Das Ende einer modernen Legende: Gelöscht ist gelöscht!

Auch in diesem Blog sind schon Tools vorgestellt worden, mit denen Daten sicher gelöscht werden können: Eraser und DBAN. Und auch ich habe in diesem Zusammenhang die alte Regel wiederholt, dass Daten nur dann endgültig gelöscht sind, wenn man sie mehrfach durch Zufallsdaten überschrieben hat.

Nun zeigt eine Studie von Craig Wright, dass diese Behauptung empirisch nicht zu belegen ist – das einmalige Überschreiben mit Nullen reicht absolut aus. Die Chance, ein einzelnes Bit korrekt zu rekonstruieren, ist zwar noch leicht grösser als 50%, für relevante Datenmengen tendiert diese Wahrscheinlichkeit jedoch sehr rasch gegen Null.

Zeit also, von dieser modernen Legende Abschied zu nehmen. Folgende zwei Regeln haben allerdings weiterhin Gültigkeit:

  1. Das normale Löschen einer Datei über den Papierkorb ist nicht sicher: Auch wenn der Papierkorb geleert wurde, ist die Datei – sofern das Betriebssystem die betreffenden Sektoren auf der Festplatte inzwischen nicht für andere Daten genutzt hat – mit einfachen Tools wiederherstellbar.
  2. Oft existieren von einer Datei diverse Kopien – in Form von Backups, temporären Dateien, Browser Caches, Auslagerungsdateien etc. Diese zu finden ist erheblich schwieriger und stellt bei wirklich sensitiven Daten ein erhebliches Sicherheitsrisiko dar.

DBAN: Daten sicher löschen

image

Wer seinen alten Computer weiterverkauft oder entsorgt tut gut daran, seine Daten zu löschen – und zwar richtig zu löschen. Denn weder das Verschieben der Dateien in den Papierkorb noch das Formatieren eines Datenträgers sind sichere Methoden. Wirklich zuverlässig ist nur das Überschreiben der gesamten Festplatte mit Zufallsdaten, und zwar möglichst in mehreren Durchgängen.

DBAN ist eine Software, die genau dies tut. Über den mitgelieferten Installer wird eine bootfähige Floppy-Disk (oder ein bootfähiger USB-Stick) erzeugt, welche ein schlankes Linux sowie das Tool selbst enthält. Startet man den Rechner dann von diesem Boot-Medium, bekommt man eine simple Benutzeroberfläche, welche die Auswahl der zu formatierenden Festplatte sowie der zu verwendenden Methode bietet.

So lange man sich nicht den Kopf darüber zerbricht, welcher der verschiedenen Methoden denn nun die höchste Sicherheit bietet, ist DBAN ein sehr einfach handhabbares Programm, das seinen Zweck bestens erfüllt und einem das gute Gefühl gibt, seine Privatsphäre angemessen geschützt zu haben.

TYPO3 Tuning: Backend-Login wiederherstellen [2]

image

Ähnlich wie cwt_resetbepassword stattet auch die Extension ods_resetbepassword das TYPO3-Backend mit der Möglichkeit aus, ein vergessenes Passwort wiederherzustellen.

Während erstere zwar sehr verständlich, aber optisch leider nicht ganz gelungen ist, gilt für letztere das pure Gegenteil: Das Backend ist so schön wie eh und je, dafür muss man den Link zur Passwort-Wiederherstellung fast mit der Lupe suchen – zumal er erst dann erscheint, wenn man das Passwort falsch eingegeben hat: „Click here to reset.“ Das Ganze funktioniert aber einwandfrei und löst ein einfaches Text-Mail an die hinterlegte E-Mail-Adresse des Users aus, über welches man dann ein neues Passwort anfordern kann.

Übrigens hat ods_resetbepassword die Angewohnheit, eine allfällig vorhandene Extension cwt_resetbepassword automatisch zu deaktivieren.

WordPress Scanner: Sicherheitslücken in WordPress-Blogs aufspüren

image

Der WordPress Scanner ist ein Tool, um Schwachstellen in einer WordPress-Installation zu finden und die notwendigen Gegenmassnahmen zu ergreifen. Der Scanner läuft auf BlogSecurity.net und kann per URL auf das eigene Blog geschickt werden. Das Resultat ist ein übersichtlicher Report, der Sicherheitslücken auflistet und Ratschläge für deren Behebung enthält.

Damit der Scanner nicht zum Ausspähen von Angriffspunkten auf fremden Blogs missbraucht wird, muss der Scanner über das Tag <!– wpscanner –> explizit zugelassen werden. Dies kann man manuell direkt im Template tun oder über das Plug-In „wp-scanner activator“, das man ebenfalls bei BlogSecurity.net herunterladen kann.

Tor: Privatsphäre schützen im Internet

image

Freiheit hat im Zusammenhang mit Tor eine doppelte Bedeutung: Einerseits ist Tor freie Software mit einer BSD-Lizenz – andererseits ist Tor ein System, welches die Anonymität und damit die Freiheit der Internet-Benutzer schützen hilft. Das Projekt ist mit der Electronic Frontier Foundation EFF verbunden, welche sich mit Persönlichkeitsrechten in der digitalen Welt beschäftigt.

Ähnlich wie andere Peer-to-Peer-Ansätze arbeitet Tor nicht mit einem zentralen Server, sondern mit einem Netz von normalen PCs, die als Knoten fungieren und einen Teil Ihrer Rechenleistung und Bandbreite zur Verfügung stellen. Wie das funktioniert, zeigt obiges Schema: Wenn Alice auf den Server von Bob zugreifen will, erfolgt die Verbindung verschlüsselt über eine zufällige Auswahl von Tor-Knoten.

Einen Tor-Knoten kann jeder einrichten – ohne besondere technische Kenntnisse und unabhängig vom Betriebssystem (Tor unterstützt Windows, Mac OS X und Unix/Linux). Und je mehr es sind, desto besser funktioniert das System. Tor und die Benutzeroberfläche Vidalia kann man hier hierunterladen. Und ein Interview mit dem Tor-Präsidenten Roger Dingledine gibt es bei netzpolitik.org:

(via Stefon’s Blog)

Sicherheitslösungen auf Open-Source-Basis

Macht es Sinn, für sicherheitskritische Anwendungen auf Open Source Software zurückzugreifen? Ja, meint das Network Security Journal:

„Open source security is like a military general who shows his plans to both his allies and his enemies. On the one hand, his enemies can try to exploit the plan by targeting its weaknesses. But on the other hand, by exposing his tactics to those who want to help, the plan is ultimately much stronger as a result of their feedback and modifications.“

Der Artikel The Open Source Security Mother Lode: 105 Tools, Applications and Resources bietet eine kompakte Übersicht über die wichtigsten Programme, sortiert nach den folgenden Kategorien:

  • E-Mail
  • Virenschutz
  • Web-Utilities
  • Firewalls
  • Netzwerk-Monitoring
  • Intrusion Detection
  • VPN
  • Wireless Networks
  • Verschlüsselung

Google zensuriert

Nachdem der Verdacht aufgetaucht ist, dass irakische Terroristen Google Earth zur Planung von Anschlägen auf die alliierten Streitkräfte benutzen, hat Google offenbar reagiert und einige kritische Regionen… nun, sagen wir: retouchiert. Statt der aktuellen Satelliten-Aufnahmen (links) werden nun wieder ältere Bilder (rechts) gezeigt, wie The Register berichtet.

Wie soll man das bewerten? Auch wenn es um das Wohl von westlichen Truppen geht, und auch wenn der Schritt so spät kommt, dass er wohl nur noch wenig Wirkung zeigen wird: Wer Bilder bewusst manipuliert, betreibt Zensur. Und Zensur passt besonders schlecht zu einem Unternehmen, dessen Anspruch es ist, das Wissen dieser Welt zu erschliessen.

Andererseits hat Google nie behauptet, die Welt tagesaktuell abzubilden. Die Google Earth FAQ sagen klar:

Zeigt Google Earth Bilder in Echtzeit an?

Nein. Unsere Bilder wurden von Satelliten und Flugzeugen innerhalb der letzten drei Jahre aufgenommen.

Das kann man am Beispiel von Zürich gut nachvollziehen. So wird beispielsweise gemäss Google am Kreuzplatz noch immer kräftig gebaut – in Realität ist der Komplex längst fertig:

Auch das Parkdeck über der Sihl beim Hauptbahnhof, das man bei bei Google noch immer bestaunen kann, gehört glücklicherweise längst der Vergangenheit an:

Noch keine Spur ist dafür von der Fussgängerbrücke über die Limmat zu sehen, die den Kreis 5 nun schon seit einiger Zeit mit Wipikingen verbindet:

Und auf dem kürzlich zur autofreien Zone umgebauten Limmatquai stehen gemäss Google noch immer Autokolonnen:

Open Source Essentials: KeePass

Der moderne Mensch verfügt über eine Vielzahl von Passwörtern, Seriennummern, PINs und Kreditkartennummern, die er sich unmöglich alle merken kann. Das verleitet dazu, immer dasselbe Passwort zu verwenden oder Passwörter auf Post-Its zu schreiben und diese an den Bildschirm zu kleben. Beides ist sicherheitstechnisch fahrlässig – und auch nicht nötig, den schliesslich gibt es Programme, welche Passwörter sicher verwalten.

Der beste Password Manager mit Open-Source-Lizenz ist KeePass von Dominik Reichl. Vom Entwickler selbst gibt es nur eine Windows-Version, auf der offiziellen Website werden aber auch Ports und Builds für Mac OS X, Linux, PocketPC und PalmOS aufgeführt.

Das Prinzip ist einfach: Alle Passwörter werden in einer verschlüsselten KeePass-Datenbank gespeichert, die nur mit einem Master-Passwort zu öffnen ist. Die Verschlüsselung erfolgt wahlweise über den Advanced Encryption Standard (AES) oder den Twofish-Algorithmus. Besonders sicherheitsbewusste Anwender wählen zusätzlich die Option, dass die Datenbank nur dann geöffnet werden kann, wenn eine zusätzliche Schlüsseldatei gefunden wird, die man beispielsweise auf einem USB-Stick oder einer CD ablegt. Ansonsten ist das Programm absolut selbsterklärend, schnell und attraktiv gemacht.

ClamWin: (Beschränkter) Virenschutz auf Open-Source-Basis

Verglichen mit den kommerziellen Anti-Virus-Programmen ist die Benutzeroberfläche von ClamWin ziemlich schmucklos. Auch in anderen Punkten kann das Open-Source-Programm nicht ganz mit Symantec, McAfee & Co. mithalten. So bietet ClamWin keine Dauerüberwachung des Rechners auf verdächtige Aktivitäten, sondern der Viren-Scan muss manuell angestossen werden. Auch basiert die Virenerkennung ausschliesslich auf Signaturen – eine Heuristik, die auch unbekannte oder mutierende Viren aufspüren könnte, fehlt. Immerhin kann ClamWin seine Virensignaturen per Online-Update auf dem neusten Stand halten, was angesichts der schnellen Verbreitung von Computerschädlingen entscheidend ist. Der Community wird ausserdem nachgesagt, dass sie die Signaturendatenbank bei neu auftretenden Viren sehr rasch aktualisiert.

ClamWin basiert auf der ClamAV-Engine. Ausser für Windows gibt es auch Portierungen für verschiedenste Linux-Distributionen, Mac OS X und BeOS. Als ClamWin Portable kann die Software auch direkt von einem Memorystick oder anderen mobilen Datenträgern aus gestartet werden.

Phishing-Schutz: 1:1 zwischen Firefox und IE

Sowohl die Mozilla Foundation als auch Microsoft haben kürzlich den Phishing-Schutz der beiden Browser Firefox 2.0 und Internet Explorer 7 miteinander verglichen. Wenig erstaunlich: Sieger war jeweils der eigene Browser. Die Studie von Mozilla ergibt einen 79:66-Sieg für Firefox, die Studie von Microsoft einen 89:53-Sieg für den IE. Der Erkenntnisgewinn der beiden Studien ist somit bescheiden; immerhin zeigt sich klar, dass auch ein moderner Browser keinen 100prozentigen Schutz gegen Phising bieten kann.

(via InfoWeek

Ältere Beiträge zum Thema: