Inhaltsverzeichnis - TYPO3 Certified .Arbeiten mit aktuellen Systemen ... Einhalten der TYPO3 Sicherheitsempfehlungen

  • View
    216

  • Download
    0

Embed Size (px)

Text of Inhaltsverzeichnis - TYPO3 Certified .Arbeiten mit aktuellen Systemen ... Einhalten der TYPO3...

  • InhaltsverzeichnisSzenario........................................................................................................................................................................................................................3

    Ihre Risiken..................................................................................................................................................................................................................4

    Einschleusen von Schadcode in Webseiten (Cross Site Scripting, SQL-Injections etc.).................................................................4

    Ausnutzen von bekannten Schwachstellen des Server-Betriebssystems........................................................................................4

    Gefahr: Schwache und schlecht verschlsselte Kennwrter...............................................................................................................4

    Die Folgen....................................................................................................................................................................................................................5

    Seite lahmlegen und verndern (Defacing).........................................................................................................................................5

    Server zum Versenden von Spam missbrauchen....................................................................................................................................5

    Diebstahl und Missbrauch von Kundendaten...........................................................................................................................................6

    Server liefert Schadcode aus..........................................................................................................................................................................6

    Serviceunterbrechung (DoS/DDoS)...............................................................................................................................................................7

    Verffentlichung von Hacks............................................................................................................................................................................7

    Unser Basispaket fr Ihre Sicherheit...................................................................................................................................................................8

    Arbeiten mit aktuellen Systemen..................................................................................................................................................................8

    berwachen der Webseite..............................................................................................................................................................................8

    Erkennen von Angriffen...................................................................................................................................................................................8

    Beobachten aller Vorgnge.............................................................................................................................................................................8

    Abschotten jeder Anwendung.......................................................................................................................................................................9

    Einhalten der TYPO3 Sicherheitsempfehlungen.......................................................................................................................................9

    Individuelle Sicherheitsmanahmen.................................................................................................................................................................10

    Sichern von Kennwrtern.............................................................................................................................................................................10

    Schtzen der Verbindung.............................................................................................................................................................................11

    Absichern des TYPO3 Backends..................................................................................................................................................................11

    Seite 2 von 11

  • SZENARIO

    Es ist 06.00 morgens und statt des Weckers klingelt Ihr Handy ununterbrochen. Verschiedene Express-Dienste wollen

    Ihnen Waren zustellen, die Sie nicht bestellt haben. Verrgert fahren Sie ins Bro und auch hier stehen die Telefone

    nicht still, da dutzende Anrufer unbedingt den eigentlich in Deutschland verbotenen Hardcore-Streifen bestellen wollen.

    Die Anrufer sind verrgert, bieten Sie doch auf Ihrer Website gut sichtbar genau diesen Film zum halben Preis an.

    Kaum ffnen Sie Ihr Mailkonto, lesen Sie hunderte Mails emprter Kunden, die alle in Ihrem Namen anzgliche

    Nachrichten erhalten haben. Es dmmert lhnen langsam? Sptestens als die Polizei vor der Tr steht und sich nach

    Ihren Millionen Mailaussendungen nach Fernost erkundigt ist es Ihnen klar? Jetzt kann Ihnen auch Ihr Facebook-

    Account nicht mehr helfen, denn hier bekennen Sie Ihre Nhe zu politischen Kreisen auerhalb der Rechtsordnung.

    Eine bertriebene Darstellung? Horrorszenario oder Phantasie? Leider nein. Diese Flle sind Realitt. Ob durch simple

    Passwrter und deren Verwendung auf verschiedenen Plattformen, ob Einsatz unsicherer Softwarelsungen oder

    offener Kanle - Hacker knnen sich leider sehr einfach Zugang zu Webauftritten, persnlichen Daten und

    Kundeninformationen verschaffen. Dies ist rgerlich, kriminell und wirtschaftlich entsteht Ihnen ein enormer Schaden.

    Von den "emotionalen" Widrigkeiten ganz zu schweigen.

    Wir mchten Sie fr das Thema "Online-Sicherheit" sensibilisieren und Ihnen zugleich Lsungswege aufzeigen, die Ihre

    Webseite sicherer machen.

    Wir mchten, dass Sie auch in Zukunft nur durch Ihren Wecker aus Ihren Trumen gerissen werden!

    Bergisch Gladbach, den 23.10.2013

    Ihr Kennziffer-Team

    Seite 3 von 11

  • IHRE RISIKEN

    Einschleusen von Schadcode in Webseiten (Cross Site Scripting, SQL-Injections etc.)

    Bekannte und unbekannte Lcken in installierten Applikationen werden ausgenutzt, um Schadcode in die Datenbank

    bzw. die Webseite zu transportieren. ber eine solche Infektion kann oftmals unerlaubter Serverzugriff erlangt werden.

    Ausnutzen von bekannten Schwachstellen des Server-Betriebssystems

    Auch das Betriebssystem des Servers sollte auf dem aktuellen Stand sein. Dafr ist der Hoster zustndig. Im

    schlimmsten Fall kann direkter Serverzugriff erlangt werden.

    Gefahr: Schwache und schlecht verschlsselte Kennwrter

    Zu kurze Kennwrter, bzw. leicht zu erratende Kennwrter, ermglichen unautorisierten Personen leichten Zugriff. Eine

    Sensibilisierung fr die richtige Art ein geeignetes Passwort zu finden ist notwendig.

    Seite 4 von 11

  • DIE FOLGEN

    Verluft ein Angriff erfolgreich, sind die Konsequenzen fr den Serverbetreiber, dessen Kunden und Besucher vielseitig.

    Oftmals erlangt der Angreifer nicht nur Zugriff auf die Applikation, wie beispielsweise das eingesetzte Content

    Management System (CMS), sondern auch Serverzugriff. Dadurch sind Anpassungen an Dateien, das Auslesen der

    Datenbank oder das Installieren einer eigenen Shell zum Absetzen von Befehlen meist blitzschnell mglich.

    Ohne Anspruch auf Vollstndigkeit zeigen wir Ihnen ein paar Beispiele der Folgen auf:

    Seite lahmlegen und verndern (Defacing)

    Erlangt der Angreifer Serverzugriff, kann er im schlimmsten Fall den gesamten Internetauftritt physikalisch lschen, so

    dass dieser neu hergestellt werden muss. Im Normalfall wird lediglich die Startseite mit eigenen Inhalten und eigener

    Optik angepasst. Das Defacing wird als "Sport" betrachtet und meist kurz darauf ber einschlgige Foren publik

    gemacht. Seltener wird dies zur Publikmachung von politischen Statements genutzt.

    Inhaltsanpassungen mit fragwrdigem Gedankengut, Spam oder ungewollten Verlinkungen knnen die Folge sein. Je

    nach Inhalt der Anpassung sind Imageschden fr den Angegriffenen in weitem Ausma mglich.

    Erfolgt kein Monitoring der Webseite, kann eine Vernderung durch Defacing erst spt bemerkt werden. Bei

    Seitenlschung kommt es zu Ausfallzeiten, die besonders Shop- oder Serviceanbieter hart treffen knnen.

    Server zum Versenden von Spam missbrauchen

    Mittels eingeschleuster Mailing-Scripte versendet der Angreifer massenhaft Spam-Mails ber den gekaperten Server.

    Nicht nur, dass der Server auf den bekannten Spam-Sperrlisten landet und somit Mails von den auf ihm befindlichen

    Domains immer als Spam eingestuft werden, auch Google straft die Seite ab. Wichtige E-Mails erreichen dadurch ihre

    Adressaten nicht mehr und das Entfernen des Blacklistings des Servers kann Tage dauern. Der Imageschaden ist

    immens, wenn in den Absenderadressen der versendeten Spam-Nachrichten reale Domains des Servers auftauchen.

    ber die Aktualisierung der eingesetzten Software und regelmiges Monitoren des Servers, kann die Gefahr des

    Spammings gering gehalten werden.

    Seite 5 von 11

  • Diebstahl und Missbrauch von Kundendaten

    Ist einmal der Zugang zum Server erlangt, stehen dem Angreifer alle Mglichkeiten zur Nutzung des Servers und seiner

    Daten zur Verfgung. Somit besteht die Mglichkeit, dass Kundendaten aus Dateien oder Datenbanken ausgelesen und

    auf dem Sc