Die nächste Stufe

Ab sofort ist die nächste Stufe für noch mehr Sicherheit gezündet: Seit gestern Nachmittag sind die Domains pothe.de und proweser.de im DNS gegen Fälschungen gesichert – es wurden DNSSEC-Signaturen bei der DeNIC hinterlegt, sodass nun eine geschlossene Vertrauenskette möglich ist. Benutzer des DNSSEC-Validator-Plugins können dieses am grünen Schlüssel erkennen, genauso wie am grünen Schloss für die Sicherung des TLS-Zertifikats.

DNSSEC und DANE aktiviert

Die englische Homepage unter (www.)pothe.com wird seit Kurzem über DNSSEC und DANE zusätzlich abgesichert. Hierbei handelt es sich zunächst um einen Testbetrieb, bei Erfolg werden in Kürze auch die deutschsprachigen Domains pothe.de und proweser.de (letztere wird Stand Juni 2015 ausschließlich für E-Mails genutzt) folgen. Und Sie haben auch die Möglichkeit, dieses einfach zu überprüfen, wenn Sie das wünschen.

Doch zunächst eine Frage: Was bedeuten die Begriffe DNSSEC und DANE überhaupt?

Wenn Sie eine Website aufrufen wollen, benötigt Ihr Webbrowser zunächst die sogenannte IP-Adresse der Seite. D. h. er stellt an einen sogenannten DNS-Server (Nameserver) die Frage: „Unter welcher Adresse kann ich die Seite www.pothe.com erreichen?“ und erhält dann eine oder mehrere IP-Adressen als Antwort, in diesem Fall die 88.198.8.88 (IPv4) und 2a01:4f8:130:42e1::1:2 (IPv6).

DNSSEC und DANE aktiviert weiterlesen

Arme Hunde, diese Poodle: SSL v3 endgültig unsicher

Als hätte ich es geahnt, als ich letzten Monat SSL v3 abgeschaltet habe, jetzt ist die Unterstützung von SSL v3 endgültig als unsicher einzustufen: Die POODLE-Attacke hebelt gesicherte TLS/SSL-Verbindungen aus, indem der Angreifer erzwingt, dass eine verschlüsselte Verbindung selbst mit modernsten Browsern und Servern  auf die veraltete SSLv3-Verbindung zurückfällt. Und durch bekannte Schwächen dieses Systems können somit Sitzungsinformationen und damit im schlimmsten Fall auch Inhalte vom Angreifer abgegriffen werden.

Somit gibt es nur eine Empfehlung: SSLv3 abschalten! Jeder Benutzer im Browser, und alle Serverbetreiber auf den Servern.

heise.de hat den Angriffsvektor verständlich beschrieben.

SSL-Sicherheit wird erhöht – Einschränkungen unter Windows XP

Lange habe ich damit gezögert, doch kurze Tests waren erfolgreich. Zur Erhöhung der Sicherheit wird der Server, auf dem dieses Webangebot liegt, seit gestern nur noch im TLS-Modus betrieben. Dadurch ist ein Zugriff mit dem Internet Explorer in Version 6 nicht mehr möglich.

Vernachlässigbar, hat dieser veraltete Browser doch praktisch keinen Marktanteil mehr. Und überhaupt, kein Mensch sollte ihn noch nutzen, strotzt er doch vor Sicherheitslücken.

Außerdem wird in Kürze das SSL/TLS-Zertifikat ausgetauscht. Das bisherige Zertifikat ist – wie im Internet bislang üblich – eines mit SHA-1-Unterschrift. Um die Sicherheit zu erhöhen (und auch, damit in zukünftigen Versionen von Google Chrome keine verwirrenden Fehlermeldungen kommen), wird dieses gegen eines mit SHA-256-Unterschrift ersetzt.

Für Besucher mit aktuellen Browsern und Betriebssystemen (also z. B. Windows Vista, Windows 7, Windows 8.1, aktuelles OS X) verläuft das Ganze transparent, d. h. es sind keine Unterschiede feststellbar. Wer jedoch noch immer Windows XP betreibt, aber das bereits 2008 erschienene ServicePack 3 nicht installiert hat, wird diese Seite zukünftig nicht mehr besuchen können, wenn der Internet Explorer oder Chrome verwendet werden.

Ganz ehrlich? Generell wird Windows XP nicht mehr von Microsoft unterstützt, sollte also per se nicht mehr für PCs am Internet betrieben werden. Und wer wichtige Updates seit sechs Jahren nicht mehr installiert, darf auch nicht mehr erwarten, dass er/sie alles sehen kann. Ähnliches gilt für Android: Ab Version 2.3 ist alles fein, und selbst diese alte Version sollte schon lange nicht mehr genutzt werden.

Faustregel: Alle Systeme jünger als 6 Jahre sollten keine Probleme mit SHA-256-Zertifikaten haben. Und Sicherheit geht vor.

HSTS und SPDY: Mehr Sicherheit und Geschwindigkeit

Schon seit ein paar Wochen ist für erhöhte Sicherheit auf www.pothe.de der Sicherheitsstandard HSTS aktiv, seit heute ist für mehr Geschwindigkeit beim Surfen SPDY hinzugekommen.

HSTS sorgt dafür, dass Browser automatisch beim Aufruf der Website auf die verschlüsselte Version umschalten, d. h. jeder aufruf wird automatisch auf https://www.pothe.de umgeleitet. Dieses funktioniert leider nur in modernen Browsern wie Chrome oder Firefox, nicht jedoch z. B. im Internet Explorer. Und eine Voraussetzung gibt es auch noch: Einmalig muss die Seite bereits per https: aufgerufen worden sein, damit der Browser weiß, dass die Seite verschlüsselt ausgeliefert werden soll. Um auch diese Lücke zu schließen, habe ich heute die Aufnahme der Domain in die HSTS-Whitelist des Chromium-Projektes (welches Grundlage für Chrome und Firefox ist) beantragt. Mal schauen, ob und wann dieses erfolgt.

SPDY (gesprochen „Spiedie“ bzw. englisch speedy) ist der Nachfolger von HTTP, genauer gesagt ein Entwurf Googles für eine beschleunigte Erweiterung der HTTP-Übertragung. SPDY funktioniert ausschließlich auf verschlüsselt ausgelieferten Seiten (also mit dem https: davor) und soll die Auslieferung bis zu 50% schneller machen – in der Realität werden derzeit wohl etwa 20% erreicht. Besonders auf Seiten mit vielen einzelnen, kleinen Dateien kann SPDY seine volle Wirkung zeigen; da auf www.pothe.de kaum Seiten mit vielen Grafiken o. ä. existieren, ist der Geschwindigkeitsgewinn hier nicht so hoch, aber gefühlt dennoch vorhanen (kann aber auch Einbildung sein). Übrigens können der Internet Explorer und Safari derzeit kein SPDY sprechen, diese erhalten daher wie bislang die Seiten über den normalen HTTP bzw. HTTPS-Weg ausgeliefert. Es profitieren auch hier wieder moderne Browser wie Chrome, Firefox und Opera in ihren jeweils aktuellen Programmversionen.

F-Secure läuft Amok

Da hat das jüngste Signaturenupdate wohl danebengehauen. Das komplette O&O Defrag-Paket (Version 8.5) wird von F-Secure heute als vom Trojaner „Packed.Win32.Krap“ bzw. „Packed.Win32.Krap.b“ befallen angezeigt. Und das ist ziemlich nervig, handelt es sich doch um ein im Hintergrund laufendes Systemprogramm. Ich hoffe, die Jungs und Mädels von F-Secure bekommen das bald wieder hin.

Mehr als knapp

Was passiert, wenn man der Aussage traut, dass etwas, was man in vier Stunden benötigt, innerhalb von 30 Minuten erledigt ist? Genau: Es dauert länger und ist nach den vier Stunden nicht fertig.

Genau das ist heute passiert: Um 20:15 Uhr lief das SSL-Zertifikat für www.pothe.de ab, und das bestellte neue Zertifikat war noch nicht da. Wer zwischen 20:15 Uhr und 20:22 Uhr (als das neue Zertifikat eingespielt war) diese Webseite SSL-verschlüsselt aufgerufen hatte (z. B. im Online-Shop oder über das Kontaktformular), erhielt „nette“ Fehlermeldungen vom Browser:

Abgelaufenes Zertifikat im Firefox 3
Abgelaufenes Zertifikat im Firefox 3
Abgelaufenes Zertifikat im Internet Explorer 7
Abgelaufenes Zertifikat im Internet Explorer 7

Nicht sehr nett.

Phishing in DHL-Packstationen

Die Betrüger werden immer dreister: Inzwischen werden schon Phishing-E-Mails verschickt, die nicht mehr PIN und TAN für das Online-Banking abgreifen wollen, sondern die Zugangsdaten zu DHL Packstationen. Eine entsprechende Diskussion über eine vermeintliche Kooperation von DHL und Douglas gibt es in der Newsgroup de.admin.net-abuse.mail (Link zur Diskussion in Google Groups).

Was damit bezweckt wird, ist klar: Hat der Betrüger die PIN für das Paketfach, bestellt er auf den Namen des Paketfachmieters Waren bei Händlern, die ordnungsgemäß zugestellt werden. Mit der PIN öffnet er das Fach und verschwindet mit der Ware. Den Ärger mit dem Versandhaus hat der abgephishte Paketfachinhaber – er hat das Paket ja vermeintlich erhalten…

Also auch hier gilt höchste Vorsicht, wenn Sie Ihre Paketfach-PIN und/oder Internet-PIN auf einer Webseite eingeben sollen!

Willkommen Katja Remmel

Hallo Katja Remmel,

ich weiß nicht, wer Sie sind (und wahrscheinlich geht es mich auch nichts an), aber ich weiß, dass Sie die Dewezet abonniert haben oder zumindest einen Zugang zu deren Internetseite haben. Was ich wiederum nicht weiß ist, warum die Dewezet meint, ich wäre Sie. Denn ich hatte mich mit meinen Zugangsdaten eingeloggt gehabt…

Wie kommt die Dewezet darauf, dass ich Katja Remmel sei?

Unterstützt Schlund & Partner Spamer? – Teil 2

Gestern fragte ich noch, ob Schlund & Partner / 1&1 durch die Anwendung von SRS Spamer unterstützt. Die Frage ist noch nicht geklärt, es ist ja Wochenende. Und da wäre es ja zuviel verlangt, wenn Serveradministratoren arbeiten würden (nur für diejenigen, die es nicht verstanden haben: Der Satz war ironisch gemeint).
Durch Zufall lese ich heute, dass GMX auch zu den Anbietern gehört, die SPF-Einträge unterstützen. Da ich ja u. a. die Domain pothe.com mit einem SPF-Record „geschützt“ habe, wollte ich das doch gleich mal ausprobieren. Also von zwei Servern E-Mails eingeliefert, von einem „erlaubten“ und von einem „unerlaubten“. Siehe da: Der erlaubte Server konnte erfolgreich zustellen, beim unerlaubten Server kam die erhoffte Ablehnung der Mail:

Unterstützt Schlund & Partner Spamer? – Teil 2 weiterlesen