Ob das so wirklich funktioniert? Irgendwie habe ich doch meine Zweifel. Diese Art von Schloss wird auch bei diversen Sicherheitsschlössern für Fahrräder benützt. Dabei haben diese z.T. jeweils auch eine sehr hohe Sicherheitsstufe. Somit kann ich mir fast nicht vorstellen das dies mit einem Karton gehen soll.
Schlagwort-Archive: Security
Automatisiertes MySQL Backup
Im Moment beschäftige ich mich mit dem automatisierten Backup von MySQL sowie Webseiteninhalten.
Eine Möglichkeit zum Backupen von MySQL DBs ist der MySQL Administrator. Er kann auch automatisiert Backups erstellen. Nachteil dieser Lösung ist, dass ein PC/Mac laufen muss, damit das Backup automatisiert über den Cronjob ausgeführt wird.
Ein MySQL Backup kann jedoch auch über ein Shell Script oder ein PHP Script erstellt werden. Dieses wird dann vom Server mit Cronjob regelmässig aufgerufen:
%s/backup.sql.gz',
$dbhost,
$dbuser,
$dbpwd,
$dbname,
getenv('DOCUMENT_ROOT')
)
);
?>
Wer es ein wenig detaillierter haben will, findet im selfphp Kochbuch Hilfe.
Ein weiteres sehr gutes Script findet sich bei DragonDesign. Ich werde dieses Backupscript als Grundlage für meine Weiterentwicklung gebrauchen.
Folgende Punkte will ich zusätzlich integrieren:
- Backup vordefinierter Ordner
- Komprimieren des File und MySQL Backups in einem Archiv
- Automatisiertes Hochladen des Backups auf einen entfernten FTP Server
Je nach dem wie gut mein Hack ist, werde ich das Script danach hier zum Download anbieten.
6 von 10 Mitarbeitern stehlen Daten
Nach einer Untersuchung des Ponemon Institute sollen bis zu sechs von zehn Angestellten interne Unternehmensinformationen nach dem Erhalt der Kündigung für eigene Zwecke stehlen. «Diese Dinge geschehen aus Angst und Besorgnis», erklärt Ponemon-Mann Mike Spinney gegenüber BBC News. Die Marktforscher haben für die Untersuchung 945 Erwachsene in den USA befragt, die ihren Arbeitsplatz verloren hatten. Alle Teilnehmer verfügten über brisante Informationen wie Kundendaten, Kontaktlisten, Mitarbeiterdaten, Finanzberichte oder bestimmte Software-Tools.
Weitere Infos und den ganzen Text dazu beim PC Tipp.
Nagios – Automatische Überwachung einer IT-Infrastruktur
Pro-Linux hat einen Betrag über Nagios veröffentlicht. Nagios ist in etwa DAS System um eine IT-Infrastruktur zu überwachen. Es gibt verschiedene Firmen die auf Nagios aufbauend Tools anbieten um Server in verschiedenen Niederlassungen zu kontrollieren und überwachen. Vor einem Jahr habe ich an der Orbit-iEX eine Software dazu angeschaut. Leider weiss ich den Namen nicht mehr.
Im Artikel von Pro-Linux wird die Installation und Inbetriebname von Nagios auf einem Linux Server beschrieben.
Typo3: Die Wichtigkeit von Web-Software Updates
Vor kurzem hat Typo3 über eine Sicherheitslücke informiert. Es sollte dringend auf die aktuellste Version 4.2.6, 4.1.10 oder 4.0.12 aktualisiert werden.
Was passieren kann, wenn Sicherheitslücken nicht geflickt werden, musste Wolfgang Schäuble erfahren.
Zu Besuch bei Kroll Onrack
Der PC Tipp besuchte kürzlich Kroll Ontrack im ersten Schweizer Reinraum für Datenrettungen. Der ganze Bericht mit einigen Bildern dazu auf der Webseite des PC Tipp.
Windows Passwörter knacken
Wenn das Passwort zum PC vergessen wurde, kann dieses mit dem Open Source Programm Ophcrack innerhalb weniger Minuten entschlüsselt werden. Ophcrack kann von einer Live-CD ausgeführt werden oder auch direkt installiert werden.
So geht’s: Live-CD von der Ophcrack Seite herunterladen und brennen. Für Windows XP und Windows Vista gibt es zwei verschiedene Live-CDs. Beim Starten des PCs mit der Delete-Taste oder der F2-Taste in das Bios wechseln und die Bootreihenfolge entsprechend anpassen, damit beim Starten des PCs von der CD gebootet wird.
Anschliessend wird Ophcrack ausgeführt. Das Entschlüsseln der Passwörter startet automatisch.
Hier die Anleitung zur Live-CD auf YouTube:
Schlechte Verschlüsslung auf USB-Festplatten
Wie das c’t schon mehrfach testete ist die Verschlüsselung von USB Festplatten bei günstigen/billigen Anbietern alles andere als Sicher. So konnte die Verschlüsselung der Festplatte mittels eines einfachen, selbstgeschriebenen Programms ausgehebelt werden.
Im Test waren die Modelle Staray S125 und S325 vom chinesischen Hersteller Raidon, welche einen selbst entwickelten Algorithmus einsetzen.
Mehr dazu in der aktuellen c’t 4/09 auf Seite 60.
Als Fazit ergibt sich wieder mal, dass auch für USB Platten nur TrueCrypt in seiner portablen Version in Frage kommt um Daten sicher zu schützen. Der Nachteil davon ist wie immer die beschränkte Betriebssystemkopatibilität.
PHP ausführliches Error Reporting
Der erste Schritt um eine PHP Anwendung abzusichern ist das aktivieren eines Features zum loggen der Anwendungsfehler. Anwendungsfehler geben oft Rückschlüsse auf die Angreifbarkeit der Anwendung.
Beispiel: Viele der register global ähnlichen Fehler können einfach entdeckt werden wenn man das Error-Report Level erhöht.
Hier der Code zum dies zu machen:
error_reporting(E_ALL | E_STRICT); // in PHP 4.x E_ALL
ini_set("display_errors", 0);
ini_set("log_errors", 1);
ini_set("error_log", "/home/user/logs/app_xyz.php.log");
Die erste Linien ist zum aktivieren des Loggings aller Errors. (E_ALL in PHP 4.0 oder E_ALL | E_STRICT in PHP 5.0 and höher) Sie zeigen alle Warnungen, Fatal Error, und informationen über alle nicht initialsierten Variablen. Die zweite Linie deaktivert das zeigen der Fehler.
Um dieses Logging zu aktivieren, muss der obenstehende Code nur in den Kopf der entsprechenden PHP Applikation kopiert werden.
E-Mailadressen verschlüsseln
Um E-Mailadressen auf Webseiten zu verschlüsseln gibt es verschiedene Möglichkeiten. Eine davon werde ich hier näher anschauen.
Genutzt wird die Methode von mehreren CMS Systemen. Unter anderem auch von Typo3. Sie besteht aus zwei Teilen. Die E-Mailadresse wird mittels PHP verschlüsselt. Mittels JavaScript wird die Adresse beim Klick darauf entschlüsselt und mittels mailto: Link direkt im Mailprogramm geöffnet.
PHP Teil:
function encrypt_email($addi) {
$r='';
$addi='mailto:'.$addi;
for( $i=0; $i < strlen($addi); ++$i) {
$n = ord($addi[$i]);
if( $n >= 8364 ) {
$n = 128;
}
$r .= chr($n+1);
}
return "javascript:linkTo_UnCryptMailto('".$r."')";
}
?>
Der JavaScript-Teil:
Der JavaScript Teil wird im Header der Seite eingefügt.
Die Anwendung:
">info auf example punkt ch