backuprettung

Regelmässige Updates der Apps erhöht die Sicherheit

Date  10. September 2010

Bereits seit langer Zeit bieten wir im Control Panel die sogenannten One-Click Apps an, wo man ganz einfach per Knopfdruck Web-Applikationen wie Typo3, Joomla!, WordPress uvm. für eine Website installieren kann.

Dabei wird jeweils die aktuellste Version der ausgewählten Applikation installiert. Hört sich einfach an, ist es auch. Jedoch gibt es trotz allem eine Gefahr, die man sich so nicht immer bewusst ist.

Defacements und andere Missbräuche
Es schleichen sich leider immer wieder kleinere und grössere Fehler in solche Applikationen ein, welche die zuständigen Entwickler von Zeit zu Zeit beheben und die korrigierte Version in einem neuen Release veröffentlichen. Oftmals handelt es sich bei solchen Fehlern um gravierende Sicherheitslücken. Dadurch ist es z.B. möglich den Inhalt einer Website zu verändern oder gar private Daten auszulesen. Häufig werden auf diese Weise Websiten für politische Zwecke oder einfach “just for fun” mit fremden Inhalt verunstaltet. Die Hacker können sich quasi so “selbst bestätigen” und in gewissen Kreisen damit angeben, wie viele Seiten sie übernommen und verunstaltet haben.

Leider bleibt es aber meist nicht nur bei diesen sogenannten “Defacements” sondern die gehackten Seite wird auch für weitere Zwecke missbraucht – für Zwecke mit denen Geld verdient werden kann! Natürlich geschieht dies nicht auf legale Art, sondern durch Betrug und Missbrauch. In einem Support-Center Artikel haben wir weitere Details zu den Missbräuchen aufbereitet.

Viele Sicherheitslöcher
Obwohl die Entwickler solcher Applikationen mittlerweile äusserst sensibilisiert sind, Fehler bereits vorgängig zu eliminieren bzw. zu vermeiden, werden doch alle paar Wochen Sicherheitslöcher bei den bekanntesten Web-Applikationen entdeckt. So listet eine simple Suche bei heise Security alleine für das weitverbreitete Content Management System Typo3 ganze 29 Treffer und für die bekannte Blog-Applikation WordPress gar 51 Treffer für die vergangenen knapp 2 Jahre auf.

Regelmässige Updates der Apps erhöht die Sicherheit
shadow

Updates sollten möglichst schnell durchgeführt werden
Aus eigener Erfahrung empfehle ich Updates jeweils möglichst rasch einzuspielen, so dass die Applikation immer auf den neusten Stand ist und man somit auch gegen Angriffe auf die bereits bekannten Sicherheitslücken geschützt ist. Auch kann es vorkommen, dass manchmal grössere Änderungen in den einzelnen Releases vorgenommen werden. Wenn man jedoch jeden Update eingespielt hat, sind solche grösseren Änderungen zwischen den verschiedenen Releases meist gar kein Problem. Selbstverständlich ist mir als Entwickler klar, dass man bei manchen Applikationen nicht sofort auf die neuste Version updaten kann, weil z.B. eigene Anpassungen am Sourcecode der Applikation vorgenommen wurde oder aber die Website einfach zu wichtig ist, als dass eine Unterbrechung durch die neue Version drin liegt.

Da es oftmals halt doch sehr kritische Sicherheitslücken sind, ist es trotzdem ratsam, den Update möglichst früh durchzuführen. Falls nicht, sind in den allermeisten Fällen dadurch vor allem die persönlichen Daten auf dem Webserver dem Risiko ausgesetzt, missbraucht zu werden.

Was macht der Provider?
Da wir über unser Control Panel immer die aktuellste Version zum Update anbieten, kann man die Applikation per Knopfdruck aktualisieren (dies sollte jedoch auch bei einer selber installierten Applikation innerhalb des Menüs der Applikation in der Regel der Fall sein). Zusätzlich verschicken wir Info-E-Mails an Kunden, welche eine Applikation von uns installiert haben, dass ein Update zur Verfügung steht. Dieses E-Mail sollte kein Zwang zum Update sein, sondern eher eine Sensibilisierung, dass es wichtig ist, seine Installationen immer auf dem neusten Stand zu halten.

Da unsere Infrastruktur sehr konservativ abgesichert ist, gab es bis heute zum Glück keinen einzigen Fall, dass die Infrastruktur durch einen solchen Angriff missbraucht werden konnte. Somit sind meistens „nur“ die Daten auf dem persönlichen Webhosting-Account betroffen. Als wäre das für den betroffenen nicht schon schlimm genug, werden gehackte Accounts meistens auch noch zum Versand von Spam-E-Mails verwendet.  Spätestens ab diesem Zeitpunkt sind wir dann gezwungen, den Webhosting-Account zu sperren.  Durch den Einsatz von speziellen Sicherheitsmechanismen wie z.B. Mod_Security können wir viele kritische Fälle jedoch bereits im Vornherein verhindern.

Letztlich ist aber jeder Einzelne für die Aktualität seiner installierten Applikationen verantwortlich und muss alleine entscheiden, ob das Risiko eines erfolgreichen Hacker-Angriffs eingehen will oder nicht.





Autor

Elias Witter
Elias Witter
Elias Witter ist bei Hostpoint verantwortlich für die Entwicklung und erster Ansprechspartner wenns um neue Features fürs Control Panel geht. Er bezeichnet sich als “Digital Native“, wuchs er doch schon mit Computern auf und könnte heute auf die mobilen Kommunikations-Möglichkeiten kaum mehr verzichten. Auf seinem allerersten Rechner, einem Wang Writer, konnte man allerdings nur Texte verarbeiten und Tabellen-Kalkulationen durchführen. Bei seinen ersten Gehversuchen in der Software-Entwicklung programmierte er einfache Spiele in BASIC. In den frühen Internet-Jahren erstellte er später mit HTML rudimentäre und mit vielen Bildern bestückte Webseiten.




Kommentare