Im Mai hatte ich zuletzt zum Thema automatische Updates für Linux Server geschrieben und einen zweiten Teil versprochen. Dieser kommt mit diesem Beitrag, wenn auch etwas verspätet. Wie sich Updates ohne manuelles zutun installieren lassen, wurde ja bereits geklärt. Doch was passiert, wenn ein solches Update schief geht? Natürlich lässt sich das nie vermeiden und im schlimmsten Fall, müsste der betroffene Server aus einem Backup wiederhergestellt werden.

Das ist aber kein Problem, denn wir haben ja alle geprüfte Backups. Richtig?

Dennoch möchte man als Administrator natürlich benachrichtigt werden, bevor die ersten Kunden, Partner oder Mitarbeiter sich mit dem entsprechenden Server verbinden wollen und feststellen, dass nichts funktioniert wie es eigentlich sollte.

Das Einrichten der E-Mail-Funktion ist eigentlich nicht recht aufwändig, allerdings gibt es viele Anleitungen die nicht den gewünschten Erfolg bringen. Diese ermöglichen zwar das Versenden von E-Mails über die Kommandozeile, ob das Programm unattended-upgrades dies dann aber auch kann, ist eine andere Frage.

Die einfachste und aus meiner Erfahrung bisher am stabilsten laufende Lösung ist über den Linux Mail-Client msmtp. Dieser lässt sich bequem über sudo apt install msmtp installieren und benötigt keine weiteren Pakete wie sendmail, heirloom-mailx oder s-nail, um zu funktionieren. Eine simple Konfigurationsdatei, ein bestehender E-Mail-Account und ein paar Symlinks reichen aus, um die ersten E-Mails zu versenden.

Um Probleme zu vermeiden, sollte sichergestellt werden, dass die Datei /etc/ssl/certs/ca-certificates.crt existiert. Falls nicht, muss das Programm ca-certificates über apt installiert werden.

Installation von msmtp

$ sudo apt install msmtp ca-certificates

$ sudo vi /etc/msmtprc
# Allgemeine Optionen
defaults
auth           on
tls            on
tls_trust_file /etc/ssl/certs/ca-certificates.crt
logfile        ~/.msmtp.log

# Konfiguration für benutzer@anbieter.com
account        unattendedupgrades
host           mail.anbieter.com
port           587
from           "Absender Name <benutzer@anbieter.com>"
user           benutzer@anbieter.com
password       SuperGeheimesStarkesPasswort

# Standard Account für E-Mails
account default : unattendedupgrades

Da die Datei ein Passwort im Klartext enthält, sind die folgenden Sicherheitsvorkehrungen empfehlenswert.

1. Es sollte ein eigener E-Mail-Account für diese Funktion verwendet werden.
2. Die Datei sollte dem Benutzer und der Gruppe root zugeordnet sein.
3. Nur der Besitzer (root) sollte die Datei lesen und darin schreiben dürfen

$ sudo chown root:root /etc/msmtprc
$ sudo chmod 600
$ ls -lah /etc/msmtprc
-rw------- 1 root root 436 Aug 31 19:25 /etc/msmtprc

Über die Option accounts lassen sich auch weitere Accounts hinzufügen, die sich über msmtp -a accountname auf der Kommandozeile angeben lassen. Das Programm unattended-upgrades verwendet jedoch immer den Standard-Account, da es in dessen Konfigurationsdatei keine Optionen für msmtp gibt.

Ob die E-Mails versendet werden können, lässt sich mit dem folgenden Befehl prüfen.

$ echo -e "Subject: Betreff kommt hier hin \n\n Nachricht kommt hier hin \n\n" |sudo mail empfaenger@mailserver.com

Dabei ist wichtig, dass E-Mails in diesem Setup nur mit sudo oder als root-Benutzer gesendet werden können, da die Konfigurationsdatei für msmtp nur mit root-Rechten lesbar ist. Persönliche Mail-Accounts können in eine zusätzlichen Konfigurationsdatei in ~/.msmtprc abgelegt werden. Diese wird dann aber nicht von unattende-upgrades verwendet.

Damit die E-Mails auch über sendmail versendet werden können, welches von unattended-upgrades bevorzugt verwendet wird, muss ein Symlink erstellt werden.

$ sudo ln -s /usr/bin/msmtp /usr/sbin/sendmail

E-Mail Tests

Mit dem Script uu-mailtest.py (siehe Code am Ende des Artikels) kann im Anschluss der Versand überprüft werden. Das Skript simuliert den Mail-Versand von unattended-upgrades.

$ sudo ./uu-mailtest.py
Sende E-Mail mit 'sendmail' Programm
E-Mail erfolgreich versendet.

Theoretisch könnte man den gleichen Symlink auch für das Program mail setzen, welches von unattended-upgrades alternativ verwendet wird. Dabei stößt man jedoch auf das Problem, dass hierfür ein Schalter verwendet wird, der von msmtp nicht unterstützt wird. Das lässt sich ebenfalls durch das Skript prüfen.

$ sudo ln -s /usr/bin/msmtp /usr/sbin/mail
$ sudo ./uu-mailtest.py
Sende E-Mail mit 'mail' Programm
/usr/bin/mail: invalid option -- 'r'
E-Mail konnte nicht versendet werden.

Da sendmail die erste Wahl ist, sollte mail jedoch keine Probleme machen, selbst wenn es installiert ist.

E-Mails nur bei Fehlern

Wenn sichergestellt wurde, dass unattended-upgrades auf allen Server Mails korrekt versendet, kann die Konfiguration angepasst werden, damit zukünftig Benachrichtigungen nur noch bei Fehlern zugestellt werden. Das vermindert die Anzahl an unnötigen Nachrichten im Posteingang und schont den Admin am Morgen.

$ sudo vi /etc/apt/apt.conf.d/50unattended-upgrades
...
// Legt fest, ob E-Mails bei jedem Update oder nur bei Fehlern verschickt werden sollen
Unattended-Upgrade::MailOnlyOnError "true";

Skript „uu-mailtest.py“

Im Skript müssen nur die beiden Variablen from_email und to_email entsprechend angepasst werden. Anschließend muss das Skript noch mit dem Befehl sudo chmod +x uu-mailtest.py ausführbar gemacht werden.

#!/usr/bin/python3

import os
import subprocess
import email.charset
import locale
from subprocess import (Popen,PIPE)
from email.message import Message

### DIESEN TEIL BITTE ANPASSEN ####
from_email = "absender@email.com"
to_email = "empfaenger@email.com"
###################################

# Variablen für Tests
MAIL_BINARY = "/usr/bin/mail"
SENDMAIL_BINARY = "/usr/sbin/sendmail"
subject = "Unattended-Upgrades Test Mail"
body = "Wenn diese E-Mail ankommt, funktioniert die E-Mail-Funktion auch für Unattended-Upgrades! :)"

# Funktion für das Versenden über /usr/bin/mail
def _send_mail_using_mailx(from_address, to_address, subject, body):
    encoded_body = body.encode(locale.getpreferredencoding(False), errors="replace")
    mail = subprocess.Popen(
        [MAIL_BINARY, "-r", from_address, "-s", subject, to_address],
        stdin=subprocess.PIPE, universal_newlines=False)
    mail.stdin.write(encoded_body)
    mail.stdin.close()
    ret = mail.wait()
    return ret

# Funktion für das Versenden über /usr/sbin/sendmail
def _send_mail_using_sendmail(from_address, to_address, subject, body):
    msg = Message()
    msg['Subject'] = subject
    msg['From'] = from_address
    msg['To'] = to_address
    msg['Auto-Submitted'] = "auto-generated"
    charset = email.charset.Charset("utf-8")
    charset.body_encoding = email.charset.QP  # type: ignore
    msg.set_payload(body, charset)
    sendmail = subprocess.Popen(
        [SENDMAIL_BINARY, "-oi", "-t"],
        stdin=subprocess.PIPE, universal_newlines=True)
    sendmail.stdin.write(msg.as_string())
    sendmail.stdin.close()
    ret = sendmail.wait()
    return ret

# Versendet die Test E-Mail über '/usr/sbin/sendmail' oder '/usr/bin/mail'
if os.path.exists(SENDMAIL_BINARY):
    print("Sende E-Mail mit 'sendmail' Programm")
    ret = _send_mail_using_sendmail(from_email, to_email, subject, body)
elif os.path.exists(MAIL_BINARY):
    print("Sende E-Mail mit 'mail' Programm")
    ret = _send_mail_using_mailx(from_email, to_email, subject, body)

# Ausgabe je nach Ergebnis
if ret == 0:
    print("E-Mail erfolgreich versand.")
else:
    print("E-Mail konnte nicht versendet werden.")

Der Beitrag Info-Mails für Unattended-Upgrades erschien zuerst auf LastBreach.

Wer mit Linux Servern arbeitet, dem ist iptables mit hoher Wahrscheinlichkeit ein Begriff. Die auf vielen Distributionen standardmäßig installierte Firewall wird jedoch mehr und mehr durch nftables ersetzt. Es gibt viele Gründe, die für nftables sprechen, genug, dass es für einen eigenen Beitrag reicht. In diesem Artikel möchte ich jedoch zeigen, wie das Logging unter NFTables in Kooperation rsyslog funktioniert. Denn wer eine neue Firewall im Blindflug einrichtet, macht sich selbst das Leben unnötig schwer.

NFTables Logging In der Grundeinstellung schreibt nftables überhaupt keine Logs. Wie auch bei iptables bereits, werden Logs über Regeln in der Konfiguration hinterlegt. Ich verwende dafür übrigens eine nftables Konfig-Datei, die mit sudo nft -f /pfad/zur/datei eingespielt wird. Im Vergleich dazu setzen viele aus Gewohnheit noch auf Skripte, welche die Regeln nacheinander durch entsprechende Befehle hinzufügen. Das ist jedoch mit nftables nicht mehr notwendig.

Das Grundgerüst meiner Konfiguration sieht folgendermaßen aus.

$ cat /etc/nftables.conf
# Regeln für IPV4
table ip filter {
        # Regeln für eingehenden Traffic
        chain input {
                # Eigentliche Regeln kommen hier hin
                # - entfernt -

                # Standard Richtlinie (Accept / Drop)                
                policy drop;
        }
        # Regeln für eingehenden Forwarding
        chain forward {
                # Eigentliche Regeln kommen hier hin
                # - entfernt -

                # Standard Richtlinie (Accept / Drop)
                policy drop;
        }
        # Regeln für ausgehenden Traffic
        chain output {
                # Eigentliche Regeln kommen hier hin
                # - entfernt -

                # Standard Richtlinie (Accept / Drop)
                policy drop;
        }
}
...

Sie eigentlichen Accept-Regeln wurden entfernt, da diese für den Artikel nicht relevant sind. Die Standard-Richtlinie für alle Bereiche ist DROP. Um Logging zu aktivieren, kann an eine beliebige Regel das Schlüsselwort log hinzugefügt werden. Da ich jedoch alles verbiete und nur bestimmte Protokolle explizit erlaube, ist es für mich interessanter zu sehen, was alles geblockt wird. Statt die einzelnen Regeln mit dem Schlüsselwort zu versehen, soll es deshalb der Richtlinie hinzugefügt werden. Das geht direkt im Anschluss zur jeweiligen Policy.

$ cat /etc/nftables.conf
# Regeln für IPV4
table ip filter {
        # Regeln für eingehenden Traffic
        chain input {
                # Eigentliche Regeln kommen hier hin
                # - entfernt -

                # Standard Richtlinie (Accept / Drop)                
                policy drop;
                # Aktiviert Logging für alle eingehenden Pakete die verworfen wurden.
                log;
        }
        ...

Soweit so gut, allerdings laufen diese Logeinträge direkt nach /var/log/syslog und das ohne Anmerkung, worum es sich bei dem Eintrag eigentlich handelt.

Jun 22 13:35:19 hostname kernel: [6647383.426215] IN=eth0 OUT= MAC=aa:bb:cc:dd:ee:ff:00:11:22:33:44:55:66:00 SRC=192.168.0.2 DST=127.0.0.1 LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=2415 DF PROTO=TCP SPT=53000 DPT=445 WINDOW=8192 RES=0x00 SYN URGP=0

Es wäre doch viel schöner, wenn der Logeintrag noch die entsprechende Regel beinhalten würde. Das lässt sich in nftables über die Option prefix regeln.

                # Standard Richtlinie (Accept / Drop)                
                policy drop;
                # Aktiviert Logging für alle eingehenden Pakete die verworfen wurden.
                log prefix "nft.ip4dropinput ";

Das Prefix wird zu allen geloggten Einträge hinzugefügt.

Jun 22 13:35:19 hostname kernel: [6647383.426215] nft.ip4dropinput IN=eth0 OUT= MAC=aa:bb:cc:dd:ee:ff:00:11:22:33:44:55:66:00 SRC=192.168.0.2 DST=127.0.0.1 LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=2415 DF PROTO=TCP SPT=53000 DPT=445 WINDOW=8192 RES=0x00 SYN URGP=0

RSyslog

Jetzt wissen wir zwar, um welche Regel es sich bei dem Eintrag handelt, allerdings müllt nftables immer noch die Syslog-Datei zu. Mit rsyslog lässt sich das aber bequem beheben.

$ sudo vi /etc/rsyslog.d/nftables.conf
:msg,regex,"nft.ip4dropinput"           -/var/log/nftables/ip4-input.log

Nach einen Neustart des rsyslog-Dienstes laufen alle Meldungen von nftables mit dem Prefix „nft.ip4dropinput“ jetzt in ihre eigene Datei im Verzeichnis /var/log/nftables/. Das Gleiche lässt sich für die anderen Chains genauso umsetzen. Damit laufen alle Meldungen in die entsprechenden Logfiles und können leichter untersucht werden. Außerdem bleibt die Syslog-Datei den eigentlichen Systemmeldungen vorbehalten.

$ ls -lah /var/log/nftables/
total 208
-rw-r----- 1 root adm    263 Jun 22 13:41 ip4-forward.log
-rw-r----- 1 root adm 200455 Jun 22 13:41 ip4-input.log
-rw-r----- 1 root adm   1221 Jun 22 13:41 ip6-input.log

Logrotate

Damit unsere Festplatte mit all den neuen Meldungen nicht voll läuft, sollte zusätzlich noch eine Logrotate Regel eingerichtet werden.

$ sudo vi /etc/logrotate.d/nftables
/var/log/nftables/*
{
        rotate 5
        daily
        maxsize 50M
        missingok
        notifempty
        delaycompress
        compress
        postrotate
                invoke-rc.d rsyslog rotate > /dev/null
        endscript
}

Der Beitrag Firewall Regeln mit NFTables und RSyslog loggen erschien zuerst auf LastBreach.

Updates sind enorm wichtig für die Sicherheit von Servern, Anwendungen und natürlich Netzwerken. Im besten Fall bringt ein Softwarehersteller umgehend nach der Entdeckung einer Schwachstellen ein Update heraus, dass die besagte Sicherheitslücke schließt und somit Angriffe verhindert. Das funktioniert leider nur, solange diese Updates auch installiert werden. Ein Großteil der Schwachstellen, die wir in Penetrationstests entdecken sind keine neuen Sicherheitslücken, sondern alte Bekannte, denen wir immer wieder über den Weg laufen.

Im heutigen Beitrag möchte ich daher unattended-upgrades vorstellen, ein Programm, das Administratoren von Linux Servern dabei hilft, auf dem aktuellen Softwarestand zu bleiben. Da unattended-upgrades auf dem Paketmanager apt aufbaut, richtet sich dieser Beitrag an Administratoren von Debian- oder Ubuntu-basierten Derivaten. SUSE, RedHat und CentOS haben für diesen Zweck ihre eigenen Lösungen, beispielsweise Yast2 Online Update und Yum-Cron.

Die Installation erfolgt kurz und schmerzlos über apt install unattended-upgrades apt-listchanges. Anschließend muss lediglich konfiguriert werden, welche Updates installiert werden sollen und zu welchem Zeitpunkt.

Als Erstes muss unattended-upgrades und das regelmäßige Aktualisieren der Paketlisten (apt update) aktiviert werden.

$ sudo vi /etc/apt/apt.conf.d/10periodic 
APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";

Anschließend können die bevorzugten Einstellungen festgelegt werden.

$ sudo vi /etc/apt/apt.conf.d/50unattended-upgrades
// Legt fest, aus welchen Repositories Updates installiert werden sollen (z.B. ubuntu/xenial und ubuntu/xenial-security)
Unattended-Upgrade::Allowed-Origins {
        "${distro_id}:${distro_codename}";
        "${distro_id}:${distro_codename}-security";
//      "${distro_id}:${distro_codename}-updates";
//      "${distro_id}:${distro_codename}-proposed";
//      "${distro_id}:${distro_codename}-backports";
};

// Liste an Paketen, die auf keinen Fall aktualisiert werden sollen. Unterstützt Regex-Angaben (z.B. "libc.*")
Unattended-Upgrade::Package-Blacklist {
//      "libc6";
};

// Gibt an, ob nach den Updates automatische Reboots durchgeführt werden sollen (wenn nötig, z.B. für Kernel-Updates) und zu welchem Zeitpunkt.
Unattended-Upgrade::Automatic-Reboot "true";
Unattended-Upgrade::Automatic-Reboot-Time "06:00";

// Gibt an, ob Updates in kleinen Schritten installiert werden sollen. Vorteilhaft, wenn das Update abgebrochen werden muss oder schiefgeht.
Unattended-Upgrade::MinimalSteps "true";

// Gibt an, ob unnötige Pakete nach den Updates entfernt werden sollen (apt-get autoremove)
Unattended-Upgrade::Remove-Unused-Dependencies "true";

Es sind noch weitere Optionen verfügbar. Beispielsweise können Updates nur beim Herunterfahren des Rechners installiert oder die Downloadgeschwindigkeit für Updates gedrosselt werden. Mehr dazu gibt es im Debian Wiki Eintrag dazu zu finden.

Testen lässt sich das Ganze mit dem Befehl sudo unattended-upgrade -v -d, bzw. sudo unattended-upgrade -v -d --dry-run.

Monitoring – Benachrichtigungen via E-Mail

Natürlich kann es passieren, dass bei Updates mal ein Fehler auftritt. Aus diesem Grund sollte eine Reporting-Funktion eingerichtet werden. Wer seine Server mit einem Monitoring-Programm wie z.B. Icinga2 oder Nagios verwaltet, kann dies über das apt-Plugin prüfen, ob alle Updates installiert wurden. Falls nicht, lässt sich über die Logs in /var/log/apt/ und /var/log/unattended-upgrades/ prüfen was schiefgegangen ist.

Alternativ kann unattended-upgrades auch E-Mails an den Administrator verschicken.

$ sudo vi /etc/apt/apt.conf.d/50unattended-upgrades
...
// E-Mail-Adressen für Update-Berichte, benötigt das Programm 'mailx'.
Unattended-Upgrade::Mail "vedi.vini.pwny@lastbreach.com";

// Legt fest, ob E-Mails bei jedem Update oder nur bei Fehlern verschickt werden sollen
Unattended-Upgrade::MailOnlyOnError "true";

Für die E-Mails ist jedoch erforderlich, dass das System auch Mails verschicken kann. Wie das geht, zeige ich im nächsten Beitrag.

Der Beitrag Automatische Updates für Linux Server erschien zuerst auf LastBreach.

TL;DR – Eine Zusammenfassung für Linux Profis gibt es am Ende des Beitrags.

Spiderfoot ist ein Open-Source Programm um OSINT Reconnaissance, also das Suchen nach öffentlich verfügbaren Informationen zu einem Ziel, durchzuführen. Das Programm durchsucht dabei automatisch verschiedene öffentliche Quellen nach einem Stichwort, beispielsweise der Domäne einer Firma (firma.com), einer E-Mail-Adresse oder IPs, um möglichst viele Daten aufzudecken und stellt diese in Tabellen und Graphen zur manuellen Auswertung bereit.

Der Nutzen, den das Programm für Penetrationstester bietet sollte offensichtlich sein. Zu Wissen, welche Informationen über das Unternehmen bekannt sind, kann aber auch für Administratoren und Sicherheitsbeauftragten hilfreich sein.

Übersicht der Ergebnisse in Spiderfoot

Darstellung der Abhängigkeiten von entdeckten Informationen

In diesem Beitrag zeige ich, wie Spiderfoot unter Kubuntu 18.04 installiert wird, andere aktuelle Ubuntu-Derivate sollten davon aber nicht sonderlich abweichen.

Voraussetzungen

Der eigentliche Teil des Setups ist die Installation der Pakete, die Spiderfoot als Abhängigkeiten hat. Diese lassen sich mit den folgenden Befehlen installieren. Die Download-URL sollte durch die aktuelle Version von der Download Seite ersetzt werden.

# Installation der Python2 Pakete (Spiderfoot unterstützt Python3 aktuell noch nicht!)
sudo apt install python python-pip virtualenv

# Download des Spiderfoot Source Codes (URL ersetzen)
wget https://www.spiderfoot.net/files/spiderfoot-2.12.0-src.tar.gz

# Anschließend das Archiv entpacken und in den neuen Ordner wechseln
tar xzfv spiderfoot-*.tar.gz
cd spiderfoot-VERSION

Wer sein System nicht mit unnötigen Paketen belasten möchte, sollte die weiteren Abhängigkeiten in einer virtuellen Umgebung (virtual environment) für Spiderfoot installieren. Dadurch lassen sich die Pakete zusammen mit dem Spiderfoot-Ordner einfach löschen, wenn das Programm nicht mehr benötigt wird.

# Erstellen der virtuellen Umgebung (in dem Ordner, in dem wir uns gerade befinden)
virtualenv env
... ENTER

# Aktivieren der virtuellen Umgebung
source env/bin/activate

# Installation der Abhängigkeiten in der virtuellen Umgebung
./env/bin/pip2 install lxml netaddr cherrypy mako requests bs4 m2crypto

Alternativ können die Pakete natürlich auch systemweit installiert werden.

# Installation der Abhängigkeiten (systemweit)
/usr/bin/pip2 install lxml netaddr cherrypy mako requests bs4 m2crypto

Virtual Env aktivieren / deaktivieren

Wer die Installation mit virtualenv durchgeführt hat, muss vor dem Start des Programms sicherstellen, dass die virtuelle Umgebung aktiviert ist. Eine aktivierte Umgebung wird in der Bash vor dem Benutzernamen und Host angezeigt.

(env) user@hostname:~/spiderfoot-2.12$

Aktiviert wird die Umgebung erneut über den folgenden Befehl.

# Funktioniert nur in dem Ordner, in dem das virtuelle Environment angelegt wurde
cd ~/Downloads/spiderfoot-VERSION/
source ./env/bin/activate

Mit dem Befehl deactivate oder durch das Schließen der Bash-Session (exit, bzw. Konsole beenden) kann die Umgebung wieder deaktiviert werden.

Spiderfoot Server starten / stoppen

Gestartet wird Spiderfoot entweder mit

./env/bin/python ./sf.py

oder bei systemweiter installation mit diesem Befehl.

/usr/bin/python ./sf.py

Nach dem Start gibt Spiderfoot die URL an, unter welcher das Programm aufgerufen werden kann.

(env) fmohr@fmohr-BU201:~/spiderfoot-2.12$ ./env/bin/python sf.py
Starting web server at http://127.0.0.1:5001 ...

*************************************************************
 Use SpiderFoot by starting your web browser of choice and
 browse to http://127.0.0.1:5001
*************************************************************

[18/May/2019:10:42:14] ENGINE Listening for SIGHUP.
[18/May/2019:10:42:14] ENGINE Listening for SIGTERM.
[18/May/2019:10:42:14] ENGINE Listening for SIGUSR1.
[18/May/2019:10:42:14] ENGINE Bus STARTING
[18/May/2019:10:42:14] ENGINE Serving on http://127.0.0.1:5001

Beendet wird es in der Konsole einfach mit [Strg]+[c].

^C
[18/May/2019:10:42:28] ENGINE Keyboard Interrupt: shutting down bus
[18/May/2019:10:42:28] ENGINE Bus STOPPING
[18/May/2019:10:42:28] ENGINE HTTP Server cherrypy._cpwsgi_server.CPWSGIServer(('127.0.0.1', 5001)) shut down
[18/May/2019:10:42:28] ENGINE Bus STOPPED
[18/May/2019:10:42:28] ENGINE Bus EXITING
[18/May/2019:10:42:28] ENGINE Bus EXITED
[18/May/2019:10:42:28] ENGINE Waiting for child threads to terminate...

TL;DR

Für alle die sich mit Linux auskennen und keine genaue Anleitung benötigen, bzw. einfach nur die Befehle kopieren wollen (erhobener Finger böse!).

# Installation der Python2 Pakete (Spiderfoot unterstützt Python3 aktuell noch nicht!)
sudo apt install python python-pip python-virtualenv

# Download des Spiderfoot Source Codes (Ggf. URL ersetzen)
wget https://www.spiderfoot.net/files/spiderfoot-2.12.0-src.tar.gz

# Anschließend das Archiv entpacken und in den neuen Ordner wechseln
tar xzfv spiderfoot-*.tar.gz
cd spiderfoot-VERSION

virtualenv env
... ENTER

# Aktivieren der virtuellen Umgebung
source env/bin/activate

# Installation der Abhängigkeiten in der virtuellen Umgebung
./env/bin/pip2 install lxml netaddr cherrypy mako requests bs4 m2crypto

# Spiderfoot starten (env muss aktiviert sein!)
./env/bin/python sf.py

# Spiderfoot stoppen
[Strg]+[c]

Offizielle Spiderfoot Dokumentation

Der Beitrag OSINT Recon Programm Spiderfoot installieren (Linux) erschien zuerst auf LastBreach.

Im Video letzte Woche zeigten wir, wie die kleine USB-Platine „DigiSpark“ in der Arduino IDE programmiert werden kann. Das kleine Gerät ist äußerst günstig und eignet sich als etwas weniger komfortable Alternative zu professionellen Lösungen wie dem Malduino oder dem RubberDucky. Darüber hinaus kann es auch dazu verwendet werden, um Mitarbeitern in einer Sicherheitsschulung live zu zeigen, warum man unbekannte USB-Sticks nicht einfach anstecken soll.

Da im Video die Installation übersprungen wurde, möchte ich den Ablauf in diesem Beitrag noch anhand von Kubuntu 18.04 zeigen. Wer jedoch Windows verwendet, kann die Arduino IDE und die DigiSpark Treiber für Windows installieren und der Anleitung hier dennoch folgen.

Unter Ubuntu kann die IDE zwar ganz bequem über den Befehl sudo apt install arduino installiert werden, dabei handelt es sich jedoch um eine stark veraltete Version.

Besser ist es, die IDE über Ubuntu umake oder manuell über das tar.gz Archiv von der Webseite zu installieren.

# Befehle
sudo apt install ubuntu-make
sudo umake ide arduino
sudo ln -s /home/USERNAME/.local/share/umake/ide/arduino/arduino /usr/bin/

Achtung: da Arduino nicht über apt installiert wurde, wird es auch nicht durch System-Updates aktualisiert. Um die IDE zu aktualisieren, muss der umake-Befehl erneut ausgeführt werden.

Nach der Installation kann die IDE über die Konsole oder den Launcher ([Alt]+[F2], bzw. [Alt]+[Leer]) mit arduino gestartet werden. Beim ersten Start begrüßt uns das Programm unter Linux mit der folgenden Meldung.

Die benötigten Gruppenmitgliedschaft können wir einfach hinzufügen, benötigen dafür aber unser Sudo-Kennwort.

Nach wenigen Schritten startet ist die IDE einsatzbereit und zeigt das Standard-Dokument.

Für die Verwendung mit DigiSpark sind jedoch noch ein paar weitere Schritte notwendig. Dafür müssen die Einstellungen unter Datei (File) -> Einstellungen (Preferences) angepasst werden.

Als erstes stelle ich die Sprache der IDE auf Deutsch um, lege fest, wo meine Sketches (Skripte) abgelegt werden und füge die Board-Manager-URL für DigiSpark hinzu. Der letzte Schritt ist notwendig, damit wir das benötigte DigiSpark-Board installieren können, welche Arduino braucht, um mit dem DigiSpark kommunizieren zu können.

Wer verschiedene Board-Manager-URLs hat, kann diese über den Button rechts neben der URL-Zeile verwalten.

Für das DigiSpark muss der folgende Board-Manager hinzugefügt werden.

http://digistump.com/package_digistump_index.json

Als nächstes muss das DigiSpark-AVR-Board installiert werden. Dazu rufen wir den Board-Manager über Werkzeuge (Tools) -> Board:... -> Boardverwalter (Board Manager) auf.

Im Boardverwalter kann über die Suchfunktion nach dem Stichwort Digi gefiltert werden. Dort sollte DigiSpark AVR Boards auftauchen, welches installiert werden muss.

Nach der Installation ist alles bereit, um das DigiSpark Board auszuwählen und mit dem Programmieren anzufangen.

Ein Code-Beispiel von der offiziellen Wiki-Seite ist das folgende Skript, welches eine LED des DigiSparks in regelmäßigen Abständen blinken lässt. Weitere Beispiele sind unter Datei -> Beispiele zu finden.

// the setup routine runs once when you press reset:
void setup() {                
  // initialize the digital pin as an output.
  pinMode(0, OUTPUT); //LED on Model B
  pinMode(1, OUTPUT); //LED on Model A   
}

// the loop routine runs over and over again forever:
void loop() {
  digitalWrite(0, HIGH);   // turn the LED on (HIGH is the voltage level)
  digitalWrite(1, HIGH);
  delay(1000);               // wait for a second
  digitalWrite(0, LOW);    // turn the LED off by making the voltage LOW
  digitalWrite(1, LOW); 
  delay(1000);               // wait for a second
}

Das Script muss lediglich in der IDE geöffnet und über den Upload Button (→) auf das DigiSpark geladen werden. In der Konsole wird angezeigt, zu welchem Zeitpunkt das DigiSpark am Rechner angesteckt werden muss.

Mehr zur Nutzung von DigiSpark und der Arduino IDE gibts im Video von letzter Woche zu sehen.

Der Beitrag DigiSpark programmieren in (K)Ubuntu 18.04 erschien zuerst auf LastBreach.

Im April haben wir auf unserem Youtube Channel zwei Videos zu Veracrypt veröffentlicht. Darin wird gezeigt, wie mit Veracrypt sowohl gesammte Partitionen oder Festplatten, als auch Teilbereiche einer Festplatte als so genannte Container verschlüsselt werden können.

In diesem Beitrag möchte ich nochmal eine kurze Übersicht geben, wie Daten mit Veracrypt verschlüsselt werden können.

Veracrypt unter Windows

Unter Windows lässt sich Veracrypt einfach über den Installer installieren. Diesen gibt auf Veracrypt.fr zum Download.

Im Gegensatz zur Linux-Variante, bietet Veracrypt unter Windows zusätzlich zur Festplatten- und Containerverschlüsselung auch die Option, die Boot-Partition zu sichern. Damit bietet es sich als Alternative zu Microsofts Bitlocker an, wenn auch mit weniger Management-Funktionen für Enterprise-Umgebungen.

Mehr zur Verwendung von Veracrypt unter Windows wird im ersten Video erklärt. Darin wird eine verschlüsselte Partition unter Windows angelegt, die auch unter Linux und Mac OSX entschlüsselt und verwendet werden kann.

Veracrypt unter Linux

Die Installation unter Linux ist ein klein wenig Aufwändiger, da die Veracrypt Pakete in der Regel nicht Teil der Standard-Repositories sind. Dies lässt sich jedoch leicht beheben, da es bereits ein Launchpad-Repo mit der aktuellen Version gibt.

sudo apt-add-repository ppa:unit193/encryption
sudo apt update
sudo apt install veracrypt

Nach der Installation lässt sich Veracrypt unter Linux ebenso verwenden, wie unter Windows. Einzig die Verschlüsselung der Boot-Partition steht nicht zur Verfügung. Gelegentlich sieht ein Fenster ein wenig anders aus, die darin enthaltene Funktion ist jedoch die selbe.

Die unter Windows erstellte, verschlüsselte Partition kann unter Linux auf die gleiche Art über Veracrypt eingebunden werden. Der einzige Unterschied ist, dass die Partition keinem Laufwerksbuchstaben zugewiesen, sondern, wie unter Linux üblich an Mount-Pfad eingebunden wird.

Veracrypt unterstützt neben der Verschlüsselunge ganzer Festplatten auch sichere Container, die als geschützter Bereich auf einem Speichermedium genutzt werden können. Dabei ist jedoch zu beachten, dass Container keine Sparse-Dateien sind, Das bedeutet, dass der Speicherplatz, der einem Container zugewiesen wird, sofort auf der Festplatte als Verbraucht gilt. Die Größe des Containers kann zwar erweitert werden, ist aber nicht komplett dynamisch. Daher sollte man sich ein paar Gedanken machen, bevor eine Containerdatei angelegt wird.

Eine genaue Anleitung für Linux Nutzer gibt es im zweiten Video zu Veracrypt.

Nichts für die Cloud

Wer seine Daten verschlüsseln und anschließend in der Cloud ablegen möchte, sollte sich nach einer anderen Lösung umsehen. Da Veracrypt Daten nicht einzeln verschlüsselt im Dateisystem ablegt, sondern ein verschlüsseltes Dateisystem für die sichere Ablage von Daten anbietet, ist ein Sync einzelner Dateien in die Cloud nicht möglich. Somit müsste die gesamte verschlüsselte Partition oder der ganze Container bei jeder Änderung komplett neu hochgeladen werden.

Der Beitrag Daten- und Festplattenverschlüsselung mit Veracrypt erschien zuerst auf LastBreach.

Content-Security-Policy ist ein HTTP-Security-Header, welcher das Ausnutzen von Cross-Site-Scripting (XSS) in Webseiten durch das Definieren von sicheren Javascript-Quellen unterbinden soll. Indem ein Webseitenbetreiber festlegt welche JS-Code-Segmente und Scripte ausgeführt werden dürfen, können Browser automatisch über XSS-Lücken eingeschleusten Code blocken.

In diesem Blogpost möchte ich jedoch nicht auf die Implementierung von CSP eingehen, sondern speziell die Report-Funktion ansprechen. Neben dem Blocken von nicht freigegebenen Ressourcen (JS, CSS, etc.) kann der Browser jegliche Verstöße gegen die definierten Richtlinien auch sofort an den Webseitenbetreiber berichten. Dafür muss in der CSP jedoch angegeben werden, wo diese Berichte hingehen sollen.

Die erste von zwei Möglichkeiten und aktuell noch die empfohlene Methode ist über die report-uri Option innerhalb der Richtlinie.

# Beispiel einer CSP mit Report-URI in Apache2
Header set "Content-Security-Policy default-src 'self'; style-src fonts.googleapis.com 'self'; report-uri /csp.php;"

Diese Policy erlaubt sämtliche Datei-basierte Ressourcen vom eigenen Server (self), sowie Style-Ressourcen die von der Domäne fonts.googleapis.com geladen werden. Inline-Scripte (z.B. <script>code</script>), Inline-Styles (z.B. style="css-code") und Ressourcen von anderen Seiten werden geblockt. Wenn eine Anfrage oder eine Inline-Ressource geblockt wird, sendet der Browser einen Violation-Report (Bericht zum Verstoß gegen die Richtlinie) an die URL /csp.php, im Fall von LastBreach also https://www.lastbreach.de/csp.php.

Die zweite Methode verwendet die CSP-Option report-to, sowie den zusätzlichen Header Report-to und soll report-uri in Zukunft ersetzen. Der größte Vorteil von report-to ist das Bündeln von Berichten, sodass der Browser nicht jeden Verstoß einzeln übermitteln muss, aktuell wird sie jedoch noch von fast keinem Browser unterstützt.

Header set Report-To "{ 'group': 'lbcsp', 'max-age': 10886400, 'endpoints': [{ 'url': '/csp.php' }] }"
Header set "Content-Security-Policy default-src 'self'; style-src fonts.googleapis.com 'self'; report-to: lbcsp;"

Die Übergangsphase ist aber dennoch unproblematisch, da Browser ohne Unterstützung für report-to diese Option vorerst einfach ignorieren. Somit kann eine kombinierte Lösung genutzt werden, bis report-uri komplett abgelöst wird.

Header set Report-To "{ 'group': 'lbcsp', 'max-age': 10886400, 'endpoints': [{ 'url': '/csp.php' }] }"
Header set "Content-Security-Policy default-src 'self'; style-src fonts.googleapis.com 'self'; report-uri /csp.php; report-to: lbcsp;"

Das führt bei Firefox beispielsweise zu einer Warnung in der Browser-Konsole, dass report-to nicht unterstützt wird. Weiter passiert jedoch nichts.

Der vom Browser gesendete Violation-Report sieht wie folgt aus und kann entweder direkt in eine Logdatei geschrieben oder an einen Log-Server weitergeleitet werden.

May 11 20:10:12 web01 cspreport: {
    "csp-report":{
        "blocked-uri":"self",
        "document-uri":"https://www.lastbreach.de/services/penetrationtest-netzwerksicherheit-testen",
        "original-policy":"default-src https://www.lastbreach.de; font-src https://fonts.gstatic.com https://www.lastbreach.com data:; report-uri https://www.lastbreach.com/csp.php",
        "referrer":"https://www.google.com/",
        "script-sample":"call to eval() or related function blocked by CSP",
        "violated-directive":"script-src"
    }
}

Das oben verwendete PHP-Script ist äußerst einfach gehalten und leitet die Berichte an den lokalen Syslog-Dienst weiter, wo die Logdaten entsprechend verarbeitet werden können.

Alternativ können aber auch externe Dienste wie Report-URI verwendet werden, welche unter anderem auch eine grafische Aufbereitung der Daten bieten. Wer nicht bereits ein eigenes Programm zur Analyse von Logdaten betreibt, kann dies als Lösung in Erwägung ziehen.

Die Filterfunktionen in vielen grafischen Loganalyse-Tools erlauben das aussortieren von unwichtigen Informationen. Zusammen mit der grafische Auswertung der Daten kann die CSP-Report-Funktion bei der Implementierung und Optimierung der Policy helfen und später zum Erkennen von Angriffen und Schwachstellen dienen.

Unabhängig vom verwendeten Programm ist eine Analyse oder grafische Aufbereitung der Logdaten in jedem Fall zu empfehlen, da es nahezu unmöglich ist, eine sichere CSP-Richtlinie zu haben und selbst durch normale Besucher keine Verstöße in den Logs zu verzeichnen. Das liegt vor allem daran, dass viele Browser-Addons Javascript-Code in Webseiten einfügen, um funktionieren zu können. Da dieser Code jedoch von einer nicht freigegenen Quelle stammt und ein Webseitenbetreiber keine Ahnung hat, welche Addons die Besucher der Webseite einsetzen, werden diese eingefügten Code-Segmente vom Browser des Besuchers geblockt und berichtet.

# Beispiel einer CSP-Violation die durch das LastPass-Plugin in Firefox erzeugt wird (script-sample: ;undefined)
May 14 10:14:52 web01 cspreport: {
    "csp-report":{
        "blocked-uri":"self",
        "document-uri":"https://www.lastbreach.de/",
        "referrer":"",
        "script-sample":";undefined",
        "source-file":"https://www.lastbreach.de/",
        "violated-directive":"script-src"
    }
}

Man kann daher nicht davon ausgehen, dass jeder Bericht im Log gleich einem Angriff entspricht. Dennoch bietet das Log bei ausreichender Analyse die Möglichkeit, Fehler in der Policy, aber auch XSS-Schwachstellen aufzudecken und diese entsprechend zu beheben.

Der Beitrag Content-Security-Policy Reporting mit Syslog erschien zuerst auf LastBreach.

Damit die Logeinträge durch rSyslog anonymisiert werden können, muss Apache diese erst zum Logdienst schicken. Das Standardverhalten von Apache ist jedoch, die Logs direkt in die jeweiligen Dateien zu schreiben.

Über die ErrorLog und CustomLog-Direktiven können Apache-Logs zu rSyslog umgeleitet werden. Da Apaches Konfigurationsdatei apache2.conf von Updates überschrieben werden könnte, sind die Änderungen in der Datei /etc/apache2/conf-enabled/other-vhosts-access-log.conf besser aufgehoben.

$ sudo vi /etc/apache2/conf-enabled/other-vhosts-access-log.conf 
#CustomLog ${APACHE_LOG_DIR}/other_vhosts_access.log vhost_combined

ErrorLog "||/usr/bin/logger -t a2error -i -p local5.error"
CustomLog "||/usr/bin/logger -t a2access -i -p local5.notice" vhost_combined

Der alte CustomLog-Eintrag kann auskommentiert und durch den neuen Eintrag ersetzt werden. Zusätzlich werden ErrorLogs ebenfalls gleich umgeleitet.

Da vHosts in Apache eigene Logangaben machen können, sollten die Konfigurationsdateien in /etc/apache2/sites-enabled/ überprüft und gegebenfalls angepasst werden. Hier kann auch zwischen zu anonymisierenden und normalen Access-Logs unterschieden werden, beispielsweise wenn die Logs für rein interne Seiten nicht angepasst werden sollen.

$ sudo vi /etc/apache2/sites-enabled/000-default.conf
<VirtualHost *:80>
    ServerName www.example.com

    ServerAdmin webmaster@localhost
    DocumentRoot /var/www/html

    #ErrorLog ${APACHE_LOG_DIR}/error.log
    #CustomLog ${APACHE_LOG_DIR}/access.log combined
    CustomLog "||/usr/bin/logger -t a2access_anon -i -p local5.notice" combined
</VirtualHost

Durch die Angabe von -t a2access_anon kann rSyslog untertscheiden, welche Access-Logs anonymisiert werden sollen. Diese Regeln müssen jedoch erst definiert werden.

$ sudo vi /etc/rsyslog.d/01-apache-logs.conf
# Filter apache2 log entries by syslogtag and write to specified file.
:syslogtag, contains, "a2error" {
    *.*     /var/log/apache2/error.log
    stop
}

:syslogtag, contains, "a2access_anon" {
    # Anonymize stream and write the result to the specified logfile
    *.*     action(type="mmanon") /var/log/apache2/access_anon.log
    stop
}

:syslogtag, contains, "a2access" {
    *.*     /var/log/apache2/access.log
    stop
}

Nach einem Restart von Apache2 und rSyslog, sollten die Logeinträge jetzt entsprechend den definierten Regeln in einer der drei Dateien landen.

sudo service rsyslog restart
sudo service apache2 restart

tail /var/log/apache2/access_anon.log
May 12 10:55:39 host a2access_anon[20906]: www.lastbreach.de:443 87.123.0.0 - - [12/May/2018:10:55:38 +0200] "GET / HTTP/1.1" 200 16656 "-" "Mozilla/5.0 ..."

Das rSyslog-Modul mmanon kürzt in den Default-Einstellungen die letzten beiden Stellen einer IPv4-Adresse, wie in dem Logeintrag oben zu sehen ist. Genauere Einstellungen zu IPv4 und IPv6 sind in der offiziellen Dokumentation zu finden.

Der Beitrag Anonymisierung von IP-Adressen mit Rsyslog erschien zuerst auf LastBreach.

Was sind eigentlich Penetrationstests?

Sicherheitstests für IT-Systeme und Netzwerke gibt es unterschiedliche, am bekanntesten ist wohl jedoch der Penetrationstest oder kurz Pentest. Der Begriff entstammt dem Militär und bezieht sich auf simulierte Angriffe, deren Ziel die Penetration der feindlichen Verteidigung ist. Für ein Unternehmen, das einen Penetrationstest in Auftrag gibt, bedeutet das, dass die beauftragte Sicherheitsfirma versuchen soll die digitalen Barrieren und Schutzmaßnahmen des Ziels zu durchbrechen oder zu umgehen und sich Zugang zu den internen Systemen und Daten des Unternehmens zu verschaffen. Selbstverständlich muss dies innerhalb eines rechtlich abgesicherten Vertrags stattfinden, damit beide Seiten vor Schäden geschützt sind. Auf der einen Seite sichern sich Unternehmen damit ab, dass exfiltrierte Daten und gefundene Schwachstellen unter Verschluss bleiben und nicht für weitere Zwecke genutzt werden dürfen. Gleichzeitig ist es für die testende Sicherheitsfirma wichtig, eine schriftliche Erlaubnis vorweisen zu können, da ein Testen ohne dieser ein krimineller Akt wäre. Grundsätzlich dürfen Sicherheitstests ausschließlich mit der Genehmigung des Besitzers des zu testenden Objekts durchgeführt werden.

Wie unterscheidet sich ein Pentest von anderen Sicherheitstests?

Neben Pentests gibt es noch andere Wege, um die Sicherheit einer Infrastruktur zu überprüfen. Darunter fallen automatisierte Schwachstellenscans, manuelle Schwachstellenanalysen und interne Sicherheits- und Compliance-Audits. Schwachstellenscans bieten einen schnellen Überblick über den Sicherheitsstatus eines Zielsystems und sind vergleichsweise gering im Aufwand und daher in der Regel günstiger als andere Sicherheitstests. Schwachstellenanalysen hingegen basieren, neben automatisierten Scannern, zu großen Teilen auf manuellen Tests und bieten somit weit mehr Tiefe was die Untersuchung des Zielobjekts betrifft, sind jedoch dementsprechend aufwändiger und kostenintensiver. Beide Sicherheitstests zielen jedoch darauf ab, möglichst viele Schwachstellen aufzudecken um die Sicherheit des getesteten Systems zu verbessern. Sicherheits- und Compliance-Audits hingegen prüfen, ob ein System entsprechend einem festgelegten Regelwerk oder Standard konfiguriert ist und weisen auf Verstöße hin. Dabei ist das Ziel meist das Erreichen einer 100 prozentige Übereinstimmung mit dem gewählten Regelwerk. Penetrationstests eignen sich weniger um Regelverstöße oder möglichst viele Schwachstellen aufzudecken, sondern vielmehr, um gezielte Fragen zu beantworten. Ziel eines Pentests könnte beispielsweise sein, eine oder mehrere der folgenden Fragen zu klären.

• Ist es möglich von Außen in das interne Firmennetzwerk einzudringen?
• Ist es möglich interne Firmendaten zu entwenden?
• Ist es möglich das Arbeitsgerät des Geschäftsführers zu übernehmen?
• Ist es möglich Audio oder Video-Mitschnitte in bestimmten Besprechungsräumen aufzunehmen?

Bei diesen Zielen handelt es sich lediglich um ein paar Beispiele, die darstellen sollen wie sich die Zielsetzung eines Pentests von Schwachstellenscans, -analysen und Audits unterscheidet. Anhand der Zielsetzung kann eindeutig festgestellt werden, ob ein Penetrationstest sinnvoll ist oder ob sich ein anderer Sicherheitstest besser eignet.

Welche Vorteile bietet ein Pentest für Unternehmen?

Ein Penetrationstest dient vor allem dazu, spezifische Sicherheitsfragen zu klären und Risiken oder Szenarien zu testen. Im Gegensatz zu anderen Sicherheitstests wird hierbei nicht nur überprüft, ob eine Schwachstelle vorhanden ist, sondern auch, ob diese ausgenutzt werden kann und was ein Angreifer dadurch gewinnt. Der abschließende Bericht fasst die Testergebnisse zusammen und enthält in der Regel nicht nur eine Übersicht der Schwachstellen, sondern auch einen Ablauf des Angriffs und eine detaillierte Erklärung der ausgenutzten Schwachstellen und der verwendeten Exploits. Darüber hinaus können Penetrationstests auch um Angriffe erweitert werden, die nicht auf technischen Schwachstellen basieren. Dabei können beispielsweise Mitarbeiter über Social-Engineering Methoden in einem simulierten Angriff getestet werden, um herauszufinden wie die Angestellten sich im Falle eines Angriffs verhalten. Ebenso kann die physikalische Sicherheit des Bürogebäudes und das Verhalten der Mitarbeiter getestet werden, indem ein Penetrationstester versucht, Zugang zum Büro zu bekommen und sich somit Zugriff zu Firmendaten zu verschaffen. Tests die Mitarbeiter mit einbeziehen lassen sich auch gut mit anderen Maßnahmen, wie Sicherheitsschulungen für alle Angestellten, verbinden.

• Klärt spezifische Fragen und ermöglicht das Testen von bestimmten Risiken oder Szenarien.
• Stellt nachweisbar dar, ob und wie eine Schwachstelle ausgenutzt werden kann.
• Erklärt wie Schwachstellen ausgenutzt wurden und was ein Angreifer dadurch erreichen kann.
• Lässt sich um Social-Engineering und physikalische Tests erweitern, um die Sicherheit von Bürogebäuden und Mitarbeitern zu testen.

Welche Nachteile bieten Penetrationstests?

Natürlich haben Penetrationstests auch ihre Nachteile und sind nicht für jeden Fall geeignet. Da Pentests das Ausnutzen der entdeckten Schwachstellen mit einbeziehen, entsteht für die Penetrationstester ein höherer Aufwand gegenüber, beispielsweise, einer Schwachstellenanalyse. Aufgrund dieses erhöhten Aufwands dauern Penetrationstests meist länger und sind entsprechend teurer. Daher eignen sie sich auch nicht, um möglichst viele Schwachstellen aufzudecken. Für eine erste Untersuchung eines Servers oder einer Anwendung ist eine Schwachstellenanalyse oder ein Schwachstellenscan meist besser geeignet. Ein weiterer Nachteil ist, dass viele Anbieter andere Sicherheitsscans unter dem Begriff Penetrationstest verkaufen, was dazu führen kann, dass zwar ein Pentest beauftragt wurde, jedoch stattdessen eine Schwachstellenanalyse oder, in extremen Fällen, ein Schwachstellenscan durchgeführt wurde.

• Sind aufwändiger und eignen sich nicht um viele Schwachstellen aufzudecken
• Können u.U. teurer ausfallen als alternative Sicherheitstests
• Andere Sicherheitstests werden oft als Penetrationstests verkauft

Worauf sollte man bei einem Pentest achten?

Leider unterscheiden viele Anbieter namentlich nicht mehr zwischen diesen Tests, da sich diese unter als „Penetrationstest“ am besten verkaufen. Gerade deshalb wollen wir mit gutem Beispiel vorangehen und die unterschiedlichen Sicherheitstests möglichst klar darstellen. Jeder Test hat seine Vor- und Nachteile und es wäre falsch, diese alle in die gleiche Schublade zu stecken. Wer einen Pentest in Auftrag geben will, sollte auf jeden Fall die folgenden Punkte klären.

• Macht der Anbieter einen seriösen Eindruck?
• Hat der Anbieter erklärt, was er unter einem Pentest versteht und wie dieser Abläuft?
• Wurde eindeutig klar gemacht, was getestet wird und unter welchen Bedingungen?
  • Umfang: Wurden die zu testende und vom Test ausgeschlossene Systeme klar definiert?
  • Zeitraum: An welchen Tagen und zu welchen Uhrzeiten darf getestet werden?
  • Quelle: Von welchen IP-Adressen werden Tests durchgeführt?
  • Kontakt: Wie können die Penetrationstester im Notfall erreicht werden?
  • Ziel: Was ist das Ziel des Sicherheitstests und stimmt dieses mit der gewählten Testtypen überein?
• Wurde festgelegt, was im abschließenden Bericht enthalten ist?
  • Zusammenfassung der Ergebnisse
  • Detaillierte Beschreibung der Schwachstellen
  • Risikoeinschätzung der Schwachstellen
  • Ablauf des simulierten Angriffs
  • Hinweise zur Beseitigung der Schwachstellen

Sie haben Fragen zu Penetrationstests oder anderen Sicherheitstests? Kontaktieren Sie uns gerne jederzeit oder nutzen Sie die Kommentarfunktion, wir melden uns bei Ihnen so schnell wie möglich, um Ihre Fragen zu klären.

Der Beitrag Penetrationstest: Vor- und Nachteile des Sicherheitstests? erschien zuerst auf LastBreach.

Im letzten Teil unserer Postreihe “Sicherheit für Laien”, ging es um die gängigen Sicherheitspraktiken, wie sie von Laien und Experten gleichermaßen angewandt werden. In diesem und dem nächsten Teil möchte ich etwas genauer auf zwei Punkte des letzten Artikels eingehen und diese anhand von konkreten Beispielen etwas besser darstellen. Ganz konkret handelt es sich dabei um die Themen Passwortverwaltung und welche Software sich dafür anbietet, sowie die Installation von Updates, mit besonderem Fokus auf dem Open Source Softwaremarkt Chocolatey welche im nächsten Teil behandelt wird.

Passwortverwaltung On- und Offline

Als Erstes werfen wir einen genaueren Blick auf das Thema, dass meiner Meinung nach die höchste Priorität bei all denen haben sollte die ihre Passwörter noch im Kopf oder auf Papier festhalten. Es geht um die Verwaltung der unzähligen Passwörter, die man im Leben so ansammelt oder genauer gesagt, ansammeln sollte, denn leider verwenden viele einfach das gleiche oder eine Handvoll ähnlicher Passwörter für alle Accounts. Doch bevor ich mögliche Softwarelösungen vorstelle, möchte ich ein wenig darauf eingehen, warum ein Passwortmanager für alle Netzbewohner so selbstverständlich sein sollte wie ein Haustürschlüssel.

Wie viele Passwörter sind genug?

Viele Menschen haben ein Problem damit sich unterschiedliche Passwörter zu merken. Das wird dadurch erschwert, dass die Sicherheit der Passwörter von vielen Firmen im Netz negativ beeinflusst wird indem sie Ihren Kunden oder Nutzern eine Liste an Anforderungen für Passwörter aufdrücken. Probleme wie dieses sind sicherlich jedem bekannt, der sich bereits auf der ein oder anderen Webseite einen Account erstellt hat.

Bild: Registrierungsformular auf epetitionen.bundestag.de

Da diese Anforderungen stark unterschiedlich sind und in manchen Fällen die Kunden sogar dazu zwingen schwache Passwörter zu wählen, gibt es keinen Algorithmus mit dem sich ein universelles, starkes Passwort für alle Seiten im Netz erstellen lässt. Mal ist ein Sonderzeichen erforderlich, mal darf keins dabei sein, der nächste Anbieter lässt nur 8 Zeichen zu und der wiederum Nächste verlangt mindestens 12. Das hat in der Regel zu Folge, dass jeder eine Handvoll unterschiedlicher Passwörter oder Variationen des eigentlichen Hauptpassworts mit sich herumträgt.

Sicher ist das allerdings nicht. Um vor passwortbasierten Angriffen geschützt zu sein, ob diese nun gezielt oder Teil eines automatisierten Massenangriffs sind, bedarf es einzigartiger Passwörter für jedes Konto. Zusätzlich dürfen diese Passwörter nicht voneinander ableitbar sein. Wer Passwörter wie amazon1986',ebay2017oderwindows1860` verwendet, lässt natürlich vermuten wie die anderen Passwörter zusammengesetzt sein könnten. Wer die Löwen auf Facebook liked, sollte diese nicht in seinem Passwort haben. Das gilt für alles was öffentlich bekannt ist, oder bekannt gegeben wurde und spielt im Zeitalter von Social Media eine größere Rolle denn je.

Wenn es um Hackerangriffe geht, gehen die meisten davon aus das sie selbst kein wertvolles Ziel sind.

"Was will bitte jemand mit meinem Account?"

Doch von der Idee, dass eine Person in schwarzem Hoodie hinter einem Rechner sitzt und sich den Kopf zerbricht wie das Passwort von Max Mustermann aus der Musterstraße lautet, dürfen sich die meisten schnell verabschieden. Denn auch wenn diese Art von gezielten Angriffen stattfindet, so sind sie eher ein Problem von Personen der Öffentlichkeit oder Firmen, und dort wiederum vor allem von Mitarbeitern in interessanten Positionen, wie zum Beispiel Geschäftsführern, Management und auch Technikern. Nichtsdestotrotz finden täglich auch Angriffe auf Herrn Mustermann und seinesgleichen statt, nur sind diese in der Regel hochgradig automatisiert. Passwörter werden in den wenigsten Fällen nach dem klassischen Brute-Force Verfahren, also dem Ausprobieren sämtlicher Möglichkeiten durchgeführt, sondern basieren auf zuvor gesammelter Daten, die meist aus öffentlichen Quellen stammen. Diese werden in Fachkreisen auch als Open Source Intelligence, kurz OSINT, bezeichnet.

Klassischer Brute-Force Ansatz

aaaaaa, aaaaab, aaaaac, aaaaad, [...], zsgadc1, zsgadc2, [...], LsKD34B, LsKD34C, LsKD34D

Brute-Force basierend auf OSINT

# VornameGeburtsdatum, HaustierJahreszahl, Fussballverein, Lieblingssänger, etc.
Michael1967, Schnuffi2017, FCBayern, Rick Astley, ...

Es ist schnell ersichtlich, dass die auf OSINT basierende Methode eine höhere Erfolgschance bietet, und daher auch weniger Zeitaufwand bedeutet. Noch leichter wird es, wenn der Angreifer bereits ein Passworts des Opfers kennt. Gerade in den letzten Monaten stieg die Anzahl an Datenlecks von Kunden- und Nutzerdaten diverser Plattformen und Webseiten im Netz gewaltig an. Diese gestohlenen und veröffentlichten Daten können entweder direkt bei anderen Portalen ausprobiert werden, oder dienen zumindest als gute Hilfestellung bei passwortbasierten Angriffen.

Wer sich einen groben Überblick verschaffe möchte, wie viele Datensätze von welchen Seiten gestohlen und im Internet veröffentlicht wurden kann einen Blick auf HaveIBeenPwned werfen. Das Portal gibt anhand der E-Mail-Adresse auch darüber Auskunft, ob Teile Ihrer Accountdaten im Netz veröffentlicht wurden. Falls ja, gilt es umgehend das Passwort zu ändern und zwar auf allen betroffenen Seiten!

Also, wie viele Passwörter sind genug?

Die Antwort ist, so viele wie man Accounts besitzt. Es mag am Anfang überwältigend klingen, aber für jedes Konto das Ihr erstellt, solltet Ihr ein eigenes, einzigartiges und starkes Passwort haben welches nicht von den anderen ableitbar, also zufälliges generiert, und sicher gespeichert ist.

Lasst uns doch mal sehen wie viele das ungefähr wären:

• Login für den Rechner (Windows / Linux / Mac Login)
• Login für den Passwort-Manager (Masterpasswort, mehr dazu weiter unten)
• Passwort für die Festplattenverschlüsselung (kurz FDE, dazu mehr in einem späteren Teil)
• PIN/Passwort für die Bildschirmsperre des Smartphones (iPhone / Android / etc.)
• PIN für Girokonto und Kreditkarten
• Passwörter für sämtliche Online-Accounts
• Evtl. PIN für Haustüren oder Tresore
• Vermutlich noch einige mehr…

Ein kurzer Blick auf die Liste oben zeigt, wie viele Zugangsdaten wir uns täglich merken müssen. Kein Wunder, dass die meisten versuchen die Anzahl an Passwörtern die es zu merken gilt zu reduzieren, anstatt zu vermehren. Deshalb ist die Verwendung eines Passwortmanagers sinnvoll und sehr zu empfehlen. Ein Passwortmanager ist ein Programm, welches ähnlich einem Tresor, die wichtigen Daten sicher ablegt und nur dem Besitzer bei Bedarf Zugriff erteilt. Um An die Daten des Passwortmanagers zu gelangen, muss der Besitzer folgende Anforderungen erfüllen.

• Zugang zu einem Rechner, vermutlich der Eigene (erfordert Login- und ggf. FDE-Passwörter)
• Zugriff auf die Daten im Passwortmanager (erfordert Masterpasswort für den „Tresor“)
• Ggf. Zugang zum Smartphone, falls 2-Faktor-Authentifizierung aktiv ist (2FA, mehr dazu in einem späteren Teil)

Damit haben wir die Anzahl an zu merkenden Passwörtern auf 3 reduziert. Mit diesen drei Passwörtern können wir alle anderen Passwörter bei Bedarf abrufen. Je nachdem welche Lösung man für sich wählt, gibt es jedoch noch weitere Einschränkungen. Nutzt man einen Passwortmanager der keine App für das Smartphone anbietet, sollte man sich die PIN für das Girokonto und ähnliche Zugänge vielleicht besser merken, denn nicht jeder hat immer sein Notebook dabei, um mal eben auf die PINs zuzugreifen.

Kann ich das nicht einfach aufschreiben?

Viele Leute tendieren dazu, Passwörter einfach auf Papier festzuhalten statt einen Passwortmanager zu verwenden. Das kann funktionieren, kann aber auch gleichermaßen in die Hose gehen.

Vorteile:

• Jeder weiß wie Papier und Stift zu benutzen sind, daher ist diese Lösung unkompliziert
• Es wird kein zusätzliches Passwort benötigt dass man sich merken muss
• Wer sich nur vom Rechner Zuhause auf Webseiten anmeldet, hat die Lösung auch immer parat
• Wer das Papier mit den Passwörtern versteckt, vermindert das Risiko von Diebstahl (ein wenig)

Nachteile:

• Backups sind umständlich anzulegen (abschreiben/scannen/kopieren)
• Saubere Handschrift ist erforderlich
• Papier wird bei Änderungen unübersichtlich (bzw. Papier muss neu geschrieben werden)
• Änderungen erfordern ein erneutes Erstellen des Backups
• Backups sind in der Regel am gleichen Ort aufbewahrt wie das Original (Zuhause)
• Backups und Original sind Anfällig für Schäden (Feuer, Wasser) wenn nicht entsprechend geschützt
• Papier und Backups sind nicht verschlüsselt, daher für jeden lesbar der sie in die Hände bekommt
• Wer versucht für jeden Account ein eigenes Passwort zu verwenden stößt hier bald an die Grenzen
• Sichere Passwörter auszudenken ist für Menschen ein komplizierter und fehleranfälliger Prozess
• Lösung bietet sich nicht für Reisen oder zum Arbeiten Unterwegs an (Risiko von Verlust / Diebstahl)
• Das Teilen von Zugängen mit anderen Leuten (z.B. Netflix) wird erschwert

Ja, man kann die Passwörter einfach auf Papier schreiben und im Regal oder, falls möglich, feuerfesten Tresor aufbewahren. Sollte diesem jedoch etwas zustoßen, dann kann man nur hoffen bei der letzten Änderung auch eine Sicherheitskopie angelegt, oder diese aktualisiert zu haben, denn sonst steht man ohne Logins da.

Wer sich jetzt denkt, die ganzen Probleme seien einfach mit einem Word-Dokument gelöst irrt allerdings gewaltig. Eine digitale Stift-und-Papier-Lösung bringt eine Menge an Sicherheitsrisiken ohne die Vorteile eines Passwortmanagers und ist die mit Abstand ungünstigte Lösung.

Die bessere Lösung wäre in jedem Fall ein Passwortmanager, und davon möchte ich heute drei Varianten vorstellen.

• LastPass: Ein kommerzieller, aber kostenlos nutzbarer Onlinedienst mit Unterstützung für viele Plattformen
• Bitwarden: Ein kostenloser Online Dienst auf Open Source Basis, mit Unterstützung für viele Plattformen
• KeePass: Ein kostenloses Open Source Programm ohne Onlinefunktion, oft wegen seiner hohen Sicherheit gelobt.

LastPass: Ein Online-Passwortmanager mit guter Integration

Update 2023: LastPass wird von uns nicht mehr als sicherer Online-Passwortmanager empfohlen. Zu den Alternativen die einen Blick Wert sind, gehören KeePass (Offline), Bitwarden & Vaultwarden oder 1Password. Viele der bzgl. LastPass vorgestellten Funktionen treffen auch auf die genannten Alternativen zu. Wir belassen daher den Rest des Artikels im Original als Referenz und für alle, die sich generell mit dem Thema „Passwort Manager“ beschäftigen wollen. 😉

LastPass ist ein hervorragender Passwortmanager den ich persönlich bereits seit Jahren verwende und immer gerne empfohlen habe. Er ist in einer kostenlosen Variante mit etwas eingeschränkter Funktionalität verfügbar, kostet in der Pro-Version jedoch nur 12$ im Jahr, was in keinem Geldbeutel allzu schwer auffallen sollte.

Vorteile:

• Sehr einfache Benutzung
• Verfügbar als Browserplugin für Chrome, Firefox, Internet Explorer und Safari
• Verfügbar als App für Android, iPhone, Windows, Linux, Mac OSX
• Verfügbar als Webanwendung für alle die keine Software installieren wollen oder können
• Einfach unterwegs einsetzbar (Mobile-Apps und Smartphone kompatible Webanwendung)
• Sichere Verschlüsselung der Daten auf dem lokalen Rechner, bevor Daten hochgeladen werden
• Unterstützt 2-Faktor-Authentifizierung (2FA) für besseren Loginschutz
• Verfügt über einen Sicherheitscheck der dem Kunden sagt wie stark die Passwörter sind
• Informiert Kunden wenn eine gespeicherte Webseite gehackt wurde (soweit bekannt)
• Ermöglicht das sichere Teilen von Zugängen mit anderen Nutzern (z.B. Netflix Familienaccount)
• LastPass ging mit Sicherheitsprobleme bisher gut um, siehe auch unter Nachteile

Nachteile:

• Programme und Server sind nicht Open Source und daher in ihrer Funktionsweise recht undurchsichtig
• Daten werden (verschlüsselt) in der Cloud gespeichert
• LastPass wurde von LogMeIn gekauft, welche Ihren letzten kostenlosen Dienst kurzfristig einstellten
• LastPass führt Sicherheitsprüfungen (Audits) durch, veröffentlicht aber die Resultate nicht
  • LastPass verweist stattdessen auf diesen Blogpost eines unabhängigen Sicherheitsexperten
  • Quelle: LastPass – https://lastpass.com/support.php?cmd=showfaq&id=1626
  • Blogpost von 2010: http://blog.tinisles.com/2010/01/should-you-trust-lastpass-com/
• LastPass verschlüsselt nicht alle Informationen, wie es von der Firma behauptet wird.
  • Die URL der gespeicherten Webseite wird nicht mit dem Master-Passwort verschlüsselt
  • Die URLs werden von LastPass verwendet, um die Logos der Webseiten anzuzeigen
  • Vermutlich werden die URLs auch verwendet, um über gehackte Seiten zu informieren
  • Quelle: https://hackernoon.com/psa-lastpass-does-not-encrypt-everything-in-your-vault-8722d69b2032#.faz8o11qs
• LastPass wurde 2015 gehackt (Vorteile + und Nachteile `-‚)
  • – dabei wurden Nutzerdaten entwendet
    • E-Mail-Adresse des LastPass Accounts
    • Passwort Tipp (falls vom Benutzer zur Erinnerung vergeben)
    • Passwort in Hash-Form (nicht einfach auslesbar, kann mit hohem Aufwand ggf. geknackt werden)
  • + Die verschlüsselten Passwortdaten der Nutzer wurden laut LastPass nicht gestohlen
  • + Als Vorsichtsmaßnahme wurde Nutzer dazu aufgefordert ihr Masterpasswort zu ändern
  • + Benutzer wurden per E-Mail über den Vorfall informiert
  • Quelle: https://blog.lastpass.com/2015/06/lastpass-security-notice.html/
  • Quelle: http://lifehacker.com/lastpass-hacked-time-to-change-your-master-password-1711463571

Grundsätzlich ist kein Dienst jemals zu hundert Prozent sicher oder unhackbar. LastPass ist 2015 definitiv ein gehöriger Fehler unterlaufen, dennoch bin ich vom Ausgang im Allgemeinen positiv überzeugt, denn von anderen Firmen und Onlineportalen habe ich bereits weit schlimmeren Umgang mit solchen Situationen erlebt.

LastPass in der Praxis

Soviel zu den Vor- und Nachteilen von LastPass. Doch jetzt wollen wir uns das Programm in der Praxis etwas näher ansehen. Auf der Webseite des Anbieters kann man sich für einen kostenlosen Account registrieren.

Auch wenn es nicht zwingend notwendig ist, so ist es doch empfehlenswert dem Vorschlag von LastPass zu folgen und das Browser-Addon zu installieren. Die Aufforderung dazu erfolgt automatisch, wie in meinem Beispiel in Firefox zu sehen ist.

Sobald das Plugin installiert ist, wird man automatisch zur Accounterstellung weitergeleitet. An dieser Stelle ist es enorm wichtig, ein gutes Passwort zu wählen, da dieses die zukünftige Sicherheit der restlichen Passwörter diktiert. Wer ein schwaches Masterpasswort wählt, riskiert gleichzeitig auch alle gespeicherten Accounts.

Hier sind zwei bekannte Möglichkeiten um ein sicheres Passwort zu wählen das man sich auch noch merken kann.

Satz basierte Passwörter

Der folgende Satz wird in ein Passwort umgewandelt, indem die ersten Buchstaben aneinandergereiht werden. Eine kleine Sicherheitssteigerung kann durch das austauschen von Buchstaben oder Wörtern durch Zeichen und Zahlen erreicht werden, allerdings ist dies bei weitem nicht so sicher wie ein Kennwort das zufällig generiert wurde.

Satz: Mein Hund hat ein kurzes Bein und braunes Fell, Ich gehe gerne mit ihm spazieren.
Satz: M    H    h   e|1 k      B    u|& b       F   , I   g    g     m   i   s        .
Passwort 1: MHhekBubF,Iggmis.
Passwort 2: MHh1kB&bF,Iggmis.

Alltagsgegenstände und Eselsbrücken

Eine weitere Methode wurde in Ausgabe #936 des recht bekannten Webcomics XKCD vorgezeigt. Sie basiert auf der Kombination von gängigen Wörtern und entsprechenden Eselsbrücken um das Passwort nicht zu vergessen.

Nachdem man sich ein starkes Passwort ausgedacht hat, kann man mit der Registrierung fortfahren. Wichtig ist, dass der Reminder (Passwort Erinnerung) nur dem Besitzer des Passworts helfen sollte. Der im Bild unten dargestellte Hinweis gibt zu viele Informationen Preis und spätestens jetzt sollte jedem Leser klar sein wie das von mir gewählte Passwort lautet. Wie oben bereits angemerkt, wurde LastPass 2015 gehackt, und unter den entwendeten Daten befanden sich unter anderem genau diese Hinweise.

Direkt nach der Registrierung ist unser Tresor, oder Vault wie es bei LastPass heißt, noch ziemlich leer. Das lässt sich aber leicht ändern. Das LastPass Browser-Addon prüft bei jedem Login auf einer Webseite, ob dieser Login bereits im Vault gespeichert ist. Ist das noch nicht der Fall, hat der Benutzer die Wahl diese zu speichern oder LastPass mitzuteilen, Logins für die aktuelle Webseite niemals zu speichern. Die letzte Option ist vor allem dann von Nutzen, wenn bestimmte Logins nicht in LastPass gesichert werden sollen. Beispielsweise speichere ich die Zugangsdaten zu meiner E-Mailadresse bewusst nicht in LastPass, da diese es mir ermöglicht die Passwörter meiner einzelnen Onlineaccounts zurückzusetzen. Würde jemand Zugang zu all meinen Accounts und meiner E-Mailadresse bekommen, hätte ich keinerlei Möglichkeit mehr meine Zugänge zurückzubekommen. Das ist jedoch eine zusätzliche Sicherheitsmaßnahme die ich mir persönlich auferlegt habe, und deren Notwendigkeit jeder für sich selbst entscheiden sollte.

Die Addons sind im Übrigen auch in Deutsch verfügbar und werden hier aufgrund der Spracheinstellungen meines Betriebssystems auf Englisch angezeigt.

Ist ein Account bereits in LastPass gespeichert, wird er automatisch beim Besuch der Webseite als Login angeboten. Dadurch macht LastPass nicht nur das Merken, beziehungsweise Verwalten von Passwörtern, sondern auch den Loginprozess auf vielen Webseiten leichter.

Mit LastPass starke Passwörter generieren

LastPass bringt unter anderem auch einen Passwortgenerator mit, mit dem sich zufällige Passwörter generieren lassen. Im Web-Vault ist dieser unter More Options => Advanced => Generate secure password verfügbar, schneller gehts über das Tastenkürzel Alt+g, für alle die das Browser-Addon installiert haben.

Soviel zu LastPass, die anderen Funktionen wie das Teilen von Passwörtern mit Freunden und Familie, Mobileapps und Desktop-Programme sowie die Sicherheitsprüfung dürft Ihr gern selbst ausprobieren.

Bitwarden als Open Source Alternative zu LastPass

LastPass war bisher eine der wenigen Lösungen die eine umfassende Integration in Desktop- und Mobilgeräte sowie Browser bietet. Doch leider fällt LastPass unter sogenannte proprietäre Software, also eine deren Quellcode nicht einsehbar ist. Bitwarden hingegen stellt eine solide Alternative zu LastPass mit ähnlicher Integration da und steht zudem ganz und gar unter der Open Source Lizenz GPLv3. Und mit ganz meine ich auch ganz, denn nicht nur die Browserplugins und Mobileapps sind öffentlich einsehbar, auch die Webanwendung und die Kernkomponente des Servers, der Bitwarden Core, sind auf Github zu finden.

Ansonsten basiert Bitwarden auf einem ähnlichen Konzept wie auch sein kommerzieller Gegenspieler LastPass. Daten werden vom Client verschlüsselt und dann zu den Bitwarden Servern hochgeladen. Wem das immer noch zu riskant ist und das nötige technische Wissen mitbringt, kann sich aber auch die Mühe machen und einen eigenen Bitwarden Server betreiben. Allerdings müssen dann auch alle Browserplugins und Mobileapps entsprechend angepasst werden.

Vorteile:

• Steht komplett unter der Open Source Lizenz GPLv3
• Motiviertes Entwicklerteam und aktive Arbeit am Projekt
• Einfach zu verwenden, schöne Benutzeroberfläche
• Bessere Integration als so manche Konkurrenten (Mobileapps, Browserplugins für Chrome und Opera)
• Einfach unterwegs einsetzbar (Mobile-Apps und Smartphonekompatible Webanwendung)
• Sichere Verschlüsselung der Daten auf dem lokalen Rechner, bevor Daten hochgeladen werden
• Unterstützt 2-Faktor-Authentifizierung (2FA) für besseren Loginschutz
• Möglichkeit einen eigenen Server zu betreiben (vor allem interessant für Firmen)
• Nutzung ist momentan komplett kostenlos, zukünftig sind kommerzielle Firmenaccounts geplant

Nachteile:

• Einige Integrationsmöglichkeiten fehlen noch (Desktop-Apps, Plugins für Firefox, Safari und IE)
• Noch nicht so erprobt wie andere Lösungen (seit 2015 am Markt)
• Entwickler verfügen (noch) nicht über die gleichen Ressourcen wie kommerzielle Firmen
• Bisher wurde kein Sicherheitsaudit durchgeführt (ist geplant, Datum und Finanzierung allerdings noch unbekannt)
• Daten werden (verschlüsselt) in der Cloud gespeichert
• Bisher keine Berichte über Sicherheitsvorfälle bei Bitwarden
  • Kann bedeuten das Bitwarden alles gut abgesichert hat
  • Kann bedeuten das Bitwarden Angriffe nicht mitbekommt
  • Kann bedeuten das Bitwarden Angriffe oder Hacks vertuscht (IMHO, unwarscheinlich)

Bitwarden ist ein sehr interessantes Projekt und ermöglicht seinen Nutzern eine einfache und effektive Handhabung von Passwörtern. In recht kurzer Zeit haben die Entwickler eine solide Lösung aufgestellt und arbeiten stetig an den noch fehlenden Features. Ich persönlich warte noch ab, bis ein Sicherheitsaudit durchgeführt und veröffentlicht wurde, doch es besteht eine gute Chance das meine Zeit als treuer Kunde von LastPass sich dem Ende nähert. Auch wenn noch einigeerstmal Browserplugins fehlen, möchte ich daher dennoch bereits einen Einblick in die Nutzung von Bitwarden geben.

Bitwarden in der Praxis

Bitwarden hat zwar noch nicht für alle Browser ein Plugin parat, das soll aber nicht davon abhalten es zu nutzen. Die Webanwendung ist übersichtlich strukturiert und hat sich während meinen Tests angenehm reaktiv verhalten.

Natürlich ist auch Bitwarden am Anfang erstmal leer, daher müssen zuerst Logins hinzugefügt werden bevor die Software ihren Dienst verrichten kann. Wenn der Vault ausgewählt ist, kann im Menübereich links ein neuer Login oder Ordner hinzugefügt werden.

Da noch keine Ordner erstellt wurden, steht im entsprechenden Dropdown-Feld Folder vorerst nichts zu Auswahl. Mit der Menüoption New Folder kann das jedoch schnell korrigiert werden. Zur besseren Übersicht habe Ich deshalb den Ordner Online Shops für Seiten wie Ebay und Amazon erstellt.

Damit wäre auch schon die Kernfunkion der Webanwendung dargestellt. Um sich in Webseiten anzumelden, müssen die Daten aus dem Vault händisch kopiert und dann im Loginformular der jeweiligen Seite eingefügt werden. Komfortabler geht das natürlich mit den Browserplugins, die aber momentan nur in Chrome und Opera bereitstehen.

Nach der Installation wird man zu einem Video auf der Webseite von Bitwarden weitergeleitet, welches die grundlegenden Funktionen des Addons erklärt.

Ähnlich wie bei LastPass, fordert auch Bitwarden bem Login auf einer neuen Webseite den Benutzer auf, diese im Vault zu Speichern.

Wer auf Yes, save now klickt wird feststellen das Bitwarden, anders als LastPass, das zu speichernde Objekt nicht automatisch im Editor öffnet sondern sofort im Vault ablegt. Das ist aber kein großes Problem, da der neu gespeicherte Login sofort im Plugin zur Verfügung steht und von dort ohne viel Aufwand angepasst werden kann. In diesem Beispiel setze ich noch schnell den Ordner auf Online Shops, damit ich ihn zukünftig leichter finde.

Mit Bitwarden starke Passwörter generieren

Mit dem Bitwarden lassen sich starke Passwörter leicht erstellen. Zwar geht dies etwas eingeschränkter auch im Web-Vault, bequemer ist es jedoch über das Browser-Plugin. Darin lassen sich unter Tools => Passwort Generator Passwörter nach den gewünschten Anforderungen schnell und einfach erstellen.

Soviel zur Open Source Alternative zu LastPass. Zu guter Letzt werfen wir noch auf den Passwortmanager KeePass einen Blick, der nicht nur bereits seit Jahrzehnten genutzt wird, sondern auch unter Sicherheitsexperten ein hohes Ansehen genießt.

KeePass: Das Original unter den Passwortmanagern

Das wohl größte Unterscheidungsmerkmal ist, dass KeePass ohne Server, und somit ohne integrierten Sync funktioniert. Der Vorteil davon liegt klar auf der Hand, man gibt seine Daten nicht in fremde Hände. Umgekehrt führt das aber auch zu Nachteilen, wie Ihr in der Gegenüberstellung unten sehen könnt.

Vorteile:

• Vollständig unter der Open Source Lizenz GPLv2 verfügbar
• Nutzer hat volle Kontrolle über seine Daten, da diese nur lokal gespeichert werden
• Bietet nachweislich ein hohes Maß an Sicherheit
  • Empfohlen unter anderem vom deutschen Bundesamt für Sicherheit und Informationstechnik (BSI)
  • Sicherheitstest im Rahmen des EU Projekts Free and Open Source Software Audit ergab keine Schwachstellen
• Steht zur kostenlosen privaten und kommerziellen Nutzung verfügbar
• verfügbar auf vielen Plattformen (teils durch Software von Drittanbietern)
• Erweiterbar durch eine große Anzahl an Plugins

Nachteile:

• KeePass wirkt etwas weniger Benutzerfreundlich als die Konkurrenten Bitwarden und LastPass
• Hat keine integrierte Funktion zur Synchronisation der Daten
  • Wer auf seine Passwörter von verschiedenen Geräten zugreifen möchte, muss sich selbst darum kümmern diese zu Synchronisieren
  • Dafür wird ein zusätzlicher Dienst wie Owncloud oder Dropbox benötigt, dessen Client auf allen Geräten installiert sein muss.
• Passwörter werden in einer Datei (verschlüsselt) gespeichert, bei Verlust kann das ärgerlich werden (Stichwort Backups, siehe unten)
• Browserplugins sind verfügbar, allerdings nur von Drittanbietern und teils umständlich zu installieren oder veraltet
  • Das Firefox Addon KeeFox funktioniert zwar erfahrungsgemäß recht gut, ist aber umständlich zu installieren
  • Etwas einfacher lässt sich das Chrome Plugin ChromeIPass installieren, beide bieten jedoch weniger Funktionen wie Bitwarden & Co.
  • Für Safari gibt es das Addons passsafari, welches ich selbst jedoch nie getestet habe
  • Für Opera gab es KeePass Auto-Type, allerdings ist unklar ob diese noch mit den neuen Opera Versionen kompatibel ist
  • Für die neuen Versionen des Internet Explorers (11+) scheint es keine Integrationsmöglichkeit mehr zu geben
• Mobile Apps sind verfügbar, allerdings nur von Drittanbietern, es gibt also keine Garantie für deren Sicherheit
• KeePass bietet keine Möglichkeit Passwörter mit anderen zu teilen
• KeePass selbst ist nur mit Mono unter Mac und Linux verwendbar, was jedoch manchmal zu Darstellungsfehlern führt
  • + Besser funktioniert in der Regel KeePassX, ein Cross-Platform Fork von KeePass, der zumindest inoffiziell auditiert wurde
  • + In Version 2.0 unterstützt KeePassX inzwischen auch das neue KeePass2 Format

KeePass gehört auf jeden Fall zum alten Eisen, was jedoch nicht bedeutet das es bereits ausgedient hat. Es ist eine solide, sichere Lösung und Dank KeePassX auch ohne das Mono-Framework auf Mac, Linux und Windows verfügbar. Nachteil ist jedoch die sporadische Integration in Browser und Mobilgeräte.

KeePass in der Praxis

Nach der Installation muss in KeePass als Erstes eine Datenbank angelegt werden. Hier zeigt sich bereits, das KeePass eher für technisch Versierte Nutzer gedacht ist. Für Leser die damit nicht viel anfangen können, bei der Datenbank handelt es sich um die Datei, in welcher die Passwörter und Logins verschlüsselt gespeichert werden. Diese kann über den Menüpunkt Datei => Neu oder das Tastenkürzel Strg+n angelegt werden. Wo die Datenbank abgelegt wird ist jedem selbst überlassen, denkt aber daran dass Ihr die Datenbank auch in Zukunft wieder finden solltet, zum Beispiel um ein Backup davon zu erstellen oder um Sie auf einen anderen Rechner zu kopieren.

Als Nächstes muss ein Masterpasswort festgelegt werden. Achtung, wie auch bei Bitwarden und LastPass gilt auch hier, das Masterpasswort für die Verschlüsselung der Daten ist wie der Schlüssel zu einem Tresor, es dient dazu nur dem Besitzer zugriff zum geschützten Inhalt zu gewähren. Verliert der Besitzer den Schlüssel, kommt er nicht mehr an die Daten heran.

Wer zusätzlich zum Masterpasswort noch eine Schlüsseldatei (Key file) einsetzen möchte um die Stärke der Verschlüsselung nicht ausschließlich vom gewählten Passwort abhängig zu machen, kann das ebenfalls hier tun. Dazu muss ein neuer digitaler Schlüssel über die Schaltfläche Create... erstellt werden. Um die Zufälligkeit des erstellten Schlüssels zu gewährleisten, welche ausschlaggebend für dessen Stärke ist, darf der Benutzer nun wild mit der Maus umher fuchteln während mit der linken Hand die Tastatur malträtiert wird.

Das ganze wird solange gemacht, bis die Leiste Generated bits voll ist. Es besteht übrigens kein Zwang, sowohl Maus und Tastatur gleichzeitig für Eingaben zu verwenden.

Die erstellte Schlüsseldatei wird zukünftig bei jedem Öffnen von KeePass benötigt, sie ist also ebenso wichtig wie das Masterpasswort und sollte weder verloren gehen, noch in falsche Hände geraten.

Die neu erstellte Datenbank enthält zwei Beispieleinträge und einige vordefinierte Gruppen. Die Gruppen lassen sich leicht über ein Rechtsklick-Menü anlegen oder editieren und sind recht selbsterklärend.

Das Hauptfenster listet die vorhandenen Logins, je nachdem welche Gruppe ausgewählt wurde. Zum Kopieren können im übrigen auch Tastenkürzel verwendet werden. Diese werden bei einem Rechtsklick auf einen Login angezeigt.

Ein Doppelklick öffnet einen Login um die Daten zu kopieren oder zu editieren.

Die Browserplugins und Mobile-Apps werde ich an dieser Stelle auslassen da sie nicht offiziell Teil von KeePass sind, sondern durch Dritte bereitgestellt werden. Es gibt außerdem bereits genug Blogposts die deren Installation und Nutzung zur Genüge behandeln.

Passwortgenerierung mit KeePass

Der integrierte Passwortgenerator kann entweder über Tools => Generate passwords... oder direkt aus einem offenen Login über das Schlüssel-Icon und Open Password Generator... aufrufen. Über das Schlüsselsymbol können auch direkt neue Passwörter erstellt werden, die dem Regelsatz des ausgewählten Profils (z.B. Hex Key - 256-Bit (built-in)) entsprechen.

Leider sind die vorinstallierten Regelsets für Passwörter (Hey-Key und Random MAC) nicht besonders gut. Besser ist es man erstellt ein neues Profil nach den eigenen Anforderungen. Wenn alle Einstellungen mit dem gewünschten Passwortformat übereinstimmen, kann das Profil unter einem neuen Namen gespeichert werden. Wie die generierten Passwörter aussehen, kann unter dem Tab Preview überprüft werden.

Das sind zwar bei weitem nicht alle Funktionen die KeePass zu bieten hat, doch den Rest kann jeder für sich selbst entdecken. Wer daran interessiert ist was KeePass noch auf Lager hat, darf einen Blick auf die Seiten Features und Plugins werfen.

Ein Wort zum Schluss – Backups!

Unabhängig für welche Lösung Ihr euch entscheidend, in jedem Fall ist es sinnvoll regelmäßige Backups der Daten zu erstellen. LastPass und Bitwarden erstellen zwar Backups von Ihren Servern und tun auch sonst ihr Bestes um die Daten stets verfügbar zu halten, doch wer selbst nicht dafür sorgt einen zweiten Zugang zu all den Zugängen zu haben die im Passwortmanager gespeichert sind, darf sich am Ende nicht beschweren wenn alle Logins temporär oder dauerhaft unzugänglich sind.

Auch wenn wir uns gerne mit Cloud-Diensten in Sicherheit wiegen, wir sind immer noch selbst für die Sicherheit unserer Daten zuständig, und dazu zählen nun mal Backups.

Bitwarden und LastPass bieten beide die Möglichkeit gespeicherte Logins im CSV-Format (Komma getrennte Datei) zu exportieren. Natürlich sollte diese nicht so als Backup abgelegt werden, da sie vollkommen ungeschützt vor fremden Blicken ist. Die Datei kann entweder durch ein zusätzliches Programm wie AES-Crypt verschlüsselt werden, oder einfach in KeePass importiert, und so als lokale Sicherung aufbewahrt werden.

Datenexport in LastPass

In LastPass lassen sich die Daten entweder über ein Browser-Addon, oder direkt im Web-Vault exportieren. Dazu einfach im Web-Vault auf die drei Punkte Links unten klicken, und dann unter Advanced, Export auswählen.

Das zeigt die gespeicherten Daten im Klartext als Webdokument an, welches anschließend noch über Rechtsklick => Seite Speichern unter als Datei abgelegt werden muss, zum Beispiel unter dem Namen lastpass-klartext-daten.csv. Die CSV-Datei sollte nach dem Import in KeePass oder der Verschlüsselung mit AES-Crypt unbedingt wieder gelöscht werden.

Datenexport in Bitwarden

In Bitwarden funktioniert der Exportvorgang recht ähnlich. Nach dem Einloggen kann über Tools => Export eine CVS-Datei heruntergeladen werden, welche die gespeicherten Daten im Klartext enthält.

Auch bei Bitwarden gilt natürlich, die CSV-Datei zu verschlüsseln oder in KeePass zu importieren, und anschließend zu löschen. Am besten sollte der Papierkorb danach auch gleich geleert werden.

Datensicherung in KeePass

Wer KeePass als primären Passwortmanager nutzt, muss lediglich eine Sicherungskopie der Datenbank, und gegebenenfalls der Schlüsseldatei anlegen. In jedem Fall sollte das Backup aber an einem sicheren Ort aufbewahrt werden.

Online Dienste lassen uns gerne im Glauben, dass sie immer verfügbar sind, doch es gibt viele Gründe warum dem nicht so sein sollte. Für diesen Fall sollte man stets einen Plan B haben, vor allem wenn alle Logins auf dem Spiel stehen.

Fazit

Mein persönlicher Favorit war bisher LastPass, und das trotz der Tatsache das es nicht Open Source ist und meine Daten in der Cloud speichert. Im Gegenzug habe ich mich dafür entschieden, gewisse Zugänge nicht dort abzulegen, zum Beispiel den meines E-Mailkontos oder meinen Online-Banking Zugang. Die Vorteile gegenüber des hoch sicheren Passwordmanagers KeePass kommen vor allem der Bequemlichkeit zugute. Allerdings könnte sich mit Bitwarden in Zukunft einiges ändern, da es LastPass in nur wenigen Belangen nachsteht was Komfort betrifft, und zusätzlich noch Open Source ist. Wer weiß, vielleicht finde ich sogar die Zeit um einen eigenen Bitwarden Server zu betreiben, dann bleiben die Daten auch unter meiner Kontrolle.

Welcher Passwortmanager der Beste ist lässt sich natürlich nicht so einfach festlegen. Stattdessen sollte jeder für sich selbst entscheiden, welche Lösung am besten zu den eigenen Anforderungen passt.

Das war’s zum Thema Passwörter und Passwortverwaltung. Der nächste Teil wird sich mit Chocolatey als Lösung für das andauernde Problem der ungeliebten Softwareupdates beschäftigen, bevor es dann mit 2-Faktor-Authentifizierung (2FA) und Festplattenverschlüsselung (FDE) weitergeht.

Der Beitrag Online Sicherheit für Laien: Teil 2 – Passwörter leicht gemacht erschien zuerst auf LastBreach.