Fragwürdige Sicherheit: Admin-Zugang für WordPress löschen

Wordpress Admin verbergen

Wenn man nicht aufpasst, bringt es nur wenig mehr an echter Sicherheit, wenn man den Admin-Zugang einfach nur löscht.

Einer der gängigsten WordPress-Tipps ist, den automatisch angelegten Admin-Account zu löschen und stattdessen einen selbst erstellten Account zur Administrierung des Blog-Systems zu verwenden.

Das klingt auf den ersten Blick vernünftig, weil man dabei davon ausgeht, dass ein Angreifer den Login-Namen erraten muss, bevor er etwa per Brute-Force versucht, das dazugehörige Passwort zu knacken. Ein komplizierter Login-Name ist – zumindest in der Theorie – nicht so leicht zu erraten und bietet so einen zusätzlichen Schutz.

Diese Annahme ist jedoch ein Irrtum. In der Realität bringt das Löschen des Admin-Accounts keine echte Sicherheit: Die meisten WordPress-Nutzer legen nämlich einfach einen neuen Account an und verwenden ihn sowohl zum Schreiben neuer Beiträge, als auch zum Verwalten ihres Blogs. Read More …

Octopus City Blues: Scammer versteckten Malware in Steam-Seite

Scammer haben die Greenlight-Seite von Octopus City Blues kopiert, bei Steam Greenlight hochgeladen und Malware eingeschleust. Einige Steam-User scheinen auf den Scam hereingefallen zu sein.“

Ich muss es ja leider zugeben: Die kreative Energie von Scammern beeindruckt mich hin und wieder. Am Wochenende haben die Entwickler des Spiels Octopus City Blues entdeckt, dass Kriminelle die Greenlight-Seite des Spiel geklont und damit ein eigenes Greenlight-Projekt gestartet haben. Auf der Fake-Seite haben sie dann einen Link zu einer sieben Level umfassenden Demo des Octopus City Blues hinterlegt, die allerdings Schadcode enthält. Im Ergebnis haben sich an dem Spiel interessierte Steam-User nach einen Klick auf den Link dann Malware heruntergeladen. Read More …

Forrester-Studie: Jedes vierte Unternehmen zieht Konsequenzen aus dem NSA-Skandal

Seit Beginn der Snowden-Veröffentlichungen wurde vermutet, dass das umfassende Spionageprogramm der NSA keine positiven Auswirkungen auf die amerikanische Internetwirtschaft haben wird. Nun liegen Zahlen vor.

Laut einer von The Register zitierten neuen Forrester-Studie haben 26 Prozent von 1.668 Befragten angegeben, dass sie im vergangenen Jahr ihre Ausgaben für amerikanische Internetdienste aus Sicherheitsgründen eingefroren oder reduziert haben. 34 Prozent von ihnen nannten explizit die Angst vor den US-Spionageprogrammen als Grund für diesen Schritt. Read More …

Anleitung zu Virtual Box 5.0 Beta 1: Virtuelle Festplatte verschlüsseln

Virtual Box verschlüsseln: Nur mit Extension Pack

Das Extension Pack wird benötigt, um virtuelle Festplatten zu verschlüsseln.

Eine der neuen Funktionen in der gerade erschienen Beta 1 von Virtual Box 5.0 ist die integrierte Verschlüsselung der virtuellen Festplatte eines virtuellen PCs. In diesem Tutorial zeige ich euch, wie ihr eure virtuellen Festplatten verschlüsselt.

Zunächst braucht ihr natürlich die aktuelle Beta 1 von Virtual Box 5.0. Diese ersetzt eine eventuell vorhandene frühere Version des Virtualisierers. Wer also lieber auf Stabilität setzt, der sollte hier jetzt aufhören. Bei meinen Versuchen lief die Beta 1 jedoch ohne größere Probleme und komplett ohne Abstürze. Read More …

Screencast: Java immer ohne Ask-Toolbar installieren

Ich habe einen ersten Screencast aufgenommen und bei Youtube hochgeladen. Das Video zeigt, wie man mithilfe des Registrierungs-Editors von Windows verhindert, dass bei der Installation von Java auch die Ask-Toolbar mit auf dem Rechner landet.

Das Video ist bei weitem nicht perfekt und erhebt auch nicht diesen Anspruch. Es ist einfach ein erster Test, wie so etwas funktioniert und um herauszufinden, ob daran Interesse besteht. An ein oder zwei Stellen habe ich etwas schlampig geschnitten und das Ende ist auch etwas abrupt, aber man lernt ja dazu. Außerdem merkt man natürlich, dass ich keine Sprecherausbildung habe. Read More …

Virtual Box 5.0 Beta 1 jetzt mit Paravirtualisierung und integrierter Verschlüsselung (aktualisiert)

Virtual Box 5.0 mit Paravirtualisierung

Die Beta 1 von Virtual Box 5.0 beherrscht Paravirtualisierung und kann virtuelle Festplatten verschlüsseln.

Oracle hat die erste öffentliche Beta-Version von Virtual Box 5.0 (Release 99371) veröffentlicht. Das Desktop-Virtualisierungsprogramm bringt einige interessante Neuerungen mit. So unterstützt Virtual Box jetzt Paravirtualisierung, das heißt, dass das virtuelle Gastsystem einen Teil der Hardware vom Wirtssystem übernimmt.

Bei einer normalen Virtualisierung hat der virtuelle Gast, der ja in einem Fenster auf dem Wirt läuft, eigene virtuelle Hardware, die in der Regel nichts mit dem Wirt zu tun hat. Der wichtigste Vorteil von Paravirtualisierung ist, dass das virtuelle Gastsystem damit performanter laufen kann. Allerdings muss es an die neuen Anforderungen angepasst werden, also etwa bestimmte Aufgaben an den Wirt weiterreichen. Laut Release Notes funktioniert Paravirtualisierung mit Virtual Box 5.0 sowohl unter Windows- als auch Linux-Gästen. Wie gut, muss man noch sehen. Read More …

Audit zeigt: Truecrypt 7.1a enthält keine Hintertüren

Truecrypt Audit

In Truecrypt 7.1a wurden keine Hintertüren gefunden, aber eine Handvoll kleinerer Fehler.

Truecrypt war für viele Jahre DAS Verschlüsselungsprogramm. Man konnte mit Truecrypt bis Version 7.1a Container und auch komplette Partitionen verschlüsseln und alle Inhalte so vor fremden Augen schützen. Vor fast einem Jahr, im Mai 2014, wurde das Projekt jedoch plötzlich eingestellt.

Die bis heute unbekannten Entwickler löschten die alte Truecrypt-Webseite und leiten seitdem auf eine neue Seite mit einer Warnung vor ihrem eigenen Programm um. Die auf der Warnseite angebotene Truecrypt-Version 7.2 kann Container nur noch entschlüsseln, aber keine neuen mehr anlegen.

Die Frage war nun, ob Truecrypt wirklich so unsicher ist, wie die Entwickler sagen, oder ob sie zu dieser Stellungnahme gezwungen wurden? Read More …

Malware gibt sich als Voice-Chat aus, verbreitet sich per Steam Chat

Malware Steam

Bild: Malwarebytes

Werdet Ihr per Steam-Chat derzeit zum Download einer Voice-Chat-Software aufgefordert, dann solltet Ihr genau das nicht tun und lieber einen weiten Bogen um die Software machen.

Per Steam-Chat verbreitet sich mal wieder Malware unter den Steam-Usern. Und sie gibt sich mal wieder als Voice-Chat-Lösung aus. Die Masche ist nicht neu, funktioniert aber immer wieder erstaunlich gut. Das liegt unter anderem auch daran, dass die Webseite, von der man sich die Malware herunterladen soll, durchaus professionell wirkt. Read More …

Studie: Wie Menschen auf Überwachung reagieren

Überwachnung nach Snowden: neue Studie

Nur ein kleiner Teil der Menschen, die von den NSA-Enthüllungen gehört haben, hat etwas an ihrem Verhalten im Internet verändert.

Die NSA-Enthüllungen von Edward Snowden haben dazu geführt, dass manche Anwender mehr Wert auf ihre Sicherheit im Internet legen. Zu diesem Ergebnis kommt eine neue Studie des Pew Institute.

87 Prozent der befragten Amerikaner hatten von den Enthüllungen immerhin schon mal gehört. Der Rest hat die letzten Jahre wahrscheinlich hinter einem Felsen verbracht oder interessiert sich überhaupt nicht für das, was auf der Welt geschieht. 34 Prozent der Befragten, denen die NSA-Enthüllungen geläufig sind, antworteten, dass sie mindestens eine Maßnahme unternommen haben, um ihre Sicherheit im Internet zu erhöhen oder um ihre Daten besser zu schützen.

So gaben 17 Prozent an, die Datenschutz-Einstellungen in sozialen Netzen verändert zu haben, 15 Prozent nutzen diese Netze weniger, 15 Prozent verzichten auf manche Apps und 13 Prozent haben Apps aus Datenschutzgründen deinstalliert. Weitere 13 Prozent zensieren sich selbst und vermeiden manche Schlüsselwörter im Internet zu verwenden.

Besonders beeindruckend ist das ja nicht, und man muss sich fragen, warum die Prozentzahlen nicht höher sind? Ein Grund dafür dürfte sein, dass wir in einer Zeit leben, in der viele Menschen gerade dadurch, sich äußerlich normal zu verhalten, nicht auffallen wollen:

Still, others said they avoid taking more advanced privacy measures because they believe that taking such measures could make them appear suspicious:
– “There’s no point in inviting scrutiny if it’s not necessary.”
– “I didn’t significantly change anything. It’s more like trying to avoid anything questionable, so as not to be scrutinized unnecessarily.
– “[I] don’t want them misunderstanding something and investigating me.”

Traurig, aber wohl wahr.

Grundlagen: Java ohne Ask-Toolbar installieren

Eigentlich empfehle ich ja, Java gar nicht mehr auf einem PC zu installieren. Aber es gibt Situationen, wo man es dann doch braucht und sei es nur, um Minecraft spielen zu können.

Warum rate ich von der Installation ab? Erstens ist Java immer noch weit verbreitet und wird deswegen gerne als Angriffsziel ausgewählt. Zweitens enthält Java „traditionell“ unheimlich viele Sicherheitslücken und drittens packt Oracle die überflüssige Ask-Toolbar mit ins Setup, die sich als Standardsuchmaschine im Browser einnistet und die Startseite ändert.

Java ohne Ask installieren

Wenn man auf die Oracle-Webseite geht, um Java herunterzuladen, bekommt man nur noch einen kleinen Downloader, der nach dem Start dann die eigentlichen Installationsdateien von Java herunterlädt. Hier muss man aufpassen, wenn das folgende Fenster erscheint:

Java ohne Ask

Die rot markierten Häkchen müssen entfernt werden, damit die Ask-Toolbar nicht mit Java installiert wird.

Read More …