Logo von Mediengestaltung Torsten Kelsch

ownCloud auf Verwundbarkeiten prüfen

Mit der quelloffenen und kostenlosen Software ownCloud hat man eine Möglichkeit an der Hand, Daten auf einem eigenen Server bzw. auf angemietetem Webspace zu speichern. So ist man unabhängig von zentralisierten Diensten wie zum Beispiel Dropbox. Und auch wenn es auf der Website von ownCloud heißt: »Ein sicheres Heim für alle deine Daten«, drohen Gefahren, nämlich wenn man seine Installation nicht aktuell hält. Prinzipiell kann man sagen, je älter eine Software ist, desto anfälliger ist sie auch gegen Einbrüche.

Um zu testen, ob die eigene Installation Sicherheitslücken aufweist, kann man den Vulnerability Scanner von ownCloud verwenden. Er lässt sich über den Webbrowser bedienen: Man gibt einfach die eigene ownCloud-Adresse ein, klickt auf die Schaltfläche »Scan«, wartet ein Weilchen und bekommt dann gesagt, ob alles in Ordnung ist. Falls nicht, sollte man schnellstens auf die neueste Version aktualisieren!

ownCloud Vulnerability Scanner

EaseUS Todo Backup günstig kaufen

Zu einem Kauf bei SoftMaker wurde mir im Rahmen einer Sonderaktion, die jetzt im Juli läuft, EaseUS Todo Backup Home für Windows kostenlos mitgeliefert. Dies ist eine Software, um Datensicherungen und Spiegelungen anzulegen. Sie kostet normalerweise 27 Euro.

Doch auch wenn man gerade nichts bei SoftMaker bestellen möchte, kommt man günstig an Todo Backup dran. Man lädt sich die kostenlose Version (Free) herunter, probiert sie aus und deinstalliert sie wieder. Sogleich wird im Browser ein Fenster geöffnet, in welchem die Deinstallation bestätigt wird. Und gleichzeitig wird einem ein Sonderangebot unterbreitet: Man kann zwei verschiedene Versionen von Todo Backup und ein Bündel aus Todo Backup Home und Partition Master Pro jeweils zum halben Preis kaufen. So kostet zum Beispiel die Home-Version nur noch 13,50 Euro.

Box EaseUS Todo Backup Home

Die Sicherung der Systempartition und auch das Backup eines Ordners hatten mit der Free-Version ohne Fehlermeldungen geklappt. Wie gut die Rücksicherung funktioniert, habe ich allerdings noch nicht getestet, aber es wäre schon wichtig zu wissen … bevor ein eventueller Notfall eintritt – damit man sich nämlich gegebenenfalls nach einer anderen Lösung umsehen kann. Gleich werde ich aber erst mal die heute erhaltene Home-Version installieren. Und dann mal weiter testen.

Dienst für sichere Übertragung von Passwörtern

Sensible Daten wie Passwörter zu verschicken, ist eine heikle Sache. Eine E-Mail zum Beispiel könnte unterwegs irgendwo abgefangen werden, versehentlich falsch adressiert sein oder am Zielort an eine unberechtigte Person geraten. Ist sie unverschlüsselt und erhält sie das Passwort im Klartext, womöglich noch mit Angaben, wo das Passwort eingesetzt werden soll, und werden diese Daten missbraucht, kann ein großer wirtschaftlicher Schaden entstehen.

Man könnte natürlich die sensiblen Daten per passwortgeschützter PDF-Datei verschicken und jenes Passwort wiederum in einer separaten E-Mail. Oder das Passwort per SMS versenden oder telefonisch übermitteln. Diese Möglichkeiten sind allerdings recht umständlich, sowohl für den Sender als auch für den Empfänger.

Eine einfache und dabei recht sichere Verfahrensweise gibt es aber doch. Hierbei wird das Passwort verschlüsselt an einen Webserver geschickt, und dieser erzeugt einen Zugangslink. Dieser Link ist nur ein einziges Mal benutzbar. Das heißt: Sobald das Passwort abgerufen worden ist, verfällt der Link. Einen solchen Dienst bietet das deutsche Unternehmen web-vision GmbH an. Laut eigenen Angaben wird strikt nach deutschen Datenschutzgesetzen verfahren und der Server steht natürlich in Deutschland. Unter sflink.de/about wird alles ganz genau erklärt.

sfLink

CHIP 11/2014: Kaspersky PURE 3.0 Total Security

Wer gerade einen kostenlosen Virenschutz sucht, wird im aktuellen CHIP-Heft fündig: die Kaspersky PURE 3.0 Total Security liegt dem Heft bei. Es ist eine nicht upgradefähige Jahresversion für drei PCs, die vor der ersten Benutzung und dann noch einmal nach einem halben Jahr registriert und freigeschaltet werden muss. Immerhin, dafür halt sozusagen für den Preis des Heftes, sieben Euro. Diese Internet-Sicherheits-Suite lässt sich allerdings auch für drei Euro herunterladen, ohne dass man das Heft kaufen muss.

Ob dieses Sicherheitspaket gut ist und ob das Programm den PC besonders lahm macht, weiß ich nicht, weil ich eine andere Software verwende und dieses Angebot nicht getestet habe. Daher bitte ich darum, diesen Blogartikel hier nur als Hinweis, aber nicht unbedingt als Kaufempfehlung anzusehen.

Passwörter aus FileZilla auslesen

Gestern stand ich vor folgendem Problem: Mit meinem Quelltext-Editor WeBuilder wollte ich PHP-Dateien nach der Bearbeitung direkt auf den Server einer Kundin hochladen. Dafür richtete ich im Editor den FTP-Zugang ein. Das Passwort, das ich mir an anderer Stelle notiert hatte, wurde aber beim Verbindungsaufbau als falsch abgewiesen.

Im FTP-Programm FileZilla, wo ich vor längerer Zeit schon einen entsprechenden Zugang angelegt hatte, klappte hingegen alles, dort musste das Passwort also stimmen. Doch zeigt FileZilla ja die Kennwörter nicht an, man sieht nur die für Passwort-Eingabefelder typischen Sternchen. Um die Kundin anzurufen und nach den Zugangsdaten zu fragen, war es schon zu spät am Abend. Was also tun?

Nun, es gibt die Möglichkeit, die gesamte Konfiguration aus FileZilla als XML-Datei zu exportieren, und in dieser Datei stehen dann die Kennwörter unverschleiert. Diese Lösung fand ich auf einem Verbraucherportal mit dem irreführenden Titel Gutes tun.

Nun kann man sich natürlich fragen, warum FileZilla keine Möglichkeit bietet, bei Bedarf auf sichtbare Passwörter umzustellen. Aus Sicherheitsgründen? Das ist Quark, denn Unbefugte können auf die oben beschriebene Weise die Daten eben doch ausspähen. Sie werden ja nicht verschlüsselt.

Wie auch immer – ich war froh über die lasche Sicherheit, denn so konnte ich gestern am späten Abend doch noch meine Arbeit zu Ende bringen.

Nachtrag 2. März 2017:
Inzwischen sind schon seit einiger Zeit die Passwörter in der Datei sitemanager.xml verschlüsselt. Unter Linux findet man sie unter Persönlicher Ordner > .config > filefilla. Allerdings wird nur eine base64-Codierung, die sich leicht decodieren lässt, verwendet. Ebenso werden die in exportierten Dateien stehenden Passwörter auf diese Weise verschlüsselt. Wer will, kommt also nach wie vor an die Passwörter heran. Allerdings nicht mehr mal so eben auf die Schnelle.

Sicherheit auf die leichte Schulter genommen

Gerade im Zusammenhang mit dem Computer wird Sicherheit immer wieder gern auf die leichte Schulter genommen. Natürlich ist es blöd, dass wir in einer Welt voller Missgeschicke, Unglücke und krimineller Subjekte leben. Aber weil es keinen Sinn hat, darüber zu lamentieren, versucht man sich eben so gut es geht zu schützen.

Dass man die Wohnungstür abschließen muss und die Geldbörse nicht ausgerechnet in die Gesäßtasche der Hose stecken sollte, leuchtet wohl fast jedem ein. Dass man sich besser nicht auf wackelige Eigenbau-Konstrukte stellt, sondern eine Sicherheitsleiter benutzt, wenn man nicht stürzen will, ist auch klar. Damit man Knöpfe an der Jacke nicht verliert, müssen sie mithilfe eines stabilen Fadens fest angenäht sein; und für den Fall, dass doch mal ein Knopf unbemerkt abgerissen wird, ist oft innen in der Jacke noch ein Ersatzknopf angebracht, ebenso wie es im Kofferraum des Autos den klassischen Ersatzreifen gibt.

Aber der Computer? Oft genug habe ich Freunde ihr Leid beklagen hören, weil Daten aufgrund einer defekten Festplatte verlustig gegangen sind oder Dateien verseucht wurden, da keine Sicherheits-Software installiert war. Da hatte man offensichtlich an 70 Euro für eine externe Festplatte oder für ein Internet-Sicherheits-Paket gespart, aus welchen Gründen auch immer.

Kurios ist auch folgende Sorglosigkeit: Von einem früheren Arbeitgeber durfte ich damals das defekte Notebook, das eigentlich zum Wertstoffhof wandern sollte, mitnehmen. Es war wirklich als solches nicht mehr zu gebrauchen, aber als Teilespender für mich noch interessant. Und was fand ich auf der Festplatte? Nicht nur geschäftliche Daten, sondern auch Bewerbungen der Ehefrau sowie Privates der Tochter. Und eigentlich hatte dieser Laptop als Mitarbeiter-Notebook fungiert …

Und 18 Millionen gestohlene E-Mail-Adressen samt Zugangsdaten – das ist schon eine Dimension, die beängstigend ist. Für welche kriminellen Machenschaften werden diese Daten wohl verwendet werden? Wie sind die Kriminellen überhaupt an diese ganzen Daten gelangt? Vielleicht ist in die Server von Internet-Service-Providern eingebrochen worden, vielleicht ist auch Schadsoftware in private Rechner eingeschleust worden, die Zugangsdaten mitgelesen und an die Kriminellen gesendet hat. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weiß es zur Zeit noch nicht.

Weiterer Lesestoff:
Millionenfacher Datendiebstahl
So reagieren Sie richtig auf den Datenklau
Hier können Sie testen, ob Sie betroffen sind
Wer haftet wenn meine Daten gestohlen werden?

Unsichere Passwörter

Ich habe kürzlich eine Testversion des Programmes Password Depot 7 von AceBIT installiert, weil man damit nach Angaben des Herstellers nicht nur Passwörter sicher verschlüsselt auf dem PC speichern, sondern auch Login-Daten auf Webseiten automatisch ausfüllen lassen kann. Ich habe die Software noch nicht gründlich getestet und will an dieser Stelle keine Bewertung schreiben.

Aber der integrierte Passwort-Prüfer hat mich erschrecken lassen, wie viele meiner Passwörter nicht wirklich sicher sind. Ich bin dann auf einen Online-Dienst namens How Secure Is My Password? gestoßen, mit dem man ebenfalls Passwörter testen kann. Demnach sind Passwörter mit acht Zeichen in drei Tagen zu knacken, selbst wenn sie Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen enthalten – und zwar nicht mit einem Cluster aus -zig Großrechnern oder mit gewaltigen Botnetzen, sondern mit einem einzigen herkömmlichen Desktop-PC. Beispiel: zA#6-7w3 oder sE99$8t6.

Passwörter wie Waldi oder Torsten sind, je nach Länge der Zeichenkette, in Bruchteilen einer Sekunde oder wenigen Sekunden geknackt. puroki23: 11 Minuten. Und ähnliche Passwörter gibt es zuhauf. Leider kommt, wenn ich Kunden oder Freunde auf unsichere Passwörter anspreche, eigentlich immer das gleiche Argument: nur in dieser einfachen Form könnten sie sich ihr Passwort merken. Und sie nehmen auch noch für alle möglichen Zugänge immer dasselbe Passwort.

Richtig sicher sind nur Passwörter ab zehn Zeichen, und zwar, wie oben schon erwähnt, als wildes Gemisch aus Klein- und Großbuchstaben, Ziffern und Sonderzeichen. Für Na36*4M77+ würde ein Rechner 526 Jahre benötigen. rA85-4n27)H6: 344-tausend Jahre.

Natürlich sind diese ganzen Angaben nur ungefähre, durchschnittliche Richtwerte.

BytePac: Aufbewahrungsbox und Festplattengehäuse

Die Firma CONVAR ist mir bis vor kurzem nur als Datenrettungs-Unternehmen bekannt gewesen. Inzwischen bieten sie aber auch Datensicherungs-Hardware an.

Und zwar ist ihr Produkt BytePac einerseits ein beschriftbares Aufbewahrungselement für externe Festplatten, gleichzeitig aber auch ein Gehäuse für externe Festplatten – und zwar aus stabilem Karton. Das ist neu. Bisher waren solche Gehäuse immer aus Metall oder Kunststoff. Diese Aktenordnern ähnelnden Schuber gibt es in verschiedenen Ausführungen, aber wer will, kann sie auch ganz individuell selber gestalten.

Man kann bei Bedarf gleich eine hochwertige externe Festplatte dazu kaufen und hat so ein komplettes Datensicherungs-System. Es lassen sich aber auch bereits vorhandene Festplatten verwenden – möglich ist der Anschluss von 2,5-Zoll- und 3,5-Zoll-Platten. Auch für die Zukunft soll das System gerüstet sein, da nur das Anschluss-Modul des Kits ausgetauscht werden muss. So muss man nicht das ganze System wegschmeißen.

Dass es sich nicht um Billigschund handelt, zeigt die Tatsache, dass fünf Jahre Garantie auf alle elektronischen Komponenten gegeben werden.

Besonders erfreulich: »BytePac wird ausschließlich in Deutschland und unter Einbeziehung sozialer Einrichtungen produziert. Ein faires Produkt durch und durch.«

Wenn das alles so stimmt, und davon gehe ich aus, dann handelt es sich um ein vorbildliches Produkt. Daumen hoch!

www.bytepac.de

avast!-Sandbox

Ich hatte mehrmals das seltsame Problem, dass sich auf meinen Windows®-Computern einige Programme nicht als geplanter Task starten ließen oder Programmeinstellungen nicht gespeichert wurden. Es dauerte einige Zeit, bis ich dahinter kam, was los war:

Es lag an den installierten Internet-Sicherheits-Paketen. Auf dem einen Computer habe ich avast!, auf dem anderen GData (das unter anderem die avast!-Engine verwendet). Ich hatte nicht bemerkt, dass sie die Ausführung mancher Programme nur in der Sandbox vornahmen. Nach Löschung der Sandbox-Ordner unter C:\ und Abstellung der Sandbox-Funktionalität lief wieder alles normal.

Und dabei waren die »verdächtigen« Programme ganz normale, gekaufte Anwendungsprogramme aus offiziellen Quellen. Manchmal ist Sicherheitssoftware eben überpingelig.

Alles eine Frage der Beliebtheit

Der Apple Macintosh wird immer beliebter und damit eben auch das Mac-Betriebssystem – und je beliebter ein Betriebssystem ist, desto lieber stürzen sich auch die dunklen Mächte darauf, genauer gesagt: die Viren- und Trojaner-Programmierer. Jüngst, Ende Februar, konnte man bei pc.de lesen, dass ein neuer Trojaner Mac-Geräte attackiert.

Wie sagte Alice Cooper in der Saturn-Werbung so gern: »Alles eine Frage der Technik!« Und genauso ist es auch eine Frage des Schutzes (und natürlich auch des gesunden Menschenverstandes), ob Windows-Benutzer stark oder wenig oder gar nicht unter Viren, Trojanern und Würmern zu leiden haben. Man muss halt Geld für Sicherheitssoftware ausgeben oder als Privatanwender meinetwegen kostenlose Programme verwenden. Jedenfalls zeigt die Tatsache, dass nun auch Mac OS zunehmend zum Angriffsziel wird: das absolut sichere Betriebssystem gibt es leider nicht.

Alles eine Frage der Beliebtheit und Verbreitung.