GitLab Security Update Reviewed

NETWAYS schreibt die Sicherheit ihrer gehosteten Kundenumgebungen groß – daher kamen auch wir nicht um das Sicherheitsupdate in den GitLab Community Edition und Enterprise Edition Versionen herum.
GitLab machte Mitte März öffentlich, dass man auf eine Sicherheitslücke sowohl in der Community als auch in der Enterprise Edition gestoßen sei. Dabei soll es sich um sogenannte Server Side Request Forgery (SSRF) handeln, was Angreifern unter anderem den Zugriff auf das lokale Netzwerk ermöglich kann. GitLab löste dieses Problem nun durch ein Software Update und den Einbau der Option “Allow requests to the local network from hooks and services“, die per default deaktiviert ist und somit den Zugriff der Software auf das lokale Netz unterbindet.
Das Update auf eine neuere Version ist für viele Nutzer eine gute Lösung – allerdings nur, wenn diese keine Webhooks oder Services, die das lokale Netz als Ziel haben, nutzen. Denn wenn plötzlich die Webhooks und Services nicht mehr funktionieren und weder der Admin noch der User weiß, dass man bei der obigen Option einen Haken setzen muss, dann beginnt erst mal die Fehlersuche.
Fazit: Wer unbedingt auf Webhooks und ähnliches angewiesen ist, muss wohl oder übel vorerst mit der Sicherheitslücke leben.
Eingebaut wurde der Fix in folgende GitLab CE und EE Versionen: 10.5.6 / 10.4.6 / 10.3.9. Eine vollständige Übersicht an Releases findet man hier: GitLab Release

Managed Hosting bei NETWAYSGitLab CE und GitLab EE

NETWAYS Web Services – 30 Tage kostenfreies Testen von GitLab CE und GitLab EE

Nicole Lang
Nicole Lang
Sales Engineer

Ihr Interesse für die IT kam bei Nicole in ihrer Zeit als Übersetzerin mit dem Fachgebiet Technik. Seit 2010 sammelt sie bereits Erfahrungen im Support und der Administration von Storagesystemen beim ZDF in Mainz. Ab September 2016 startete Sie Ihre Ausbildung zur Fachinformatikerin für Systemintegration bei NETWAYS, wo sie vor allem das Arbeiten mit Linux und freier Software reizt. In ihrer Freizeit überschüttet Sie Ihren Hund mit Liebe, kocht viel Gesundes, werkelt im Garten, liest...

Spracherkennung als Sicherheitsrisiko

Was vor fünf Jahren noch undenkbar war, findet sich heutzutage in fast jedem Mobiltelefon: Spracherkennung. Die Einstiegshürde ist inzwischen dank Fortschritten bei der Erkennungsgenauigkeit sehr niedrig. Im Gegensatz zu Spracherkennungssoftware der ersten Generation ist auch das Training mit Mustertexten nicht notwendig.
Allgemein scheint der Trend in die Richtung zu gehen, Spracherkennung auf möglichst vielen Plattformen anzubieten. So hat Apple beispielsweise kürzlich Siri in macOS Sierra integriert und Microsoft bietet Cortana für Windows 10 an. Zusätzlich verkaufen sowohl Google als auch Amazon auf dem Gebiet der Home Automation Lautsprecher mit integriertem Mikrofon, die auf Spracheingabe reagieren.
Viele dieser Systeme “hören” permanent mit und reagieren auf bestimmte Schlüsselwörter: z.B. “Ok, Google”, “Hey Alexa”, “Hey Siri” und “Xbox”. Dabei findet in der Regel keine Unterscheidung zwischen verschiedenen Stimmen statt, weswegen auch andere Personen als der Besitzer des Geräts Befehle ausführen können, sofern sie sich in der Nähe befinden.
Bei Systemen wie Amazon Echo können Besucher beispielsweise kostenpflichtige Bestellungen aufgeben. Die meisten Mobiltelefone erlauben es, Kontakte anzurufen oder ihnen Nachrichten zu senden.
Andererseits kann auch der rechtmäßige Besitzer dazu veranlasst werden, ungewollt Befehle auszuführen, wie dieses YouTube-Video am Beispiel der Xbox One zeigt.
Da die meisten Mobiltelefone gar nicht die notwendige Rechenleistung aufbringen können, um die Spracherkennung selbst durchzuführen, senden sie eine Aufnahme der gesprochenen Worte an ihren Hersteller. Was dieser im Detail damit macht, wird zwar in den Datenschutzrichtlinien dargelegt – jedoch werden bestimmte externe Partner (NSA, Bundesnachrichtendienst, Verfassungsschutz, u.ä.) dort nicht erwähnt.
Ich für meinen Teil verzichte auf meinen persönlichen Teleschirm und habe daher auf allen meinen Geräten Siri, Cortana und co. deaktiviert. Nicht nur zur Wahrung meiner Privatsphäre, sondern auch, weil ich mir ziemlich komisch vorkommen würde, in der Öffentlichkeit mit meinem Handy zu sprechen – aber vielleicht bin ich auch einfach zu alt für solch neumodischen Kram.

Warum SSL nicht funktioniert

Zugegeben, der Titel ist sehr provokativ formuliert. Es soll hier auch gar nicht darum gehen, irgendwelche Sicherheitslücken direkt im SSL-Protokoll (bzw. TLS) oder einer der vielzähligen Implementierungen aufzuzeigen. Vielmehr möchte ich zeigen, dass Verschlüsselung, wie sie heutzutage an vielen Stellen eingesetzt wird, oft nicht mehr tut, als den Benutzer in Sicherheit zu wiegen.
Viele Webseiten unterstützen inzwischen Verschlüsselung – nicht zuletzt, da beispielsweise Google dies seit einigen Monaten in die Bewertung des Rankings einfließen lässt.
Seine Ziele erreicht SSL hier allerdings leider nur bedingt. Es wird zwar sichergestellt, dass die Webseite wie auch Benutzereingaben auf dem Transportweg z.B. durch transparente Proxies nicht verändert werden.
Trotz Verschlüsselung lassen sich von einem Angreifer, der die Netzwerkverbindung passiv abhören kann, dennoch viele Informationen ableiten:
1. Üblicherweise unterstützen Webseiten Redirects, die von HTTP auf HTTPS umleiten. Dabei wird allerdings die erste HTTP-Anfrage ohne Verschlüsselung abgesendet, aus der sich beispielsweise die vollständige URL erfahren lässt.
Zwar gibt es für dieses Problem die HTTP-Erweiterung HSTS, aber zum einen wird sie nur von den wenigstens Webseiten unterstützt und zum anderen greift sie nicht beim ersten Request.
2. Webseiten integrieren prinzipbedingt oftmals Bilder oder JavaScript-Dateien von anderen Webseiten. Selbst wenn diese auch über HTTPS-URLs eingebettet wurden, lässt sich zumindest feststellen, welchen Organisationen diese externen Webseiten gehören.
Beim Aufrufen eines WordPress-Blogs wäre es so beispielsweise nicht verwunderlich, IP-Adressen von Facebook, Google, Twitter und WordPress zu sehen, was z.B. darauf hindeuten würde, dass der Blog über Plugins für Social Buttons verfügt.
3. Anhand der in Punkt 2 ermittelten Daten lässt sich bereits ein recht guter Fingerabdruck erstellen. Noch eindeutiger wird dieser, wenn man die Download-Größe der Webseiten-Requests beobachtet. Viele Webseiten inkludieren beispielsweise eine unterschiedliche Anzahl an Bildern, die dazu beitragen, dass sich die Download-Größe von Seite zu Seite signifikant unterscheidet. Der technische Begriff dafür ist Traffic Analysis.
Um mit diesen Informationen Rückschlüsse auf die aufgerufene URL zu ziehen, müsste der Angreifer über einen Index aller aufrufbaren Seiten verfügen, um deren Download-Größe mit der tatsächlich aufgerufenen Seite zu vergleichen. Bei öffentlich zugänglichen Seiten ließe sich dieser Index mit Hilfe eines Web-Crawlers mit moderatem Aufwand erstellen.
Die beschriebenen Probleme gibt es natürlich nicht nur bei Webseiten. Wenn ich beispielsweise einen Blick in mein E-Mail-Postfach werfe, finde ich gerade einmal eine Handvoll signierter E-Mails und eine einzige verschlüsselte E-Mail. Alle anderen E-Mails liegen unverschlüsselt auf dem E-Mailserver meines Providers (Google).
Fragen Sie einfach einmal einen Ihrer Bekannten, ob deren E-Mails verschlüsselt sind: Dank großflächiger Werbemaßnahmen wie “E-Mail made in Germany” und De-Mail wird Ihnen dieser die Frage sicher bejahen. Dumm nur, dass dabei nur die Verbindung zum E-Mailserver der Provider verschlüsselt ist, dieser aber dann die Mails im Klartext einsehen kann.

CEP CT63 unter Windows 8.x und Windows Server 2012 (R2) einrichten

cep-ct63-terminal-usb-powered Mit Windows 8.x und den Server-Versionen 2012 (R2) hat Microsoft standardmäßig die Installation von nicht signierten Treibern verboten, um die Stabilität des Systems sowie die Sicherheit zu erhöhen. Wer unser CEP CT63 Terminal USB Powered oder CEP CT63 GSM USB/Seriell Starter auch unter den neuen Windows Versionen zum SMS-Versand nutzen will, stößt daher anfänglich auf einige Schwierigkeiten – die Treiber sind nämlich nicht digital signiert und daher nicht installierbar.
Um die Treiberinstallation auf diesen Windows-Versionen dennoch zu erlauben, muss Windows mit deaktivierter Treibersignaturprüfung gestartet werden. Und so gehts:
Step 1: Sytem im Auswahlmodus neu starten
1. Windows-Taste + i drücken
2. Auf “Ein/Aus” klicken
3. Windows mit gedrückter SHIFT-Taste “Neu starten”
Step 2: In den Optionen “Problembehandlung” auswählen
01_Problembehandlung
Step 3: “Erweiterte Optionen” öffnen
02_Erweiterte_Optionen
Step 4: “Starteinstellungen” öffnen
03_Starteinstellungen
Step 5: “Neu starten” anklicken
04_Neu_Starten
Step 6: “Erzwingen der Treibersignatur deaktivieren” mittels der Taste 7 oder F7
05_Treibersignatur_deaktivieren
Nun kann der Treiber ohne Probleme auf dem System installiert werden.
Natürlich haben wir auch eine Vielzahl von SMS-Gateways, welche treiberunabhängig sind und über das Netzwerk gesteuert werden können. Einfach mal in unserem Online Store reinschauen.
Fragen?
Dann einfach direkt Kontakt aufnehmen. Wir helfen gerne weiter!

Christian Stein
Christian Stein
Lead Senior Account Manager

Christian kommt ursprünglich aus der Personalberatungsbranche, wo er aber schon immer auf den IT Bereich spezialisiert war. Bei NETWAYS arbeitet er als Senior Sales Engineer und berät unsere Kunden in der vertrieblichen Phase rund um das Thema Monitoring. Gemeinsam mit Georg hat er sich Mitte 2012 auch an unserem Hardware-Shop "vergangen".

Passwörter im Puppet Master speichern mit trocla

Sichere PasswörterIn meinen Puppet Installationen habe ich mir angewöhnt alles in Git zu Versionieren, sowohl die kleinsten Module, als auch die Site Konfiguration der einzelnen Nodes.
Das stellte mich vor das Problem, wie hinterlege ich hier Passwörter ohne sie in die Manifeste zu schreiben und später mit in der Versionskontrolle gespeichert zu haben – was unter Umständen ein Sicherheitsrisiko wäre, selbst bei der Verwendung von Hashes.
Was ich als Lösung für mich gefunden habe war trocla. Es handelt sich dabei um ein Ruby Gem und ein Puppetmodul, das die einfache Möglichkeit bereitstellt die Passwörter in einer eigenen Datei zu speichern, abseits der Manifeste. Um ein Passwort zu verwenden muss nur die Parser-Funktion trocla() im jeweiligen Manifest verwendet werden.

Funktionen

  • Speichert Passwörter in einer YAML Datei, als einfache Key-Values
  • Kann mehrere Hash-Typen und Plaintext speichern
  • Passwörter können bei Bedarf automatisch erstellt werden
  • Das Plaintext Passwort muss nicht gespeichert bleiben
  • Muss nur auf dem Puppetmaster installiert sein

(mehr …)

Markus Frosch
Markus Frosch
Principal Consultant

Markus arbeitet bei NETWAYS als Principal Consultant und unterstützt Kunden bei der Implementierung von Nagios, Icinga und anderen Open Source Systems Management Tools. Neben seiner beruflichen Tätigkeit ist Markus aktiver Mitarbeiter im Debian Projekt.

Neu im NETWAYS-Online-Store: 2N UMTS Router

Kein DSL verfügbar? Die Problematik ist immer die gleiche: Einen Solarpark, ein Lager, ein Büro oder einfach nur ein Standort ohne kabelgebundenen Internetanschluss mit Internet zu versorgen  ist nicht immer einfach. Der Breitbandkabelausbau in Deutschland ist zwar in den letzten Jahren gut voran gekommen, jedoch sind noch lange nicht alle weißen Flecken auf der Karte abgedeckt.
Wir haben hierzu für unsere Kunden eine günstige und wirklich bequeme Lösung gefunden. Unsere 2N EasyRoute UMTS-Router.
Diese Router sind nicht abhängig von Breitbandkabelanschlüssen, das einzige was hierzu benötigt wird, ist eine SIM-Karte und ein entsprechenden Vertrag, welcher ein mobiles Internet bereitstellt.
Schon kann die Einrichtung los gehen: Karte rein, Router an Strom und Netzwerk anschließen und mittels Browser konfigurieren. Sobald der Router dann in das eigene Netzwerk eingebunden ist, können alle Geräte im Netzwerk über den Router auf das Internet zugreifen. Darüber hinaus ist der Zugriff via WLAN auf das Internet dann auch möglich.
Wer gerne am entfernten Standort auch noch ein Telefon und/oder Fax betreiben möchte, geht mit den 2N Routern auch nicht leer aus, unser Produkt 2N EasyRoute ‐ Quadband UMTS HSDPA 7,2 Mbps + HSUPA 5,76 Mbps inkl. FAX – UMTS-Router bringt genau diese Funktionen mit, als ob ein normaler Telefonanschluss vorhanden wäre.
Ein großer Vorteil dieser Geräte ist auch die Unterstützung von DynDNS-Diensten, sowie die Möglichkeit über das Webfrontend SMS zu verschicken.
Wir haben 3 dieser Router in unser Sortiment aufgenommen, diese Unterscheiden lediglich in der Funktionalität mit dem Fax bzw. der Dateiübertragung via HSDPA und HSUPA. Auf die 2N Geräte erhalten Sie in unserem Shop 2 Jahre Garantie.
Eine Liste der ausführlichen Fähigkeiten der 2N-Artikel finden Sie bei uns im Shop

Georg Mimietz
Georg Mimietz
Lead Senior Systems Engineer

Georg kam im April 2009 zu NETWAYS, um seine Ausbildung als Fachinformatiker für Systemintegration zu machen. Nach einigen Jahren im Bereich Managed Services ist er in den Vertrieb gewechselt und kümmerte sich dort überwiegend um die Bereiche Shop und Managed Services. Seit 2015 ist er als Teamlead für den Support verantwortlich und kümmert sich um Kundenanfragen und die Ressourcenplanung. Darüber hinaus erledigt er in Nacht-und-Nebel-Aktionen Dinge, für die andere zwei Wochen brauchen.

Festplatten sicher löschen

158829630_ad14f8265f
Inzwischen hat es sich ja herumgesprochen, dass sich Daten auf einer formatierten und sogar auf scheinbar sicher gelöschten Festplatte, relativ leicht wiederherstellen lassen. Wenn also ein einzelner Datenträger oder ein gebrauchter Server den Besitzer wechselt, sollte man also sicher gehen, dass die Daten, die sich früher darauf befunden haben, wirklich sicher vernichtet wurden.

Warum die Daten wiederhergestellt werden können?

Die einfachste und schnellste Möglichkeit einen Datenträger zu leeren, ist das Formatieren. Dabei wird allerdings nur die Dateizuordnungstabelle gelöscht. Die Daten selbst bleiben weiterhin auf der Festplatte stehen und werden erst später, wenn neue Daten auf die Platte gesichert werden, wirklich überschrieben. Gibt man die Festplatte vorher weiter, ist es für den neuen Besitzer mühelos möglich die alten Dateien wiederherzustellen. Vergleichbar ist das, wenn man die Inhalte eines Buches vernichten will und nur das Inhaltsverzeichnis entfernt, die eigentlichen Inhalte aber weiterhin in dem Buch stehen bleiben.
Selbst wenn alle Daten auf der Festplatte wirklich gelöscht oder überschrieben wurden, ist es zumindest theoretisch noch möglich, die Daten wieder zu rekonstruieren: In dem magnetischen Material der Festplatte bleibt in einem winzigen Teil noch die alte Information erhalten. Ähnlich wie bei einer Musikkasette, bei der nach mehrfachem Überschreiben noch die alte Musik durchhörbar ist. Manche Magnetpartikel haben nicht die neuen Daten angenommen, sondern weiterhin die alte Information behalten.

Welche Aufwand sollte man treiben?

Aus diesem Grund sollte man seine Festplatten, je nach Sicherheitsanforderung einmal oder besser mehrfach überschreiben. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt im IT Grundschutz Katalog (früher Grundschutzhandbuch): “Die Überschreibprozedur sollte aus mindestens zwei, besser drei Durchläufen bestehen.” Die Zeitschrift c’t hat diese Anforderung allerdings in Ausgabe 5/2003 nachgeprüft und mehrere Datenrettungsunternehmen mit der Wiederherstellung von überschriebenen Festplatten beauftragt. In der Praxis hat sich dabei ergeben, dass ein einfaches Überschreiben völlig ausreichend ist, denn keines der beauftragten Unternehmen konnte die Daten wiederherstellen.
Es sollte daher für normale Daten völlig ausreichen den Datenträger einmalig mit Nullen zu überschreiben. Nur bei wirklich wichtigen oder geheimen Daten sollte man sich als Adminstrator an die Empfehlungen des BSI halten und die Festplatten drei mal, am besten mit zufälligen Daten überschreiben. Wenn man allerdings vollkommend sichergehen will, sollte man entsprechende Datenträger gar nicht aus der Hand geben und sie am besten physikalisch zerstören (lassen).

Wie überschreibt man die Daten am besten?

Je nach Betriebssystem gibt es unterschiedliche Möglichkeiten Datenträger zu löschen. Unter Linux geht es am einfachsten mit dem dd-Befehl (disc-dump). Um die erste Festplatte mit Nullen zu überschreiben, kann man “dd if=/dev/zero of=dev/hda” verwenden und das ganze im zweiten und dritten Durchlauf mit Zufallszahlen durch dd if=/dev/urandom of=/dev/hda” noch weiter absichern.
Der Mac bietet entsprechende Optionen direkt in der Festplattenverwaltung “Festplatten-Dienstprogramm“. Beim Löschen einer Festplatte oder Partition kann man mit einem Klick auf “Sicherheitsoptionen” direkt angeben, ob die Daten gar nicht gelöscht werden oder alternativ einmal, sieben mal oder gar 35 mal mit Nullen überschrieben werden sollen. Entsprechende Zeit muss man natürlich mitbringen. Bei mir dauerte der einmalige Durchgang einer externen USB Platte mit 400GB etwa sechs Stunden.
Unter Windows ist die Sache wie so oft leider etwas komplizierter. Erst seit Vista wird bei der normalen Formatierung ein Mid-Level Format genanntes Ausnullen der Festplatte durchgeführt. Bei anderen Versionen muss man sich leider mit Zusatzsoftware, wie CBL Datenshredder oder der Open Source Lösung Eraser behelfen. Man sollte der Open Source Lösung den Vorzug geben, da man durch den offenen Quellcode zumindest theoretisch sicherstellen kann, dass die Software auch wie versprochen arbeitet.
Eine weitere praktische Lösung ist die Ultimate Boot CD, die eine Vielzahl von Tools auf einer CD vereinigt und vor allem überhaupt kein laufendes Betriebsystem voraussetzt. Auf der CD befinden sich gleich mehrere Tools zum Löschen von Festplatten, inkl. der recht bekannten Lösung Darik’s Boot and Nuke. Damit lassen sich beispielweise die Festplatten von ausgemusterten Servern sehr einfach löschen: Einfach von der CD booten, das Tool starten und die entsprechende Löschmethode auswählen und durchlaufen lassen.

Julian Hein
Julian Hein
Executive Chairman

Julian ist Gründer und Eigentümer der NETWAYS Gruppe und kümmert sich um die strategische Ausrichtung des Unternehmens. Neben seinem technischen und betriebswirtschaftlichen Background ist Julian häufig auch kreativer Kopf und Namensgeber, beispielsweise auch für Icinga. Darüber hinaus ist er als CPO (Chief Plugin Officer) auch für die konzernweite Pluginstrategie verantwortlich und stösst regelmässig auf technische Herausforderungen, die sonst noch kein Mensch zuvor gesehen hat.

Forrester Studie zur Sicherheit von Windows und Linux

Einen neuen Ansatz verwenden die Marktforscher von Forrester Research in ihrer neuesten Studie über die Sicherheit unterschiedlicher Betriebssysteme: Die Autoren vergleichen dabei, neben anderen Kriterien, die Zeiträume für die Behandlung von Sicherheitsproblemen, von der Entdeckung, über die Veröffentlichung bis hin zur Beseitigung.
Microsoft brauchte im Durchschnitt nur 25 Tage nach Bekanntgabe für einen Fix. Am zweitschnellsten war Linux-Distributor Redhat mit 57 Tagen. Bei der Anzahl der bedenklichen Lücken führt Microsoft (67 Prozent), die diversen Linux-Varianten liegen darunter – etwa Redhat mit 56 Prozent. Debian reagiert am schnellsten auf Korrekturen der Zulieferer, kann etwa Patches der Apache-Entwickler am schnellsten umsetzen. Nicht eine Linux-Distribution konnte alle Lücken schließen.
Die Studie setzt im Fazit die für die vergangenen 9 Monate ermittelten Zahlen in Relation zum Wissensstand der Administratoren und zur Intensität der Systembetreuung und gibt Empfehlungen: Wer schnell Patches will, soll Windows oder Debian nehmen. Wenn die Administratoren eher unerfahren sind, raten die Autoren zu Windows, Mandrake oder Suse, sonst Windows oder Redhat.

Julian Hein
Julian Hein
Executive Chairman

Julian ist Gründer und Eigentümer der NETWAYS Gruppe und kümmert sich um die strategische Ausrichtung des Unternehmens. Neben seinem technischen und betriebswirtschaftlichen Background ist Julian häufig auch kreativer Kopf und Namensgeber, beispielsweise auch für Icinga. Darüber hinaus ist er als CPO (Chief Plugin Officer) auch für die konzernweite Pluginstrategie verantwortlich und stösst regelmässig auf technische Herausforderungen, die sonst noch kein Mensch zuvor gesehen hat.