmen.................................................................................................................................................................10
Sichern von Kennwörtern.............................................................................................................................................................................10
Schützen der Verbindung.............................................................................................................................................................................11
Absichern des TYPO3 Backends..................................................................................................................................................................11
Seite 2 von 11
SZENARIO
Es ist 06.00 morgens und statt des Weckers klingelt Ihr Handy ununterbrochen. Verschiedene Express-Dienste wollen
Ihnen Waren zustellen, die Sie nicht bestellt haben. Verärgert fahren Sie ins Büro und auch hier stehen die Telefone
nicht still, da dutzende Anrufer unbedingt den eigentlich in Deutschland verbotenen Hardcore-Streifen bestellen wollen.
Die Anrufer sind verärgert, bieten Sie doch auf Ihrer Website gut sichtbar genau diesen Film zum halben Preis an.
Kaum öffnen Sie Ihr Mailkonto, lesen Sie hunderte Mails empörter Kunden, die alle in Ihrem Namen anzügliche
Nachrichten erhalten haben. Es dämmert lhnen langsam? Spätestens als die Polizei vor der Tür steht und sich nach
Ihren Millionen Mailaussendungen nach Fernost erkundigt ist es Ihnen klar? Jetzt kann Ihnen auch Ihr Facebook-
Account nicht mehr helfen, denn hier bekennen Sie Ihre Nähe zu politischen Kreisen außerhalb der Rechtsordnung.
Eine übertriebene Darstellung? Horrorszenario oder Phantasie? Leider nein. Diese Fälle sind Realität. Ob durch simple
Passwörter und deren Verwendung auf verschiedenen Plattformen, ob Einsatz unsicherer Softwarelösungen oder
offener Kanäle - Hacker können sich leider sehr einfach Zugang zu Webauftritten, persönlichen Daten und
Kundeninformationen verschaffen. Dies ist ärgerlich, kriminell und wirtschaftlich entsteht Ihnen ein enormer Schaden.
Von den "emotionalen" Widrigkeiten ganz zu schweigen.
Wir möchten Sie für das Thema "Online-Sicherheit" sensibilisieren und Ihnen zugleich Lösungswege aufzeigen, die Ihre
Webseite sicherer machen.
Wir möchten, dass Sie auch in Zukunft nur durch Ihren Wecker aus Ihren Träumen gerissen werden!
Bergisch Gladbach, den 23.10.2013
Ihr Kennziffer-Team
Seite 3 von 11
IHRE RISIKEN
Einschleusen von Schadcode in Webseiten (Cross Site Scripting, SQL-Injections etc.)
Bekannte und unbekannte Lücken in installierten Applikationen werden ausgenutzt, um Schadcode in die Datenbank
bzw. die Webseite zu transportieren. Über eine solche Infektion kann oftmals unerlaubter Serverzugriff erlangt werden.
Ausnutzen von bekannten Schwachstellen des Server-Betriebssystems
Auch das Betriebssystem des Servers sollte auf dem aktuellen Stand sein. Dafür ist der Hoster zuständig. Im
schlimmsten Fall kann direkter Serverzugriff erlangt werden.
Gefahr: Schwache und schlecht verschlüsselte Kennwörter
Zu kurze Kennwörter, bzw. leicht zu erratende Kennwörter, ermöglichen unautorisierten Personen leichten Zugriff. Eine
Sensibilisierung für die richtige Art ein geeignetes Passwort zu finden ist notwendig.
Seite 4 von 11
DIE FOLGEN
Verläuft ein Angriff erfolgreich, sind die Konsequenzen für den Serverbetreiber, dessen Kunden und Besucher vielseitig.
Oftmals erlangt der Angreifer nicht nur Zugriff auf die Applikation, wie beispielsweise das eingesetzte Content
Management System (CMS), sondern auch Serverzugriff. Dadurch sind Anpassungen an Dateien, das Auslesen der
Datenbank oder das Installieren einer eigenen Shell zum Absetzen von Befehlen meist blitzschnell möglich.
Ohne Anspruch auf Vollständigkeit zeigen wir Ihnen ein paar Beispiele der Folgen auf:
Seite „lahmlegen“ und verändern („Defacing“)
Erlangt der Angreifer Serverzugriff, kann er im schlimmsten Fall den gesamten Internetauftritt physikalisch löschen, so
dass dieser neu hergestellt werden muss. Im Normalfall wird lediglich die Startseite mit eigenen Inhalten und eigener
Optik angepasst. Das „Defacing“ wird als "Sport" betrachtet und meist kurz darauf über einschlägige Foren publik
gemacht. Seltener wird dies zur Publikmachung von politischen Statements genutzt.
Inhaltsanpassungen mit fragwürdigem Gedankengut, Spam oder ungewollten Verlinkungen können die Folge sein. Je
nach Inhalt der Anpassung sind Imageschäden für den Angegriffenen in weitem Ausmaß möglich.
Erfolgt kein Monitoring der Webseite, kann eine Veränderung durch „Defacing“ erst spät bemerkt werden. Bei
Seitenlöschung kommt es zu Ausfallzeiten, die besonders Shop- oder Serviceanbieter hart treffen können.
Server zum Versenden von Spam missbrauchen
Mittels eingeschleuster Mailing-Scripte versendet der Angreifer massenhaft Spam-Mails über den gekaperten Server.
Nicht nur, dass der Server auf den bekannten Spam-Sperrlisten landet und somit Mails von den auf ihm befindlichen
Domains immer als Spam eingestuft werden, auch Google straft die Seite ab. Wichtige E-Mails erreichen dadurch ihre
Adressaten nicht mehr und das Entfernen des Blacklistings des Servers kann Tage dauern. Der Imageschaden ist
immens, wenn in den Absenderadressen der versendeten Spam-Nachrichten reale Domains des Servers auftauchen.
Über die Aktualisierung der eingesetzten Software und regelmäßiges Monitoren des Servers, kann die Gefahr des
Spammings gering gehalten werden.
Seite 5 von 11
Diebstahl und Missbrauch von Kundendaten
Ist einmal der Zugang zum Server erlangt, stehen dem Angreifer alle Möglichkeiten zur Nutzung des Servers und seiner
Daten zur Verfügung. Somit besteht die Möglichkeit, dass Kundendaten aus Dateien oder Datenbanken ausgelesen und
auf dem Schwarzmarkt verkauft werden. Für einen frischen, vollständigen Datensatz inkl. Name, Anschrift, Passwort
und evtl. sogar Kontodaten/Kreditkartendaten, zahlen Interessenten gerne mehrere hundert Euro. In der Masse
gesehen ergibt dies ein lukratives Geschäft für den Angreifer.
Die verkauften Daten werden breitgefächert verwendet: Abbuchungen von Kundenkonten, Entschlüsselung des
Kennworts und Ausprobieren auf diversen bekannten, großen Webseiten, oder einfach nur zum Spamming. In
selteneren Fällen wird von Identitätsdiebstahl berichtet: Über die zur Verfügung stehenden Informationen werden neue
Accounts bei Internetshops angelegt und im Namen der Betroffenen Bestellungen aufgegeben. In sozialen Netzwerken
kann die Identität eines Dritten vorgetäuscht und somit Schaden für den Betroffenen angerichtet werden.
Ähnlich verhält es sich mit vertraulichen Firmendaten, die in Datenbanken oder Dateien auf dem eigenen Server liegen
können.
Selbst bei dem Verdacht, dass Kundendaten ausgelesen wurden muss Anzeige gegen Unbekannt erstattet und die
Webseite vorerst „vom Netz“ genommen werden, um die Schwachstelle, welche der Angreifer nutzte, zu lokalisieren
und zu schließen. Dadurch entstehen längere Ausfallzeiten.
Durch einen aktuellen Softwarestand, sichere Kennwörter und ein aktives Monitoring per IDS wird Angreifern der
Zugriff auf den Server erschwert – und somit das Risiko von Datendiebstahl verringert.
Server liefert Schadcode aus
Oftmals übernehmen Angreifer eine Webseite, damit diese Schadcode an alle ihre Besucher ausliefert. Dies geschieht
über Schwachstellen der Software innerhalb des Rechners des Webseitenbesuchers. Nach der Erstinfektion der
Besucherrechner wird meist neue Schadsoftware unbemerkt nachgeladen.
Zudem infiziert der Angreifer sämtliche Dateien eines Dateityps auf dem Server mit dem zu verteilenden Schadcode.
Bemerkbar macht sich dies u.a. durch erhöhte Ladezeiten der Seite oder bei der Kontrolle von Scriptdateien auf dem
Server selbst. Die Reinigung eines solch infizierten Systems nimmt viel Zeit in Anspruch. Da die Webseite für die
Bereinigung meist vom Netz genommen werden sollte, entstehen auch hier wieder Ausfallzeiten.
Durch die regelmäßige Prüfung auf aktuelle Softwareversionen und das regelmäßige Monitoring von Server und
Software, lässt sich das Risiko solcher Zwischenfälle erheblich verringern.
Seite 6 von 11
Serviceunterbrechung (DoS/DDoS)
Um die Verfügbarkeit von Serverdiensten wie Webserver, Datenbankserver oder Fileserver zu unterbrechen, senden
Angreifer Millionen von Datenpaketen gleichzeitig an das Opfer, bzw. nutzen gezielt Ports des zu störenden Dienstes.
Auf Grund der Überlastung stellt der Serverdienst den Betrieb ein. Somit kann beispielsweise die Webseite nicht mehr
verfügbar sein, kein Zugriff auf die Datenbank ist mehr möglich, Dateien können nicht mehr heruntergeladen werden,
etc.
Meist werden solche Angriffe von einem zentralen Rechner kontrolliert, welcher weitere Rechner kontrolliert, die mit
Schadcode infiziert sind und somit auf die Befehle des Zentralrechners „hören“. So kann die Anzahl der gesendeten
Pakete maximiert werden und der Angreifer selbst bleibt anonym, da sein Rechner keine Pakete sendet – nur die
Rechner unter seiner Kontrolle. Dies wird oft als „Botnetz“ mit „Control and Command“-Struktur bezeichnet.
Ein solcher Angriff kann zu stunden- bzw. tagelanger Nicht-Verfügbarkeit der Webseite führen. Der Sicherheitsstandard
des Hosters ist entscheidend, ob solche Angriffe geblockt und entsprechend abgefangen werden können.
Veröffentlichung von Hacks
Auch wenn nach einem Hack auf der Seite nichts geändert wurde und auch keine Daten entwendet wurden, kann es
sein, dass der Angreifer sein Werk in einschlägigen, öffentlichen Foren präsentiert. Dort dokumentiert er wie er
vorgegangen ist und findet schnell Nachahmer – die möglicherweise den Server kapern, Inhalte ändern oder Daten
auslesen. Vielleicht verkauft der Angreifer sein Wissen auch an den Meistbietenden. In diesem Falle ist erhöhte
Wachsamkeit erforderlich, da ein weiterer Angriff vermutlich bevorsteht.
Sind Software und Betriebssystem auf dem neuesten Stand und findet ein regelmäßiges Monitoring statt, so kann ein
nicht authorisierter Zugriff auf den Server meist vermieden werden. Doch auch wenn Benutzernamen und Kennwörter
in einem Forum auftauchen, kann der Dienstleister meist mit entsprechenden, schnellen Maßnahmen reagieren.
Seite 7 von 11
UNSER BASISPAKET FÜR IHRE SICHERHEIT
Ihre Sicherheit liegt uns am Herzen. Deshalb bieten wir Ihnen unser Basispaket Sicherheit für eine fixe Monatspauschale
an. Das Paket beinhaltet die nachfolgenden Punkte.
Arbeiten mit aktuellen Systemen
Aktuelle Server- und Softwareversionen verringern das Risiko eines Hacks. Unser Server bei Domainfactory wird ständig
überprüft und neue Versionen werden automatisch aufgespielt.
Auf den Servern sind zudem für PHP die „sicheren Einstellungen“ aktiviert. Dies schränkt diverse Angriffsversuche über
die Integration externer Scripte weiter ein.
Überwachen der Webseite
Potentielle Angriffe können geloggt und ausgewertet werden, die Verfügbarkeit der Webseite kann gemessen und auf
Änderungen von Seiteninhalten reagiert werden – automatisch. Aktuelle Softwareversionen werden sichergestellt. Wir
beobachten den Status mit Hilfe des Tools Caretaker.
Erkennen von Angriffen
Sämtliche Zugriffe auf die TYPO3-Webseite werden geloggt, sobald sie einem bekannten Angriffsszenario entsprechen.
Zusätzlich erhält die Technik umgehend eine entsprechende E-Mail. Über die Einrichtung eines solchen Intrusion
Detection Systems (IDS) können schwerwiegende Angriffe abgefangen und die Sicherheit des Systems erhöht werden.
Beobachten aller Vorgänge
In unseren TYPO3-Auftritten können automatisierte Sicherheitshinweise per Mail konfiguriert werden. Es erfolgt die
sofortige Benachrichtigung der Technik. Weiterhin besteht die Möglichkeit Antwortzeiten, Seiteninhalte, TYPO3-Version
und unsichere Erweiterungen, bzw. Erweiterungsupdates, direkt zu monitoren. Bei Unstimmigkeiten erhält der
Projektverantwortliche sofort eine Benachrichtigung und kann umgehend reagieren.
Seite 8 von 11
Abschotten jeder Anwendung
Ob Statistik, Live- oder Dev-System: Auf unseren Servern befindet sich alles in einem eigenen, abgeschotteten Bereich.
Auch wenn über die Webseite Serverzugriff bestehen sollte, kann sich der Angreifer nicht auf dem gesamten Server frei
bewegen. Eine Infektion genau einer Applikation ist möglich, aber nicht die aller Applikationen. Dies spart Zeit beim
Finden des Einfallstors und bei der Bereinigung.
Einhalten der TYPO3 Sicherheitsempfehlungen
Hase oder Igel? Wir wissen nie wer schneller ist, aber durch die Einhaltung der Empfehlungen des offiziellen "TYPO3
Security Cookbook": http://typo3.org/documentation/document-library/extension-
manuals/doc_guide_security/current/ sind wir auf der Höhe der Zeit.
Seite 9 von 11
INDIVIDUELLE SICHERHEITSMASSNAHMEN
Ihr Webauftritt ist so individuell wie Sie selbst. Daher bieten sich verschiedene weitere Maßnahmen an, die im Einzelfall
sinnvoll sein können. Die nachfolgenden beispielhaften Sicherheitsmaßnahmen können individuell auf Ihr Projekt
abgestimmt bei uns beauftragt werden.
Sichern von Kennwörtern
Als sicher gelten heute Kennwörter mit mindestens 16 Zeichen, davon mindestens zwei Sonderzeichen und mindestens
zwei alphanumerischen Zeichen. Es sollten keine Ausdrücke aus dem allgemeinen Sprachgebrauch verwendet werden,
sondern kryptische Passwörter. Zudem sollten Kennwörter mindestens alle drei Monate geändert und angemessen
verschlüsselt werden. All dies kann TYPO3 CMS von Haus aus. Allerdings muss die Konfiguration entsprechend
vorgenommen werden. Alle kryptierten Kennwörter, die die genannten Voraussetzungen nicht erfüllen, sind heute
innerhalb kürzester Zeit zu entschlüsseln.
Eine TYPO3-Extension zum Setzen von Kennwortregeln für TYPO3-Backenduser stellt starke Kennwörter sicher. Zudem
wird jeder Backenduser nach drei Monaten automatisch um die Änderung seines Kennworts gebeten.
Wir unterstützen Sie bei der Vergabe von „starken Kennwörtern“Wir unterstützen Sie bei der Vergabe von „starken Kennwörtern“Wir unterstützen Sie bei der Vergabe von „starken Kennwörtern“Wir unterstützen Sie bei der Vergabe von „starken Kennwörtern“
Unser Monitoringsystem wurde um die Funktionalität erweitert, Kennwörter von Backendbenutzern auf Stärke zu
überprüfen. Dazu wird automatisiert versucht die als Hash in der Datenbank hinterlegten Kennwörter zu knacken. Ist
dies in einer absehbaren Zeit erfolgreich, gilt das Kennwort als "schwach" und sollte durch den betroffenen User durch
ein "starkes" Kennwort ersetzt werden.
Wir erhalten in diesem Falle eine Hinweis-E-Mail und können Sie über unser Aufgabensystem keWorks über eine
notwendige Passwortänderung direkt informieren.
Warum ist es wichtig ein "starkes Kennwort" zu verwenden? Warum ist es wichtig ein "starkes Kennwort" zu verwenden? Warum ist es wichtig ein "starkes Kennwort" zu verwenden? Warum ist es wichtig ein "starkes Kennwort" zu verwenden?
Erfolgreiche Angriffe auf Webapplikationen können u.a. dazu führen, dass die Datenbank ausgelesen wird. Sie enthält
die Passwörter aller TYPO3 CMS-Backendzugänge in verschleierter Form - auch „Hash“ genannt.
Durch das Knacken von solchen Hashes können Unbefugte Zugriff auf die TYPO3 CMS-Verwaltungsoberfläche erhalten.
Verwenden Sie bei vielen anderen Webseiten das gleiche oder ein ähnliches Kennwort, können auch diese Konten von
einem Angreifer übernommen werden.
Ein schwaches Kennwort lässt sich in Sekunden entschlüsselnEin schwaches Kennwort lässt sich in Sekunden entschlüsselnEin schwaches Kennwort lässt sich in Sekunden entschlüsselnEin schwaches Kennwort lässt sich in Sekunden entschlüsseln
Einen "schwachen" Hash zu knacken geschieht meist automatisiert durch die Nutzung verschiedener, etablierter
Webservices, die einzig und allein aus diesem Zweck heraus betrieben werden. Viele dieser Services lassen sich ihre
Dienste von den Nutzern bezahlen und sind somit in kriminellen Kreisen äußerst lukrativ.
Seite 10 von 11
Alle diese Dienste arbeiten mit geballter CPU-, GPU- und RAM-Power aus der Cloud - also mit gebündelten Ressourcen,
die kein Privatmann bereitstellen kann. Dadurch sind sie in der Lage, "schwache" Kennwörter in annehmbarer Zeit zu
entschlüsseln.
Das Zusammenspiel aus der Vergabe von sicheren Kennwörtern und dem regelmäßigen Wechsel von Kennwörtern
ermöglicht einen gehobenen Level an Sicherheit, denn: Wird ein "starkes Passwort" geknackt, was erfahrungsgemäß
einen langen Zeitraum erfordert bzw. unmöglich ist, kann das gestohlene Kennwort bereits abgelaufen sein - eine
Entschlüsselung fügt somit Ihnen und Ihrem System keinen oder nur geringen Schaden zu.
Schützen der Verbindung
TYPO3-Backendsitzungen können, bei Verfügbarkeit eines entsprechenden Zertifikats, komplett SSL-verschlüsselt
abgehalten werden. Keine Eingabe ist für Außenstehende abzufangen.
Kennwörter werden verschlüsselt und zusätzlich mit einem Zufallswert „gesalzen“. Diesen Zufallswert kennt nur die
TYPO3-Erweiterung. Dadurch ist ein schnelles Entschlüsseln von starken Kennwörtern fast unmöglich.
Absichern des TYPO3 Backends
Der Zugriff auf das TYPO3 Backend stellt die sensibelste Stelle dar. Hier kann ein zusätzlicher Schutz erfolgen:
Absicherung des TYPO3 Backends über SSL-Verschlüsselung und zusätzliche Zugriffskontrolle, z. B. per IP basiertem
Schutz oder zusätzlichem Passwortschutz auf Serverbasis (htaccess).
Seite 11 von 11