4. Februar 2009 von Michael | Anwendungen
Wenn man einen PC, ein Notebook oder nur eine Festplatte verkauft, muss man sich mit der Thematik beschäftigen, wie man Daten auf der Festplatte sicher und zuverlässig unwiderruflich löscht.
Dabei reicht es nicht, die betroffenen Daten einfach zu löschen und den Papierkorb zu leeren; beim Löschen wird nämlich nur das „Inhaltsverzeichnis“ des Dateisystems um die betroffenen Dateien bereinigt (z.B. bei NTFS ist das die Master File Table ‚MFT‘), die Daten selbst sind auch nach der Löschung nach wie vor auf der Festplatte vorhanden. Außerdem werden Informationen von geöffneten Dokumenten an verschiedenen Stellen abgelegt; bei Office-Dokumenten werden etwa durch die Software automatisch Kopien angelegt; außerdem werden Teile des Arbeitsspeichers in der Auslagerungsdatei gespeichert. Und etwa unter Microsoft Windows 2003 oder Vista gibt es die sog. Schattenkopien, die vor der Bearbeitung einer Datei automatisch erstellt werden damit man im Bedarfsfall einen alten Versionsstand bequem im Explorer wiederherstellen kann. Somit sind auch Programme völlig sinnlos, die angeblich einzelne Dateien durch mehrfaches Überschreiben „dauerhaft löschen“ können, da sie nicht berücksichtigen, dass sich noch an anderen Stellen des Betriebssystems Datenfragmente befinden können.
Einfaches Überschreiben der Sektoren reicht voll und ganz
Seit Jahren hält sich außerdem das Gerücht, dass ein einfaches Überschreiben der Sektoren auf der Festplatte nicht genügt und man dies mehrfach mit unterschiedlichen Daten machen müsse, um die Daten wirklich zu löschen. Wie Heise Security berichtete , hat kürzlich der Forensikexperte Craig Wright in einer wissenschaftlichen Untersuchung belegt, dass die Wahrscheinlichkeit der Rekonstruktion von einmalig überschriebenen Sektoren gegen null geht und es völlig unnötig und zeitverschwenderisch ist, Daten mehrfach zu überschreiben.
Sehr sensible Daten?
Festplatten, die sehr sensible Daten enthielten, sollte man aber dennoch nicht verkaufen. Stellt nämlich das ‚Defekt-Management‘ der Festplattenelektronik fehlerhafte Sektoren fest, so teilt es diesen Sektoren Ersatz-Sektoren zu. Die ursprünglichen Sektoren können nun aber noch Datenspuren enthalten, die von professionellen Datenrettern ausgelesen werden könnten. Dies lässt sich auch durch 35faches Überschreiben nicht vermeiden.
Außerdem kann man Software-Bugs nie zu 100% ausschließen, d.h. selbst wenn die Löschsoftware zum Überschreiben aller Daten durch Nullen zwar zum Schluss ausgibt, dass alle Sektoren erfolgreich überschrieben wurden, würde ich mich gerade bei hochsensiblen Daten nicht 100% darauf verlassen.
Die meisten werden aber wohl keine solch hochsensiblen Daten (z.B. Weltformel, Bauanleitung für ein funktionierendes Perpetuum Mobile, usw.) gerade auf Privatrechnern haben, so dass wohl die im Folgenden vorgestellten Anleitungen jeweils ausreichend sein sollten, um die Festplatten recht sicher und zuverlässig unwiderruflich zu löschen:
Weiterlesen…
5. August 2007 von Michael | Wordpress
Vor 5 Tagen hatte Benjamin Flesch auf einige neue Sicherheitslücken in WordPress aufmerksam gemacht und daraufhin sogar einen gutartigen Wurm veröffentlicht, der die Probleme unter Ausnutzung der Sicherheitslücken selbst beheben soll. Allerdings enthielt dieser Wurm noch 2 Bugs, die gestern behoben wurden.
Weiterlesen…
14. Juni 2007 von Michael | Wordpress
Vor wenigen Tagen berichtete ich von Sicherheitslücken im WordPress-Plugin Edit Comments.
Alex schreibt dort im Kommentar:
Ich habe das Problem gefunden, als ich das Plugin für einen Kunden installierte und habe es dem Autor gemeldet, der daraufhin die Warnmeldung auf der Plugin-Seite einfügte. Allerdings habe ich ihm wenig später auch einen Fix geschickt, den er aber nicht eingebaut hat — vermutlich weil er keine Zeit zum Testen hat(te).
Alex bietet unter jal-edit-comments.phps eine modifizierte Version an, in der die Sicherheitslücken geschlossen sind und zudem ein paar Kleinigkeiten behoben wurden, die bei ihm Probleme verursachten. Zum Schluss schreibt er noch: Download auf eigene Gefahr und ohne Garantie! Im Zweifelsfall hilft diff.
Nachtrag:
Die Modifikation scheint jedoch nicht in WordPress 2.2 zu funktionieren, beim ersten Test erhalte ich die Fehlermeldung You aren’t allowed to edit this comment, either because you didn’t write it or you passed the 15 minute time limit. :(
Vielleicht findet sich ja noch ein Freiwilliger, in Jörn Kretzschmars Version, die auch unter WP2.2 funktioniert, die Sicherheitslücken ebenfalls zu schließen.
5. Juni 2007 von Michael | Wordpress
Das beliebte WordPress-Plugin Edit Comments, welches es jedem Besucher ermöglicht, die eigenen Kommentare nach dem Absenden noch nachträglich zu editieren, hat wohl Sicherheitslücken, ohne dass diese näher spezifiziert werden. Der Autor schrieb am 17. Mai:
Edit Comments has some very grave security and compatibility issues that have NOT been addressed.
Dies sollte man auf jeden Fall ernst nehmen und das Plugin sicherheitshalber deaktivieren.
Den „compatibility issues“ hatte sich Jörn Kretzschmar schon im Februar 2007 angenommen und eine für WP 2.1 kompatible Version veröffentlicht (die übrigens auch in WP 2.2 läuft).
Allerdings ist wohl davon auszugehen, dass auch Jörns Version die vom Autor erwähnten Sicherheitslücken enthält.
Zudem schreibt der Autor, dass er das Plugin aus Zeitgründen nicht mehr weiterentwickelt und er einen Nachfolger sucht (kommt mir irgendwie bekannt vor ;)
Abhilfe verspricht Ajax Edit Comments (deutschsprachige Version gibt es von David, sein Blog ist lt. Blogwartung allerdings derzeit down). Allerdings ist ein Problem bei Ajax Edit Comments, dass es nicht bei jedem Theme funktioniert und sich der Edit-Bereich nicht individuell platzieren lässt.
(Danke vienna22 für den Hinweis)
4. Januar 2007 von Michael | Wordpress
WordPress 2.1 Beta1 Download:
Ja, es gibt nun die erste Beta-Version zu WordPress 2.1, Direktdownload (zip, 835k). Habe ich bei teezeh dot de gelesen, der gleich schon mal upgegraded hat, eine offizielle Ankündigung gab es aber wohl (noch) nicht.
WordPress Sicherheitslücke:
Frank Bültge weist auf eine WordPress-Sicherheitslücke hin, die alle aktuellen WordPress-Versionen einschließlich 2.0.5 betrifft, wobei Frank schreibt, dass der Fehler auch in der 2.0.6 beta 1 nicht behoben ist.
Bekannt ist diese Lücke wohl schon seit dem 27. Dezember, wie man bei dem Entdecker (?) Operation n nachlesen kann. techbuzz listet alle betroffenen stabilen WordPress-Versionen.
Einen Patch kann man im WordPress-Trac downloaden, oder man folgt den Anweisungen von Frank.
Es handelt sich hierbei übrigens um eine sog. XSS-Lücke, welche grundsätzlich sehr ernst zu nehmen sind.
- Update (Fr 5. Januar 2007):
Mittlerweile wurde WordPress 2.0.6 herausgebracht und kann hier heruntergeladen werden, diese Version enthält diese Sicherheitslücke nicht mehr.
Zudem soll WordPress 2.1 auch bald kommen, wie Matt schreibt. In mehreren Blogs liest man, die finale Version soll angeblich noch in diesem Monat kommen.
- Update (So 7. Januar 2007):
Mit WordPress 2.0.6 kann es Probleme geben, wenn man den Webservice Feedburner nutzt. Eine Lösung gibt es bei neosmart.net. Im Prinzip muss man 3 Zeilen der Datei wp-includes/functions.php auskommentieren, man kann auch einfach die bereits modifizierte functions.php hier herunterladen und mit der bestehenden ersetzen.
19. Oktober 2006 von Michael | Anwendungen
Apple hat wohl lt. Heise tatsächlich einige Video-iPods mit einem Windows-Wurm ausgeliefert.
Ob das Absicht war? ;-)
Nachtrag: Es gibt auch schon das passende Bild dazu:
18. September 2006 von Michael | Anwendungen
Bisher habe ich meine Passwörter (Email-Accounts, Webservices, Webforen, Shopping-Seiten wie Amazon etc., usw.) in der von mir geschriebenen Lotus-Notes-Datenbank Yet Another Password Database hinterlegt. Nachteil: Um mal schnell ein Passwort abzurufen, muss man den Fat-Client Lotus Notes öffnen, und das kann dauern, denn ansonsten verwende ich Lotus Notes zu Hause nicht mehr wirklich.
Daher habe ich mich nach einer Alternative umgesehen und bin bei dem Open-Source-Programm KeePass Password Safe hängengeblieben.
Im Folgenden nun eine Rezension zu KeePass:
Erfassung:
Bei der Erfassung eines Passwortes hat man alle wesentlichen Felder zur Verfügung:
Weiterlesen…
8. August 2006 von Michael | Entspannung
Dass es so einfach ist, war mir nicht bewusst: der folgende 8 Minuten lange Film zeigt mit Englischen Untertiteln, wie einfach Schlösser zu öffnen sind.
[Link gelöscht, Grund siehe Artikel Fuck off, YouTube]
In einer PDF-Datei (544k) werden weitere Details gezeigt. Wahrscheinlich ist es auch in Deutschland schwierig, Versicherungsleistungen im Fall von Diebstahl zu bekommen, wenn eine Wohnung ohne Spuren geöffnet wurde.
(via electrobeans)
27. Juli 2006 von Michael | Wordpress
Der Autor des WordPress-Plugins Spam Karma, Dr Dave, warnt vor einer Sicherheitslücke in WordPress.
Critical Announcement affecting ALL WordPress users:
If you are running WordPress as your blogging platform and if you have been trusting enough to leave User registration enabled for guests, DISABLE IT IMMEDIATELY (in wp-admin >> options: make sure “Anyone can register†is not checked).
Additionally, delete or disable ANY guest account already created by people you are not sure about.
WordPress-Benutzer sollen also temporär in den Optionen „Jeder kann sich registrieren“ deaktivieren, zudem sollten verdächtige registrierte User rausgeworfen werden.
Mehr Infos gibt es im WordPress.de-Forum, beim S-O-S SEO Blog und im Folgebeitrag von Dr. Dave.
WordPress 2.0.4 Beta
Wie es scheint, ist in der aktuellen Beta-Version 2.0.4 die Lücke geschlossen. Herunterladen kann man diese unter wordpress-2.0.4-beta.zip. Einfach bestehende Dateien ersetzen und danach .../wp-admin/upgrade.php ausführen.
Die Beta-Version scheint auch sonst sehr stabil zu sein und enthält bislang keine bekannten Fehler. Dennoch hat sich das Entwicklungsteam entschlossen, dass noch ein paar Tage getestet wird bevor man die finale Version 2.0.4 veröffentlicht, um zu vermeiden, dass wieder eine ähnlich fehlerhafte Version wie die 2.0.3 rauskommt.
Nachtrag (29.07.):
Vor wenigen Stunden wurde die finale Version von WordPress 2.0.4 veröffentlicht, damit ist die Sicherheitslücke geschlossen.
