Marco Ziesing

Im OpenSource-Pendant zu Google Analytics “Piwik” gibt es im Bereich der automatisierten Archivierung über ein Shell-Skript einen kleinen Denkfehler, der Unbefugten über die API Zugriff auf Statistiken ermöglicht. Das Skript liegt standardmäßig im Verzeichnis piwik/misc/cron/ welches über HTTP abrufbar ist. Da in diesem Skript zur Zeit noch der geheime API-Schlüssel hinterlegt sein muss, lässt er sich über einen simplen HTTP-Aufruf auslesen. Abhilfe schafft vorerst das Verschieben des Skripts in ein Verzeichnis außerhalb des DocumentRoot-Verzeichnisses oder eine .htaccess-Datei mit der Zeile “Deny from all” im cron-Verzeichnis. Ein Ticket zu diesem Problem habe ich schon erstellt und es wird an einer allgemeinen Lösung gearbeitet.

Update (19.03.2009)

Das aktuelle Shell-Skript holt sich die Daten nun direkt aus der Konfigurationsdatei.

So langsam muss ich hier mit meinen Beiträgen mal wieder etwas aufholen, da ich mittlerweile etwas hinterherhinke und sogar die chronologische Reihenfolge schon durcheinander gerät. Dieser Beitrag sollte vor dem über die CeBIT stehen und Fabians Blog-Eintrag hat mich heute nochmal daran erinnnert; den Test der “Assurer Prüfung” habe ich nämlich schon am 7. März bestanden.
An alle Assurer, die die Prüfung noch nicht abgelegt haben: Macht’s, es ist nicht schwer und tut auch nicht weh! Es hilft CAcert nur weiter.

Schon 1997 startete der Heise Verlag seine Krypto-Kampagne und zertifizierte digitale Schlüssel. Jedoch ist bis heute das Arbeiten mit verschlüsselten Daten und Kommunikationswegen leider nicht ausreichend verbreitet. Zum Beispiel werden noch immer häufig vertrauliche Daten in unverschlüsselten E-Mails verschickt; lesbar wie eine Postkarte. Da sich nun aber mittlerweile mehr Internet-Nutzer, auch aufgrund aktueller Gesetzesänderungen, für die Themen Datenschutz und Privatsphäre interessieren, möchte ich hier ein paar kleine Einstiegshilfen aufzeigen.

Warum Daten sichern

Einige Leser fragen sich an dieser Stelle sicherlich, warum ihre Daten überhaupt geschützt oder verschlüsselt werden sollten. Ein paar ausführliche und verständliche Antworten auf diese häufig aufkommenden Fragen gibt zum Beispiel das Einführungskapitel der CryptoCD.

Die CryptoCD und weitere Software-Pakete

Auf der CryptoCD sind alle nötigen Programme enthalten, um das Chatten, Mailen und Surfen unter Linux, MacOS X und Windows abzusichern. Für Benutzer des Betriebsystems MacOS X hält die Webseite “Mac GNU Privacy Guard” und für Windows-Benutzer “Gpg4win” weitere Anleitungen und Programme bereit, die den alltäglichen Umgang mit signierten oder verschlüsselten Daten vereinfachen.

Vertrauliche Informationen

Vorallem Datenträger mit geschäftsinternen Daten sollten verschlüsselt werden. Gestohlene Notebooks, durch einen Einbruch entwendete Computer oder achtlos weggeworfene Festplatten enthalten oft genug sensible Daten. Um dadurch eventuell entstehenden Schäden vorzubeugen, bieten sich Programme wie “CryptoBox” oder “TrueCrypt” an. Sie sind in der Lage ganze Dateisysteme zu verschlüsseln. Die auf der Linux-Distribution “Debian” basierenden CryptoBox-LiveCD ermöglicht den Betrieb eines Dateiservers ohne fest eingebaute Festplatten. So ließe sich zum Beispiel eine USB-Festplatte an einem kleinen, stromsparenden Rechner betreiben und außerhalb der Arbeitszeiten leicht im Tresor verstauen.

Web of Trust

Im “Netz des Vertrauens” werden die Echtheiten der digitalen Schlüssel gegenseitig oder über Dritte bestätigt. Dies ermöglich eine schnelle und einfache Verbreitung der Authentizität eines Schlüssels und des Inhabers. Die gemeinschaftsbetriebene Zertifizierungsstelle “CAcert” ermöglicht, nach ausreichenden Bestätigungen, auch das erstellen kostenloser Server-Zertifikate.

Das Plugin “FiSH” erweitert XChat um eine Blowfish-Verschlüsselung. Es kann private Chats und auch ganze Räume verschlüsseln. Da es vom Autor jedoch keine fertige Datei für AMD64-Rechner gibt, musste ich sie selbst kompilieren. Dies erforderte allerdings etwas mehr Handarbeit als ein einfaches ‘make’. Daher habe ich ein fertiges Paket in meinen Download-Bereich gelegt.
Die Handhabung ist sehr einfach. Nachdem das Plugin zum ersten Mal geladen wurde, sollte mit /setinipw ein eigenes Passwort gesetzt werden. Danach können mit dem Befehl /keyx Schlüssel ausgetauscht werden. Eine vollständige Befehlsliste und Installationsanleitung liegt dem Plugin bei.

Jeder der SQL-basierte Webseiten entwickelt sollte das Problem “SQL Injections” kennen. In einer Mailingliste bin ich vor kurzem auf ein Programm aufmerksam geworden, welches ich euch nicht vorenthalten möchte: Priamos. Es hilft bei der Suche nach Sicherheitslücken und zeigt diese auch auf. Auf der Projekt-Webseite findet ihr auch ein Demo-Video.

Bitte verwendet dieses Programm nur zum Testen eurer eigenen Applikationen.