Der Teufel liegt aber hier im Detail verborgen: Nach der Aktivierung des Verzeichnisschutzes können keine Bilder mehr über den Flash-Fileuploader bzw. nextGEN Gallery hochgeladen werden. Flash fragt zwar noch nach dem Passwort, stürzt dann aber so deftig ab, dass es den Browser gleich mitreißt. Ergo: Verzeichnisschutz wieder abschalten

Ein kleines Plus an Sicherheit kann man aber dennoch einbauen: Normalerweise heißt der Loginname des Administrators “admin” – zumindest legt WordPress diesen genau so an, wenn man ein neues WordPress installiert. Das ist aber eigentlich doof: Ein böser Bube braucht so nur das Passwort zu erraten, der Benutzername ist ja fix, eh voila. Ändert man den Loginnamen zusätzlich auf irgendetwas mehr oder weniger Kryptisches, muss der Angreifer Passwort und Benutzername raten. Das ist schon ein bisschen schwieriger.

Wiederum dumm an WordPress ist, dass es nicht vorsieht einen bestehenden Benutzernamen zu verändern. Das ist aber gar kein Problem. Man muss nur die Datenbanktabelle *_users bearbeiten und den Wert des Eintrags user_login verändern. Alle anderen Werte können bleiben wie sie sind.

Download hier.

__________
* Es bleibt also zu hoffen, dass das Opfer einen 2. Rechner hat, um die Mail zu sichten

passwd: Passwort wird für xxxxxxxx geändert
Bitte geben Sie Ihr existierendes login-Passwort ein: [ALTES PASS]
Neues Passwort: [VERSUCH 1]
passwd: Das Passwort muss mindestens 1 Sonderzeichen enthalten.

Bitte versuchen Sie es erneut
Neues Passwort: [VERSUCH 2]
passwd: Das Passwort muss mindestens 2 Großbuchstaben enthalten.

Bitte versuchen Sie es erneut
Neues Passwort: [VERSUCH 3]
passwd: Zu viele gleiche Zeichen hintereinander. Zulässige Höchstanzahl ist 1.
Erlaubnis verweigert

Sehr fein, noch ein Versuch:

Ich weiß jetzt, dass 1 Sonderzeichen, 2 Großbuchstaben und keine 2 gleichen Buchstaben hintereinander akzeptiert werden.

passwd: Passwort wird für xxxxxxx geändert
Bitte geben Sie Ihr existierendes login-Passwort ein: [ALTES PASS]
Neues Passwort: [VERSUCH 4]
passwd: Die ersten 256 Zeichen des alten und des neuen Passworts müssen sich um mindestens 7 Positionen unterscheiden.

Bitte versuchen Sie es erneut
Neues Passwort: [VERSUCH 5]
passwd: Das Passwort beruht auf einem Wort aus dem Wörterbuch.

Bitte versuchen Sie es erneut
Neues Passwort: [VERSUCH 6]
Bitte geben Sie das neue Passwort nochmals ein: [VERSUCH 6]
passwd: Passwort wurde für xxxxxxxx erfolgreich geändert

1 Sonderzeichen, 2 Großbuchstaben, keine 2 gleichen Buchstaben, die nächste Bedingung verstehe ich nicht und kein Bestandteil aus dem Duden… Das sind so viele Restrictions, dass es höchstens 5 Passworte geben kann, die alle Restrictions erfüllen… *g*

1 x Passwort ändern (und nebenher bloggen): 10 Minuten Zeit verbraten.

Fantastisch.

Seit TrueCrypt 5 (seit wenigen Tagen ist übrigens TrueCrypt 5.0a aktuell) gibt es eine neue und sehr interessante Funktion: Die Systempartition von Windows bzw. auch die ganze Platte lässt sich nun komplett (!) verschlüsseln. Dazu hängt TrueCrypt eine Art Bootloader/Treiber in den Startprozess des Computers ein und fragt das vergebene Passwort ab. Nach der Authentifizierung des Benutzers beginnt dann wie gewohnt der Bootprozess von Windows. Die Ver-/Entschlüsselung aller Daten erfolgt wieder on the fly.

Was hat man davon? Angenommen man besitzt ein Notebook und dieses wird geklaut. Dann kann jeder, der auch nur etwas mit Computern bewandert ist, die Daten auf der Systempartition lesen. “Ja aber ich habe doch ein Boot-Passwort und auch eines für Windows”. Dann baut der Angreifer die Platte eben aus, schraubt sie in ein externes USB-Gehäuse und schließt dieses dann an seinen PC an. Fertig – er hat Zugriff! “Aber meine vertraulichen Daten sind doch verschlüsselt!” Selbst wenn die vertraulichen Daten vielleicht in einem verschlüsselten Container untergebracht sind und der Angreifer diese nicht lesen kann, bleiben sehr oft Spuren übrig. Wer das nicht glaubt, guggt mal in das Temp-Verzeichnis von Windows. Darin finden sich oft viele Word, Excel, … Dateien, Bilder, Programminstaller usw. Teils wirklich verblüffend was da alles ans Tageslicht kommt!

Die Installation der Systempartitions-Verschlüsselung geht auch sehr einfach von statten. Unter System –> Encrypt System Partition findet sich in TrueCrypt ein Wizard, der einen durch die Installation führt. Nach 5 Minuten ist die Konfiguration beendet, der Rechner startet neu, führt einen Selbsttest durch und beginnt dann die Systempartition zu verschlüsseln. Während dessen kann man normal weiterarbeiten.

Der Kenner von TrueCrypt fragt jetzt sicherlich: “Und was passiert, wenn die Header des verschlüsselten Containers kaputt gehen? Dann sind meine Daten doch weg!”. Das kann in der Tat passieren. Aber TrueCrypt erstellt bei der Installation der Verschlüsselungsfunktion eine Boot-CD, die alle nötigen Daten enthält, um die Partition zu retten.

Nachteile? Einmal davon abgesehen, dass man wirklich im Regen steht, wenn der Container defekt ist und die Boot-CD verloren geht*, sehe ich keine großen Nachteile. Höchstens, dass die Verschlüsselung natürlich sehr rechenintensiv ist und v.a. auf langsamen Rechnern die Leistung drosselt. Rechnen kostet zudem Energie. Die Laufzeit von Notebooks sollte also mit TrueCrypt sinken!

Praxistest: Auf meinem eeePC habe ich vorhin Truecrypt wie oben beschrieben instaliert. Die Installation war komplett problemlos aber der Bootvorgang dauert MIT Verschlüsselung gut doppelt so lange wie ohne. Auch wenn Windows geladen ist, fällt auf, dass das Starten von Programmen langsamer geht. Auf einem aktuellen Core 2 Duo sollte das allerdings nicht mehr so großartig ins Gewicht fallen. Das muss ich die Tage mal mit meinem Uni Rechner testen. Ergebnis wird dann nachgereicht.

Update: Mittlerweile (ein Tag später) habe ich Truecrypt wieder von der Festplatte gekratzt. Das Booten war so doch etwas langsam auf dem eeePC. Das “Löschen” funktioniert etwa so, dass man beim Booten ein bestimmtes Menü aufruft und die Entschlüsselung der Platte startet. Komischerweise dauerte das richtig lange: 3 Stunden etwa. Nach den 3 Stunden war oh Wunder die Festplatte doch nicht entschlüsselt, sondern unbrauchbar. Beim Booten kam noch immer die Passwortabfrage, eine Authorisierung war nicht mehr möglich und Booten klappte auch nicht mehr. Nur gut, dass ich vor dem Spaß ein Image gezogen hatte und dieses einfach wieder einspielen konnte…

Fazit: TC wird immer interessanter. Coole Software!

__________
* dann sind die Daten natürlich verloren, weil sie nicht mehr entschlüsselt werden können

Im Allgemeinen ist der erste Schritt, dass man eine Mail bekommt, in der man dazu aufgefordert wird, irgendwas zu tun. Dabei muss man Username und Passwort herausgeben. Ich benutze Gmail -man sieht’s- und die Wahrscheinlichkeit, dass eine solche Mail NICHT im Spam-Ordner landet, liegt bei einem Prozent. Allerhöchstens! Bei Spamfiltern anderer Mail-Anbieter liegt die Quote sicherlich ähnlich hoch niedrig.

Spam ist “Pfui”, “Bäh” und “Iiih”, den beachten wir erst gar nicht (außer wenn man mal kurz was anderes schreiben will als seine Diplomarbeit). Ergo: Phishing-Versuch gescheitert.

Selbst wenn die Mail nicht ausgefiltert wird und man zufälligerweise auch noch Kunde der Bank ist, nach der gephished wird, gibt es noch den gesunden Menschenverstand! In der Mail steht ziemlich sicher nicht mein “richtiger” Name, sonder irgendwas wie “Holgadoelbuhoverde”. Nein, so heiße ich nicht. Meine Bank würde aber garantiert meine Namen kennen. Bei jedem halbwegs “normal-intelligenten” Menschen sollte es jetzt im Oberstübchen klingeln.

Ebenfalls steht dort nicht die “richtige” Mailadresse (siehe Bild). Auch hier sollte es klingeln. Wieder: Versuch gescheitert.

Unser völlig depperter Surfer, dessen Spamfilter versagt hat und der zudem tatsächlich auch noch Kunde dieser Bank ist, klickt jetzt also auf den Link in der Mail. Und siehe da:

Der Browser warnt vor dem Web-Betrug. Das kann nicht nur der Firefox, auch der Internet-Explorer kann das.

Das klappt zwar nicht immer, aber zumindest recht oft.

Naja, angenommen die Warnung erfolgt nicht. So sollte doch wieder der Verstand sagen “Gugg mal vorsichtshalber, auf welchem Server du gerade bist”. Man muss zwei mal hinguggen, aber spätestens dann sieht man, dass mit der URL irgendwas nicht stimmt und v.a.: dass das garantiert nicht die URL meiner Bank-Homepage ist. Im Falle der Bank wäre das ganz einfach http://www.bbt.com/…