Das Jahr 2019 hat ja „gut“ angefangen: Anfang Januar ein großer Leak im Bereich Politik und öffentliche Personen sowie Ende Januar ein weiterer Leak mit 2,7 Milliarden Zeilen an Daten. Obwohl Letzterer wohl „nur“ rund 770 Millionen valide Datensätze enthielt, war es einer der größten Accountdaten-Leaks der letzten Jahre. 2018 war bereits mit Leaks und den großen CPU-Lücken Meltdown und Spectre recht kritisch.
Das zeigt doch, dass es selten wichtiger war als heutzutage, seine digitalen Accounts und Netzwerke sowie Technik und Geräte zu schützen. Aus diesem Grund habe ich mal ein paar Tipps und Links zusammengetragen, die zu mehr Sicherheit verhelfen, wenn ordentlich umgesetzt:

  1. Prüft auf den bekanntesten Internetseiten, ob eure Daten bereits von Leaks/Hacks betroffen sind. Schaut mal in meinen Leak-Check-Artikel, den habe ich auch nochmal aktualisiert. Die wichtigsten Anlaufstellen bleiben der Identity Leak Checker meines aktuellen Arbeitgebers 😉 (HPI) und HaveIBeenPwned.com (ins Deutsche übersetzte Infos dieser Seite gibt es auf dieser Seite).
  2. Setzt sichere und lange Passwörter und am besten unterschiedliche Passwörter für jeden eurer Logins/Seiten/Dienste! Dazu gehören Passwörter mit mehr als 12, besser mehr als 14 Zeichen aus allen Zeichengruppen (Groß- und Kleinbuchstaben, Sonderzeichen, Zahlen).
    Somit wäre ein öffentliches Passwort nur riskant für diese 1 Seite, das Passwort wäre nicht weiterzuverwenden. Ich verwende schon ewig unterschiedliche Passwörter mit mehr als 16 Zeichen für jeden meiner Logins. Da sich das auf Dauer und bei der Anzahl (ich habe über 300 Zugangsdaten…) niemand merken kann, empfehle ich hier einen Passwortmanager. Ich selber nutze KeePass, da dieser kostenlos und gut erweiterbar ist, aber es gibt etliche Alternativen, die nur ein paar Euro kosten. Zusätzlich können im Passwortmanager auch wichtige und kritische Infos, beispielsweise Kreditkarteninformationen, hinterlegt werden. Das Masterpasswort für den Safe sollte bezüglich Länge und Komplexität euer Meisterwerk werden 😉 Die meisten Programme bieten auch an, den Safe mit mehreren Sicherheitsfeatures zu schützen. Neben dem Masterpasswort kann somit ein Key File oder USB Dongle erforderlich sein, um den Safe zu öffnen. Prüft hier mal, was eure Software kann und erfordert im besten Fall mindestens zwei Zugangsmethoden.
  3. Aktiviert alle möglichen Sicherheitsfeatures eurer Accounts: Je nach Anbieter werden euch meistens verschiedenste Features zur Verfügung gestellt, welche den Zugang zum Account im Normalfall oder im Notfall (Passwort vergessen, E-Mail-Adresse nicht mehr verfügbar) gewährleisten sollen. Aktiviert diese Features und füllt sie mit euren Daten.
    1. 2-Faktor-Authentifizierung ist sowieso ein Muss für alle wirklich wichtigen Dienste, alles was mit Geld und großen Mengen eurer persönlichen Informationen zu tun hat.
    2. E-Mail-Benachrichtigungen aktivieren bei bestimmten Events, beispielsweise wenn Geld abgehoben, das Passwort geändert wird oder fehlerhafte Logins erfolgten.
    3. Konto-/Passwort-Wiederherstellungsfunktionen aktivieren; hier müssen meist weitere Infos wie Handynummern bereitgestellt werden oder Sicherheitsfragen festlegen, um im Notfall alternativen Zugriff zu bekommen. Vorsicht bei den Sicherheitsfragen: Die Antworten darauf solltet nur ihr selbst wissen und nicht irgendwo im Netz über euch herausfindbar sein.
  4. Wenn ihr Google und dessen Dienste so intensiv nutzt wie ich, empfehle ich vor allem hier alle Sicherheits- und Datenschutzeinstellungen durchzugehen. Ihr könnt hier wirklich sehr viel anpassen. Lest dazu meinen Artikel, dort liste ich alle Informationen kurz und knapp auf.
  5. Schützt alle Geräte und Hardware ebenso gut wie die digitalen Accounts: Gute PINs und Passwörter, Backups (vielleicht in einer sicheren deutschen Cloud?), Geräteverschlüsselung, zusätzlich Fingerabdruck/Gesichtserkennung, Anti-Diebstahl-Schutz eurer Smartphones sowie allgemein gute Sicherheitseinstellungen, Sicherheit und Backups einzelner Apps prüfen. Ein paar Android Basics noch, die können irgendwann mal helfen.
  6. Als Webseitenbetreiber habt ihr zudem zusätzliche Verantwortung mit euren Seiten und solltet auch dort die Sicherheit eurer Besucher gewährleisten und optimieren. Dazu gehört ein gut abgesichertes Backend/Logins, Optimierungen ausgehender Mails, optimierte HTTP-Header, regelmäßige Backups, verschlüsselte Passwörter in der DB, unterschiedliche Passwörter für Backend/DB/FTP/SSH oder Zugriff nur per SSH Key statt Passwort.
  7. Schützt eure Betriebssysteme und Software und haltet diese auf dem neuesten Stand. Die aktuellste Version von OS, Software und App schützt euch bestmöglich gegen aktuell bekannte Schwachstellen dieser. Zieht euch die Updates im besten Falle immer von den offiziellsten Quellen – Software von der Webseite der Software/des Betreibers, Apps aus dem offiziellen App-Store. Vermeidet Software-Downloader oder Portale wie CHIP, Netzwelt oder freeware.de – dort wird gerne ungewollter Kram untergejubelt. Installiert zusätzlich Sicherheitssoftware gegen Viren und ggf. gegen Werbung, wenn ihr euch unsicher fühlt oder bestmöglich vorsorgen wollt.
  8. Spam und Phishing ist zwar ein alter Hut aber noch immer nicht ausgestorben. Ganz im Gegenteil erhalten wir mittlerweile zwar wenig aber dafür teilweise recht gute unerwünschte E-Mails. Achtet also auch heute immernoch sehr kritisch und mit der nötigen Vorsicht bei Mails auf ihre Echtheit. In meinem vorherigen Artikel habe ich über die Standard-Tipps bei der Erkennung von Spam und Schadmails geschrieben. Wer sich bei dem Thema noch unsicher fühlt, sollte mal reinlesen.
  9. Nutzt Verschlüsselung wo immer möglich. Verschlüsselte Messenger wie Threema oder Signal (und an sich auch Whatsapp) übermitteln die Kommunikations mit Ende-zu-Ende-Verschlüsselung. Mails lassen sich beispielsweise mit PGP verschlüsseln und manche Anbieter wie ProtonMail haben das direkt schon unsichtbar integriert. Verschlüsselte Daten-Safes beispielsweise mit VeraCrypt sind sichere Ablageorte für kritische Dokumente und Daten. Sichere Cloudanbieter mit Verschlüsselungs-/Passwortfeature sind ebenfalls praktisch.

Ich denke das reicht erstmal als Grundlage, da geht sicher noch einiges mehr. Schickt mir gerne weitere Hinweise und Punkte, die ich hier dann noch ergänzen werde. Bis dahin: Stay safe! 🙂

anti-spam-basics-fuer-versender-spf-dkim-dmarc-samuel-zeller-367977-unsplash

Spam Allgemein

Spam-Mails gehören leider immnoch zum Alltag. Die meisten Anbieter sind mittlerweile sehr gut in der Erkennung und filtern bis zu 99% davon raus. Das heißt aber, dass die restlichen 1% der unerwünschten Mails so gut „gemacht/getarnt“ sind, dass sie durch automatische Anti-Spam-Filter nicht erkannt wurden. Ihr müsst nun also schlau und informiert genug sein, um diese letzten ungewünschten E-Mails erfolgreich zu erkennen und zu vernichten.
Den Begriff „Spam(-Mails)“ verwende ich in diesem Artikel mal als Oberbegriff für alle Formen unerwünschter Mails, auch wenn Spam inhalt nicht ganz korrekt ist. Der Begriff ist den meisten Menschen aber negativ Genug im Bewusstsein, sodass es sich einfacher liest als „Malicious Mails“.
Je nach Sinn und Zweck der Mail, soll diese den Nutzer ausspähen oder Werbung verbreiten (Spam), Nutzerdaten durch gefälschte Seiten und Formulare abfangen (Phishing), den Rechner infizieren oder anderen Schaden anrichten (Malware Mails). Somit sind sie neben dem zeitlichen Aufwand der Prüfung aber vor allem eine Gefahr für PC und User, wenn sie nicht erkannt und beseitigt werden. Bestenfalls markiert ihr alle gefundenen Mails als Spam, das bieten die meisten Web-Mailer an und es verbessert die Algorithmen und Erkennungsraten.

Wie erkennt man Spam Mails?

Bei Billionen Spam Mails gibt es natürlich kein eindeutiges Kennzeichen, jedoch mittlerweile ziemlich klare Strategien zur Erkennung von schädlichen Mails. Viele Sicherheitsmaßnahmen werden bereits angewendet bevor die Mail zum Nutzer gelangt. Wenn dann aber doch eine Mail im Postfach eintrudelt, ist der Nutzer gefragt. Also, hier die Basics zum Erkennen von Spam.

Logisches Denken (immer eine gute Methode)

Generell sollte erst einmal abgewägt werden, ob diese Mail überhaupt eine Daseinsberechtigung im Postfach hat. Die Deutsche Bank warnt mich vor unzureichender Sicherheit meines Kontos obwohl ich gar kein Konto bei dieser Bank habe? Da könnte wohl was faul sein 😉
Wurde also mit der E-Mail Adresse, bei der die Mail einging, tatsächlich der angesprochene Service benutzt? Nein, dann entweder direkt entsorgen oder mit umso mehr Argwohn die folgende Punkte unter die Lupe nehmen.

Der Absender und die E-Mail Adresse

Mit ein klein wenig IT- und Programmiererfahrung ist es ein Leichtes, E-Mail Absender, Absenderadresse und andere Informationen der E-Mail an sich zu fälschen. Ich habe das vor einem Jahrzehnt in meinem Fake-Mail Artikel schonmal in seiner einfachsten Grundlage erläutert. Also selbst wenn der Absender „Amazon“ <info@amazon.de>, „Steve Jobs“ <jobs@apple.com> oder „Hannes Schurig“ <schurigh@gmail.com> ist, sollte die Mail bei Verdacht auf Spam genauestens untersucht werden. Ein Großteil der Spammer gibt sich hier keine bis wenig Mühe, seriös zu wirken. Hier ein paar Beispiele von schlechten bis halbwegs guten Versuchen:
„Sparkasse-deutschland“ <daveanna@megalink.net>
„Google Incorporation“ <noreply@googleincuk.com>
„Sparkass“ <Informationen@sparkasse.de>
„Sparkasse“ <noreply@sparkasse.de
Die letzten 2 Adressen wären grundsätzlich legitime E-Mail-Adressen der Sparkasse, wobei die dritte mit einem Großbuchstaben ungewöhnlich formatiert wäre. Der Spammer geht hier zusätzlich das Risiko ein, dass eure Antworten auf diese Mail (auch wenn die wenigstens auf sowas mit einer Antwort-Mail reagieren) nicht bei ihm landen sondern bei dem echten Besitzer der gefälschten Adresse – z.B. informationen@sparkasse.de, falls es diese Adresse geben sollte. Dem Spammer ist das aber vermutlich egal, er möchte euch eh nur zum Öffnen eines Links oder eines Anhangs verleiten und keine Antworten bekommen. 

Der Betreff und Text

In den besseren E-Mails werden dem Nutzer im Text einige Informationen präsentiert, die sich schlüssig anhören können: Konto gesperrt, neue Sicherheitsfeatures für das Konto können aktiviert werden, unbekannte oder fehlerhafte Zahlungen oder Abbuchungen müssen bestätigt werden, ungewöhnliche Kontobewegungen oder Nutzeraktivitäten, irgendwie sowas. Erster Hinweis auf unerwünschte Mails ist natürlich schlechtes oder zumindest leicht fehlerbehaftetes Deutsch. Warum auch immer die Spammer sich bis heute keine Mühe geben, eine einzige Spamvorlage in lupenreinem Deutsch zu verfassen, weiß ich nicht. Aber gut für uns.
Dies sind meistens auch E-Mail-Texte, die nach Massenmails aussehen, also beispielsweise mit „Sehr geehrte/r Frau/Herr“, „Liebe User“ oder einer anderen unpersönlichen Anrede beginnen.
Auch in groß angealegten seriösen Rundmails steht heutzutage fast immer euer Nutzername/Name drin, das können die Firmen mittlerweile schon.

Das Design

Als nächstes ist das Design entscheidend. Mails von größeren Unternehmen sehen stimmig aus: Logo, Hintergrundfarbe, Umrahmung des Textes, einheitliche Schriftart und guter Textstil, die meisten Unternehmen geben sich hier viel Mühe. Umso besser fallen schlechte Spam Mails ohne jegliche Formatierung oder mit nur 1 Logo lieblos reingeklatscht auf.

Der Link/URL

Spam Mails, die im Endeffekt Daten klauen oder Schaden anrichten sollen, sind in erster Linie an einer der zwei folgenden Punkten zu erkennen: Entweder haben sie einen Anhang oder einen Link in der Mail.
Selbstverständlich öffnet ihr erstmal keine Links und Anhänge, wenn die Mail und der Inhalt nicht vollständig seriös erscheinen.
Links vor dem Aufruf ansehen und Anhänge vorher von einem Antivirenprogramm checken lassen. Es gibt natürlich noch weitere Formen, beispielsweise mit Text den Nutzer dazu zu bringen, eine Überweisung zu tätigen oder andere Handlungen einzufordern. Aber ich denke das ist klar soweit, dass niemand einfach so Geld irgendwohin überweist, um damit einen Gewinn/Jackpot in Anspruch zu nehmen oder die Lieferung eines wertvollen Gegenstandes zu bezahlen.

Am häufigsten wird versucht, mittels eines Links den Nutzer auf eine gefälschte oder sonstwie vorbereitete Seite zu ziehen. Auf dieser Seite sollen die Nutzer dann private Informationen eingeben, beispielsweise Kontodaten – hier handelt es sich dann um klassisches Phishing. Also der Link, der in solchen Spam Mails immer enthalten ist, sollte besonders aufmerksam angeschaut werden. Der Link wird meistens angezeigt, wenn man mit der Maus über den Linktext fährt. Wenn das nicht geht, lassen sich die Links oftmals per Rechtsklick-Menü kopieren und zumindest in einem Texteditor vorbetrachten. Aber bitte nicht Linksklicken.
Bei 90% der Spam Mails sind vor allem die Links/URLs verräterisch, hier ein paar typisch schlechte Beispiele:
(ACHTUNG! LINKS NICHT ÖFFNEN)
http://juwenalia.poznan.pl/amazon/0?m=meinemail@gmail.com
http://raevin.org/admin/other/sparks/0
http://www.teprometoanarquia.com/wp-admin/includes/sparkassed/0
http://stcde.pt/libraries/phputf8/utils/sparkassed/0
http://rutaverde.cl/language/spakolp/0

Manchmal sieht man hier aber schon bessere Versuche:
(ACHTUNG! LINKS NICHT ÖFFNEN)
http://sparkase.de/kundencenter/kontowiederherstellung/
http://berliner-sparkasse.de.tf/kundencenter/kontowiederherstellung/
http://e.bay.de/kontowiederherstellung/
Es geht also darum in der Top Level Domain zwar auf den ersten Blick eine seriöse URL stehen zu haben, welche jedoch entweder durch kleine Buchstabenverdreher, zusätzliche oder fehlende Buchstaben verfälscht wurde oder weitere Top-Level-Domainendung besitzt. Diese Domains können sich Spammer normal registrieren und somit die Chance auf Klicks erhöhen.
Besucht der Nutzer nun eine solche Seite, ist es meistens schon aber nicht unbedingt erkennbar, ob es sich hier um eine gefälschte oder echte Seite des Anbieters handelt. Sollte das Design ungewöhnlich sein, die Seite nicht zum eigentlichen Anbieter passen, der Text in der falschen Sprache sein, reagiert mit Vorsicht.
Die Seite selbst kann aber auch komplett seriös aussehen; beispielweise ist es vergleichsweise leicht, das komplette Webseitendesign von Amazon oder einer beliebigen anderen Internetseite zu kopieren und ein Eingabeformular damit nachzubauen. Auch die URL in der Adresszeile des Browsers kann Aufschluss geben. Diese wäre zwar auch mit 1 Codezeile Javascript fälschbar, diese Technik wird aber selten von Phishern benutzt.

Demo / Test

Hier mal ein perfektes Beispiel für ein gut gewolltes aber nicht ausreichend gut umgesetztes Phishing-Beispiel:

Folgende Merkmale entlarven diese Mail als Spam/Phishing:

  1. Der Betreff ist für einen kritischen Inhalt wie „ungewöhnliche Kontobewegungen“ viel zu generisch, das würde Amazon so nie machen. Eine Konto-ID mit falscher Groß- und Kleinschreibung machen den Betreff nicht glaubwürdiger.
  2. Der Absender ist mit „info@amazon.de“ nicht schlecht gefälscht, aber ein „Name“, der anstatt der Mail primär angezeigt wird, fehlt und ist normalerweise aber immer vorhanden. Amazon verwendet beispielsweise „Amazon.de <versandbestaetigung@amazon.de>“.
  3. Man hat sich an ein Amazon-Design versucht, aber es wirkt noch etwas unfertig. Es fehlt Spacing über dem Logo und ein paar mehr Informationen, die Amazon auch im Jahre 2014 schon in den Mail Footer gepackt hat – Links, Impressum, Hinweise für den Kunden usw.
  4. Die allgemeine Anrede „Lieber User“ ist ein Killer bei dem
    „ungewöhnliche Kontobewegungen“ Inhalt. Hier müsste selbstverständlich euer Name stehen.
  5. Der Text ist von der Satzstruktur nicht optimal und es fehlen mehrere Kommata.
  6. Zu guter Letzt der Link: Hier wurde probiert, mit einem Linktext nicht direkt den auffällig unseriösen Link zu verschleiern, aber per Mouseover wird dieser natürlich trotzdem gezeigt.

Fazit

Mit diesen Tricks solltet ihr Spam und andere unerwünschte Mails mit einer sehr hohen Chance erkennen und aussortieren können. Damit sorgen wir gemeinschaftliche dafür, die Statistik der Spammer noch unwirtschaftlicher zu machen. Denn laut diesem FAZ Artikel (etwas älter aber vermutlich immernoch wahr), müssen Spammer ca. 12 Millionen Pharma Werbemails verschicken, um einen einzigen Nutzer zum Kauf eines solchen Produktes zu bewegeben. Die Rate muss noch mehr versaut werden! 🙂

Vor einigen Tagen, im Januar 2019, wurde ein weiterer Meilenstein von Google’s Deepmind im Bereich der Künstlichen Intelligenzen eindrucksvoll präsentiert. In einem Livestream wurde die neue KI namens AlphaStar vorgestellt, eine Starcraft 2 spielende Intelligenz. Mal vom Einsatzgebiet abgesehen ist die Art und Handlungskomplexität der KI ein riesiger Schritt vorwärts.

In meiner Schnell geschaut #3 Episode habe ich über Deepind’s AlphaGo geschrieben, die das Brettspiel Go gemeistert hatte. Wer Go und das Spielprinzip kennt, sowie Starcraft 2, kann den Unterschied der Komplexität dieser Spiele vielleicht erahnen. Go hat mit dem 19×19 Feldern großem Spielfeld, der Eindeutigkeit von Aktionen und dem Prinzip des rundenbasierten Spielens eine „berechenbare Größe und Komplexität“. Starcraft als Echtzeitstrategiespiel mit einer schier unbegrenzten Menge an Möglichkeiten in jeder Sekunde (oder sogar Millisekunde in intensiven Spielmomenten) scheint hier noch chaotischer zu sein. Economy, Einheiten mit ihren Fertigkeiten, Gebäude, Spielfeldkontrolle, Mikro- und Makromanagement, Taktiken und Kontertaktiken, Bewegungssteuerung… absolut chaotisch, der Realität gar nicht mehr so weit entfernt.

In diesem Tweet von @Liv_Boeree wird die Komplexität versucht in Zahlen zu packen:

Die Werte müssen jetzt nicht stimmen, es kommt ja immer darauf an, wie man diese berechnet. Das Deepmind Team spricht von 1026 Möglichkeiten zu jedem Zeitpunkt im Spiel (Starcraft 2) und verfolgt damit eine andere Rechnung. Die Hürden für das System wurden aber deutlich gemacht:

The need to balance short and long-term goals and adapt to unexpected situations, poses a huge challenge for systems that have often tended to be brittle and inflexible. Mastering this problem requires breakthroughs in several AI research challenges including:

  • Game theory: StarCraft is a game where, just like rock-paper-scissors, there is no single best strategy. As such, an AI training process needs to continually explore and expand the frontiers of strategic knowledge.
  • Imperfect information:Unlike games like chess or Go where players see everything, crucial information is hidden from a StarCraft player and must be actively discovered by “scouting”.
  • Long term planning: Like many real-world problems cause-and-effect is not instantaneous. Games can also take anywhere up to one hour to complete, meaning actions taken early in the game may not pay off for a long time.
  • Real time: Unlike traditional board games where players alternate turns between subsequent moves, StarCraft players must perform actions continually as the game clock progresses.
  • Large action space: Hundreds of different units and buildings must be controlled at once, in real-time, resulting in a combinatorial space of possibilities. On top of this, actions are hierarchical and can be modified and augmented. Our parameterization of the game has an average of approximately 10 to the 26 legal actions at every time-step.

Due to these immense challenges, StarCraft has emerged as a “grand challenge” for AI research.

Quelle: deepmind.com

Hier ist der Stream, in dem die KI gegen 2 professionelle Spieler antritt, jeweils in 5 Spielen, und dabei alle 10 Spiele gewinnt:

Im Detail gibt es hier viel zu Lernen, ich kann den Artikel von Deepmind und das ganze Thema definitiv empfehlen. Es ist wirklich erstaunlich und respektabel, wie weit die Entwicklungen hier in so kurzer Zeit gekommen sind und die Anwendungsgebiete nähern sich immer weiter der Komplexität der realen Welt an.

Alle bisherigen Schnell geschaut Folgen

Alle bisherigen Folgen

Nachdem ich in den zwei vorhergehenden Artikeln über HSTS, X-XSS-Protection und die Content-Security-Policy geschrieben habe, folgen nun die letzten kleineren HTTP Security Header. Dazu zählen unter anderem X-Content-Type-Options, X-Frame-Options, Feature-Policy und Referrer-Policy. Auf der Webseite von OWASP, dem Open Web Application Security Project, findet ihr auch eine gute Übersicht aller Header, Einstellungsmöglichkeiten und Best Practices. Wie in den letzten Artikeln beschreibe ich die Umsetzung der Header mit Apache via .htaccess-Datei.

X-Content-Type-Options

Der Header ist recht simpel, denn er hat nur 1 mögliche Option: „nosniff“. Mit dieser Eigenschaft verhindert der Header, dass der Browser einen übermittelten Content-Type MIME type ändert. Stattdessen muss der MIME-Type in jedem Fall befolgt werden, was MIME sniffing Attacken (auch „content sniffing“ genannt) verhindern kann. Bei diesem Angriffsszenario werden Dateien mit einem falschen MIME-Type an den Browser geschickt, welcher diese dann anders als vorgesehen interpretiert:

Header always set X-Content-Type-Options "nosniff"

X-Frame-Options

Die Angabe eines X-Frame-Options Header gibt vor, ob andere Seiten deine Seite einbinden können – als frame, iframe oder object. Verhindert werden dadurch vor allem Clickjacking Attacken. Damit steht dies im Gegensatz zur CSP, welche die Einbindung anderer Seiten in deine Seite behandelt. Drei Optionen stehen zur Auswahl: DENY, SAMEORIGIN und ALLOW-FROM [Domain].
Für WordPress ist es empfehlenswert, die Option SAMEORIGIN zu wählen, da es sonst Problemen geben wird, beispielsweise beim Update von Plugins.

Header always set X-Frame-Options "SAMEORIGIN"

Feature-Policy

Die Feature-Policy ermöglicht die Kontrolle vieler Browser-APIs und somit die Einschränkung der Angriffsquellen bei vielen Funktionen. Für jede Direktive (= API) können folgende Optionen gesetzt werden: * (alle Quellen erlaubt), self, none, [Domains]. Die Funktionalität ist also der CSP sehr ähnlich, aber mit Fokus auf Features. Auch wenn die Browserunterstützung noch recht mau ist, empfehle ich die Nutzung: Beschränkt die einzelnen APIs so, wie sie in eurer Seite benötigt werden und schafft damit etwas mehr Sicherheit. Eine report-Direktive ist wohl schon in Arbeit, aber noch nicht implementiert, ich hoffe das kommt bald noch.

Mehr Informationen zu den Direktiven auf dieser Google-Seite, der Github Seite (manche davon ausführlicher erklärt) und aktiv gezeigt auf dieser Demo-Seite. Das reicht als Hilfe für das Setup.

Ich aktiviere bei mir die Features autoplay, fullscreen und picture-in-picture für ’self‘, allesamt für embedded Videos brauchbar, der rest wird mit ’none‘ deaktiviert:

Header always set Feature-Policy "accelerometer 'none'; ambient-light-sensor 'none'; autoplay 'self'; camera 'none'; encrypted-media 'none'; fullscreen 'self'; geolocation 'self'; gyroscope 'none'; magnetometer 'none'; microphone 'none'; midi 'none'; payment 'none'; picture-in-picture 'self'; speaker 'none'; usb 'none'; vr 'none'"

Ihr findet diese und weitere Einstellungen auch in den Webseiten-Einstellungen, die für jede Webseite angepasst werden können. Eure lokalen Settings stehen dabei noch vor den von der Seite vorgegebenen Featureeinstellungen:

mehr-website-sicherheit-mit-http-header-3-feature-policy-website-settings
Chrome’s Webseiten-Einstellungen für die Steuerung der Features

Referrer-Policy

Zuletzt noch die Referrer-Policy: Dieser Security Header steuert die Referrer-Information, die beim Aufruf eines Links auf eurer Seite mitgeschickt wird. Der Referrer ist dabei praktisch die Quelle der eingehenden Anfrage:

Grundsätzlich ist der Referrer eine nützliche Information, vor allem für Webseitenbetreiber und ihre Analysewerkzeuge wie Google Analytics. Sie erfahren, wie die Besucher auf die Webseite gekommen sind, von wo, eventuell mit welchen Suchbegriffen, und können ihre Seite mit diesen Informationen verbessern. Ich selber möchte hier also möglichst wenig restriktiv sein, aber dennoch die Sicherheit ein wenig erhöhen. Problematisch können Referrer-Informationen werden, wenn sie zu einer bösen oder unsicheren Seite weitergeleitet werden. Welche Möglichkeiten gibt es also?

Mögliche Optionen für die Referrer-Policy: no-referrer, no-referrer-when-downgrade, origin, origin-when-cross-origin, same-origin, strict-origin, strict-origin-when-cross-origin, unsafe-url

Ich möchte jetzt hier nicht auf jeden Punkt eingehen, das wäre unnötig. Informiert euch gerne bei Mozilla (mitsamt Beispielen) oder in diesem Blog zu den Auswirkungen jeder Eigenschaft auf den Referrer.

Ich benutze aus oben genannten Gründen nur die Option ‚no-referrer-when-downgrade. Diese ist möglichst locker beim Aufruf beliebiger http://-Links und schickt den gesamten Referrer da mit. Ich habe in meinem Blog keine kritischen Informationen, die nicht weitergeschickt werden sollten. Allerdings wird die Weiterleitung meines Referrers auf unsichere http://-Seiten verhindert, das erhöht die Sicherheit ein wenig. Überdenkt eure Seite, eure Links und wie ihr mit dem Referrer selbst umgehen wollt.

Achtung WordPress-Nutzer: Ich glaube seit WordPress 4.7 werden target=“_blank“ Links automatisch mit der Eigenschaft rel=“noreferrer noopener“ erstellt. Das mag gute Hintergrundgedanken haben, wenngleich auch die Seite informiert, dass noopener den Angriff verhindert und noreferrer nur als compatibility backup benutzt wird.
Also unabhängig vom Referrer-Policy-Setting würden Links keinen Referrer mitsenden.
Es gibt mindestens 2 verschiedene Codes für die functions.php, mit der sich das deaktivieren lässt, beispielsweise siehe Link in diesem Absatz. Das Problem hierbei: Beide Codes funktionieren nicht mit dem neuen Gutenberg-Editor. Ich habe hier bisher keinen Weg gefunden, das automatische noreferrer zu entfernen und daher bleibt dieser Security Header bei mir mehr oder minder Placebo und für alle Fälle.

Fazit

Das waren nun also die wichtigsten sieben HTTP Security Header in drei Artikeln, das war doch eine ganze Menge neues Wissen. Ich hoffe, dass ihr etwas Hilfe finden und eure Webseitensicherheit ebenfalls verbessern konntet. Es gibt noch weitere Security Header, diese waren dann aber entweder kaum verbreitet, kaum unterstützt oder kritisch diskutiert und mir daher zu edge case für meine Artikel.

Im Großen und Ganzen bin ich zufrieden, auch wenn man sicher immer noch besser und sicherer sein kann, hier mein securityheaders.com Ergebnis:

mehr-website-sicherheit-mit-http-header-3-securityheader-summary-final
SecurityHeaders.com Ergebnis A nach den Header-Optimierungen

Über

Meinen Blog gibt es nun schon seit fast 10 Jahren, verrückte Sache. Und obwohl ich grob über 300 Tutorials und How-To’s geschrieben habe, ist es wie so oft: Der Schuster hat gerne mal die schlechtesten Leisten. Wartung und Pflege des eigenen Systems geraten bei viel Stress und wenig freier Zeit in den Hintergrund. So kommt es, dass mich die Firma Enginsight letztens kontaktiert hat. Der Inhalt war ein weniger positiv – man übergab mir einen Sicherheitsbericht meines Blogs. Dieser enthielt Bewertungen in mehreren Kategorien und leider nicht nur gute, dazu später mehr. Das war der Anlass, dass ich mich mit der Sicherheits-Suite von Enginsight und der Sicherheit meines Blogs detaillierter auseinandergesetzt habe.

Erster Eindruck

Die Suite von Enginsight möchte mit ihren Tools die Sicherheit und Verfügbarkeit von IT-Netzwerken erhöhen und den Aufwand der Wartung und Überwachung verringern. Das Netzwerk kann hier beliebig verschieden und groß sein – von 1 Webseite, einem PC oder Server bis hin zu einem aus mehreren Nodes und Netzwerkkomponenten bestehenden Netzwerk.

Dank des 14-tägigen Probeaccounts lässt sich die Suite auch direkt selbst ausprobieren. Nach dem Login lande ich auf einem sehr übersichtlichen Dashboard, in dem mir meine eingerichteten Assets (in diesem Moment natürlich noch keine) angezeigt werden. Über eine Menüleiste habe ich schnellen Zugriff auf die wichtigsten Funktionen: Umgebungen, Hosts, Endpunkte, Alarme, Einstellungen, Suche, mein Profil sowie einigen weiteren Kleinigkeiten.

webseiten-netzwerke-analysieren-kontrollieren-enginsight-suite-dashboard
Übersichtliches Enginsight Dashboard mit ersten angelegten Assets

Detaillierte Analysen

Ich habe hier direkt meinen Blog als einen Endpunkt angelegt. Endpunkte sind Webseiten oder Webapplikationen, für die verschiedene Funktionen zur Verfügung gestellt werden: Webseite (Verfügbarkeitstests aus EU/USA), SSL/TLS, Web Thread Intelligence, Portscan, HTTP-Headers und Redirects. Die Funktionen können flexibel hinzugefügt werden. Anschließend starten direkt die ausgewählten Untersuchungen auf das eingegebene Ziel und nur wenige Sekunden später erhalte ich eine ausführliche Analyse meiner Seite:

Schnell ist klar: Hier muss was gemacht werden! Ich gehe mal kurz die Features durch und was jeweils untersucht wird:

  • Webseite: Stündliche Verfügbarkeitstests von Servern aus Frankfurt (EU) oder East-Virginia (USA), Analyse der Verbindungszeiten (wieviel Millisekunden Lookup, Connect, Transfer usw.)
  • HTTP-Headers: Analyse der Antwort-Header-Eigenschaften und speziell der Security-Header. Dazu mehr im Kapitel weiter unten
  • SSL/TLS: Untersuchung des verwendeten SSL-Zertifikats, der unterstützten Protokolle und Chiffren sowie möglicher Sicherheitslücken bzgl. SSL
  • Redirects: Weiterleitungen der Domain
  • Web Threat Intelligence: Prüfung von Sicherheitslücken beim Server, benutzten Anwendungen, der Webseite, benutzter Frameworks und Errechnung eines Scores
  • Portscan: Offene Ports und deren Service, ggf. Informationen zu eingesetzter Software und Version hinter einem Port

Ein Bericht hat mir dabei besonders wenig gefallen: Die Bewertung F bei den HTTP-Header. Also habe ich hier mal einen detaillierteren Blick geworfen:

Crashkurs HTTP-Headers

HTTP-Header sind Anweisungen, die vom Server- oder Webseitenbetreiber konfiguriert werden, um die Sicherheit des Webangebots sowie der Besucher zu erhöhen
Die Anweisungen können, je nach Hosting Setup, recht einfach über die .htaccess (empfohlen beim Shared Webhosting) gesetzt werden.
Im folgenden nenne ich zwei beispielhafte Security-Header, es gibt jedoch noch mehr:

HTTP Strict Transport Security (HSTS)

HSTS gibt vor, dass und für welchen Zeitraum in der Zukunft alle Anfragen über HTTPS/SSL vom Client zum Server geschickt werden müssen. Anfragen über HTTP werden innerhalb dieses Zeitfensters dann komplett geblockt. Eine Beispielkonfiguration wäre:

<IfModule mod_headers.c>
  Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
</IfModule>

Anzupassen: max-age als Zeitangabe in Sekunden, wie lange der Zugriff in Zukunft für diesen gerade aufrufenden Client ausschließlich über SSL erfolgen muss. Der Wert 31536000 steht demnach für 1 Jahr. includeSubDomains erweitert dieses Verfahren auf alle Subdomains. Weitere Informationen und Details zu HSTS und die preload-Eigenschaft in meinem separaten Artikel zum Thema HSTS und XSS-Protection hier.

Content-Security-Policy (CSP)

Der Content-Security-Policy Header überprüft die Art und Herkunft von Daten und Anfragen während des Ladens und kann darauf reagieren. Damit wird verhindert, dass unerwünschte, fremde oder gefährliche Inhalte geladen und ausgeführt werden. Das ist für gewöhnlich das Ziel von XSS-Angriffen und Code-Injections, schädliche Inhalte in vertrauenswürdige Seiten einzubinden.

Die Kontrolle der Inhalte wird hierbei in unterschiedliche Kategorien (auch Direktiven genannt) aufgeteilt und jeweils können erlaubte Datenquellen definiert werden. Beispielsweise gibt die Direktive script-src an, von welchen Domains und Quellen Skripte in die geschützte Seite eingebunden werden dürfen. Ein CSP-Beispiel:

Header always set Content-Security-Policy: "default-src 'self'; img-src 'self' https://secure.gravatar.com https://wordpress.org data:; script-src 'self'; font-src 'self' fonts.gstatic.com; report-uri https://report-uri.de/report.php"

Diese CSP definiert erlaubte Datenquellen für die Direktiven default-src, img-src, script-srcfont-src und definiert einen Bericht-Endpunkt mit report-uri. Die Angabe ’self‘ erlaubt Daten von der eigenen Domain, in der die CSP benutzt wird. Zusätzlich wurden für Bilder die Domains von gravatar.com und wordpress.org sowie die Einbindung von data-uri Bildern als Ausnahmen definiert. Ebenso das Laden von Schriften vom Google Repository. Wenn ein Angreifer nun versucht, beispielsweise über einen Kommentar ein Skript von seiner Angreiferdomain einzubetten, würde die CSP dies blocken, da nur die eigene Domain Skripte einbinden darf.

Mehr zum Aufbau und Einrichtung des CSP Header in meinem Artikel zu diesem Thema hier.

Sicherheit von Hosts auch mit Künstlicher Intelligenz überwachen

Zurück zur Enginsight-Suite, denn hier gibt es noch viel mehr zu entdecken! Aus Gründen der Komplexität reiße ich die folgenden Features nur grob an.

Wie eingangs erwähnt, lassen sich auch Computer und Server in das System einfügen und durchleuchten. Dafür wird ein Client auf den Geräten eingerichtet und schon werden etliche Systemkomponenten untersucht: Auslastung von CPU, RAM, SWAP, integrierte Partitionen, Netzwerkschnittstellen, installierte Software und Updates sowie laufende Prozesse. Daran erkennt Enginsight dann mögliche Sicherheitsrisiken und gibt Handlungsempfehlungen.

Außerdem wacht eine auf Neuralen Netzwerken basierende Künstliche Intelligenz über die erfassten Daten. Auf Wunsch erkennt diese beispielsweise wenn personenbezogene Daten das Netzwerk verlassen oder bestimmte Metriken wie CPU oder RAM ihre Normalwerte verlassen. Basierend auf den gelernten Daten erkennt die KI Anomalien und alarmiert den Admin. Dieser kann den Vorfall dann einstufen und die KI lernt für zukünftig Entscheidung aus diesem Handeln. Somit wird die KI immer intelligenter und der Admin hat weniger Verwaltungsaufwand.

Im Peacemaker werden die Systemupdates aller angelegten Hosts in einer Übersicht angezeigt und können direkt verwaltet werden. So lassen sich beispielsweise unter Linux Updates direkt aus Enginsight heraus installieren.

Unter dem Menüpunkt Umgebung versteckt sich ein Visualisierungstool, mit dem die angelegten Assets miteinander in Verbindung gebracht werden können. Außerdem lassen sich hier auch Notizen oder ganze Dokumentationen für jedes Asset hinzufügen. So fehlt nie der Überblick bei komplexen Infrastrukturen.

Automatisierung über Alarme und Plugins

Zwei weitere Funktionen lassen sich gut kombinieren, um eine Automatisierung von Maßnahmen im Problemfall zu realisieren: 
Alarme können erstellt werden, um regelmäßige Überprüfungen durchzuführen und im Problemfall Maßnahmen zu ergreifen. Mögliche Überwachungen bei einem Endpunkt: Response Time, Tage bis Zertifikatsablauf, Webseite nicht erreichebar, Neue Sicherheitslücke, Datenschutzverstoß. Für Hosts gibt es noch mehr, hier nur ein paar: Temperatur, neue oder entfernte Programme, Verdächtiger Netzwerkverkehr. Natürlich lassen sich hier Benachrichtigungen einstellen, aber als besonderes Extra gibt es auch Plugins, die im Problemfall ausgeführt werden können.

Plugins sind im Skripte, die selbst geschrieben werden können. Zur Verfügung stehen die drei Sprachen: Bash, Powershell und Python. Plugins können per Cronjob regelmäßig ausgeführt oder eben von Alarmen getriggert werden. Dem Troubleshooting sind mit diesen drei Sprachen kaum Grenzen gesetzt. Beispielsweise könnten per SSH im Falle des Ausfalls bestimmter Webseiten die Netzwerksettings vom Server geändert oder repariert werden.

Fazit

Die Enginsight-Suite bietet eine große Palette an Sicherheits- und Überwachungsfeatures (nicht alle konnte ich in diesem Artikel vorstellen), mit denen sich einzelne Assets oder ganze Netzwerke analysieren und steuern lassen können. Dank KI-Metrik-Überwachung, Alarmen, Plugins und anderen kombinierbaren Lösungen ist hier eine großes Potential für Automatisierung, wenn alles richtig eingerichtet wird. Das Produkt ist immernoch stark in der Entwicklung und der Kontakt zum Enginsight-Team war äußerst angenehm – hier steckt viel Herzblut im Produkt. 

Das Installieren von .NET-Framework 3.5 war unter Windows 7 noch relativ einfach – Online- oder Offline-Installer herunterladen und los! Unter Windows 10 kann das unter Umständen mehr Probleme machen. Die Fehlercodes 0x800F081F und 0x800F0906 können die Installation bzw. Aktivierung sehr umständlich machen. „Aktivierung“, da das .NET-Framework 3.5 bereits in der Feature-Liste von Windows 10 („Windows-Features aktivieren oder deaktivieren“ im Startmenü) gelistet wird und eigentlich nur per Häkchen aktiviert werden muss. Windows 10 lädt das dann über Windows Update nach. Im besten Fall. Oder beim Nachladen der Installationsdaten von Windows Update erscheinen die besagten Fehlermeldungen.

Die Installation erfolgt nun über ein Installationsmedium von Windows 10 – via USB oder ISO. Beides lässt sich binnen Sekunden über das Windows 10 Media Creation Tool herunterladen bzw. erstellen. Ich empfehle das ISO-Abbild, dieses lässt sich mit Rechtsklick -> Bereitstellen direkt in ein virtuelles Laufwerk verwandeln.

Nun braucht es für die Installation nur noch ein paar Befehle aus der administrativen CMD (als Admin starten!): 

del /q C:\Windows\SoftwareDistribution\Download
Dism /Online /Cleanup-Image /StartComponentCleanup
DISM /Online /Enable-Feature /FeatureName:NetFx3 /All /LimitAccess /Source:D:\sources\sxs

Neustart, fertig!
via

Mit einem einfachen „Trick“ könnt ihr die wiederkehrende Tipparbeit in der Windows Kommandozeile vereinfachen: Aliase.
Gemeint sind selbst definierte (zumeist kurze oder einfache) Befehle, die andere (zumeist lange oder komplexe) Befehle ersetzen oder mehrere Befehle kombinieren.

Ein paar Beispiele, welche komplexeren Befehle durch einen einfachen Alias ersetzt werden könnten:

:ausführlichen IP-Config-Bericht in die Zwischenablage
ipconfig /all | clip
: Einfacher Netzwerkreset
ipconfig /flushdns && ipconfig /release && ipconfig /renew
: WLAN-Passwort von einem WLAN anzeigen
netsh wlan show profile [WLAN-Name] key=clear
: Git Branch aktualisieren, Pakete installieren, lokale Variable setzen und Node starten
git pull && npm i && set envtype=localtest && npm run debug

Aliase erstellen

windows-cmd-aliase-befehle-commands-path

Erstellt zuerst einen neuen Ordner, irgendwo auf eurem PC und kopiert euch den Pfad dorthin, z.B.: C:/aliase

Öffnet Erweiterten Systemeinstellungen (Start -> Erweiterte Systemeinstellungen oder Ausführen -> sysdm.cpl) -> Erweitert -> Umgebungsvariablen und fügt dort diesen Pfad im oberen und unteren Teil jeweils zu Path hinzu:

Dies bewirkt, dass alle Inhalte dieses Ordners jederzeit über die Kommandozeile aufgerufen werden können, also global aufrufbar sind.
Startet alle offenen CMD-Fenster danach neu, sonst kommt die Änderung nicht an.

Anschließend erstellt ihr euch in dem Ordner Dateien mit einem Dateinamen nach Format: [Befehl].bat – mit dem gewünschten Befehl/Alias. Beispielsweise: ipr.bat (Eselsbrücke „IP-Reset“)
Öffnet die Datei in einem Texteditor und fügt ein:

REM ipr.bat:
@echo off
echo Run: ipconfig /flushdns + /release + /renew
ipconfig /flushdns && ipconfig /release && ipconfig /renew

oder pir.bat („pull-install-restart“):

REM pir.bat:
@echo off
echo Run: git pull + npm i + npm run debug
git pull && npm i && npm run debug

REM und echo sind optional und dienen nur zur Info. Nachdem ihr die Datei gespeichert habt, lässt sie sich per Doppelklick starten und per CMD wie ein Befehl aufrufen:

Aliase mit Parametern

Ein weiterer Punkt kann noch wichtig sein: Wenn ihr dynamische Informationen (Parameter) an das Skript hinter dem Alias geben müsst. Beispielsweise braucht das Auslesen des WLAN-Schlüssels den WLAN-Namen (SSID) dafür oder der Ping brauch ein Pingziel.
Parameter lassen sich in Batch Skripte entweder per %1 … %9 (1. bis 9. Parameter) oder %* (alle angegebenen Parameter nacheinander) übergeben. Folgende Beispiele sind nicht besonders sinnvoll und sollen nur der Demonstration dienen:

REM rf.bat:
@echo off
echo unveil + delete %*
attrib -r -a -s -h %*&&del /f /q %*
REM p.bat:
@echo off
echo Usage: p [target] [count] [version]
echo ping %1 -n %2 -%3
ping %1 -n %2 -%3

Ein kleiner Aufwand für dich, aber eine große Erleichterung für deine Finger! 😉
Ich verwende Aliase, da ich als Programmierer im Alltag einige Befehle dutzende Male pro Tag ausführen muss.