brainsecurity
brainsecurity
brainsecurity
Slide 01
Slide 11
Slide 02
Slide 03
Slide 04
Slide 05
Slide 06
11 1 2 3 4 5 6

Home > Awareness-Themen & Blog

Ihre Unternehmenswebseite

So schaut sie sich der Hacker an

Es geht um Ihre Inhalte, nicht um technische Aspekte!

Soziale Netzwerke   Social Media, Marketing, Suchmaschinen-Optimierung, E-Commerce ... in der heutigen Zeit in der Welt des Business keine Fremdwörter mehr. Dreh- und Angelpunkt ist nach wie vor der Webauftritt im Internet und wird es auch in ferner Zukunft sicher bleiben.

Viele Firmen haben zur Optimierung ihrer Webseiten oftmals externe Agenturen engagiert, die sich jedoch hauptsächlich um Content, Selling, Analyse und/ oder Design kümmern.

Aaaaber:

Haben Sie sich nicht auch schon einmal gefragt, wie sich ein IT'ler - speziell ein Hacker (oder auch Skriptkiddie) die Webseite anschaut? Denn die Informationen, die aus Ihrer Sicht sicher für Ihr Business sinnvoll erscheinen, können auch Grundlage für IT-Attacken aller Art sein.


Die Gefahren, wenn Sie zu viel preisgeben:

Listenpunkt Verunstaltung Ihrer Webseite - Wie finden es Ihre Kunden, wenn Sie im Logo auf einmal ein Hakenkreuz haben?
Listenpunkt Ausnutzen von Schwachstellen in Ihrerm Web-Framework, um so ohne Zugangsdaten zu "administrieren"
Listenpunkt Angriffe auf Ihre Produktivsoftware unabhängig von Ihrer Webseite
Listenpunkt Ausspionieren von wichtigen Mitarbeitern
Listenpunkt Und vieles mehr - der Phantasie sind ja bekanntlich keine Grenzen gesetzt


Gefahr #1:

Wie Download-Dokumente Ihren (Netzwerk-) Drucker verraten?

Sie bieten auf Ihrer Webseite Dokumente zum Download an? Produktbroschüren, Anfahrtsskizzen, Prospekte ... egal was, denn viel zu häufig wurde vergessen, die Dokumente hinsichtlich Ihrer Metadaten zu bereinigen.

Mit entsprechenden Tools lassen sich diese Metadaten (und somit auch betriebsinterne Informationen) problemlos auslesen und sind u.a. die Grundlage für Phishing-Mails oder Social-Engineering-Angriffe

Ergebnis eines Scans einer Webseite

Nachfolgend ein kleiner Auszug:

Listenpunkt IP-Adressen
Listenpunkt Speicherpfade - inkl. Benutzernamen und Art des Betriebssystems
Listenpunkt Drucker
Listenpunkt Eingesetzte Software inkl. Version

Stellt der Angreifer nun fest, dass Ihre PDF-Software in der Zeit stehen geblieben ist, als Holzfällerhemden noch in waren, lesen Sie bitte gleich bei Gefahr #2 weiter.


Gefahr #2:

Wieso es nicht immer gut ist, jeden Mitarbeiter vorzustellen?

Ihr Leiter der Abteilung Einkauf stellt sich vor? So soll es auch sein. Schön ... aber was ist, wenn genau diese Person nun eine speziell-präparierte E-Mail bekommt. Und wie der Zufall es so will, befindet sich im Anhang eine Datei wie Angebot_Autoteile.pdf oder Rechnung_038403.pdf.
Wird er diese E-Mail öffnen? Klar! ... es ist sein Job. Würden Sie als Chef etwa sagen "gut gemacht. Es war richtig so, die unbekannte Mail zu löschen"? Vor allem, wenn Ihnen durch diese Paranoia ein lukratives Angebot entgangen ist.

Und wie sieht es eigentlich mit dem Mitarbeiter für Human Ressources aus? Ist es nicht sein Job, auch Online-Bewerbungen zu sichten (bzw. zu öffnen)?


Gefahr #3:

Sie schreiben Stellengesuche - prima!

"Wir suchen schnellstmöglich einen Firewall-Spezialisten für Produkt X/ Version Y"
Hat da wohl jemand ein akutes Problem mit der Netzwerkanbindung? Hoffentlich nicht in Richtung Internet! Und wieso Version Y? Mittlerweile ist doch schon die verbesserte Version Z draußen, weil es für Y zu viele Schwachstellen gab.


Gefahr #4:

Ist Ihr Web-Framework auch so gesprächig?

Wordpress, Joomla & Co. sind eine wirklich tolle Sache. Schnell aufgesetzt, leicht zu administrieren, Inhalte können unkompliziert eingestellt werden ... und das beste ist, jeder kann ohne Probleme die Version identifizieren ... für den Fall, dass Sie das einmal vergessen haben sollten.

<meta name="generator" content="WordPress 2.9.1" /> - ein Auszug aus dem Seitenquelltext. Drücken Sie jetzt einmal [strg] + [u], und Sie sollten den Seitenquelltext dieser Webseite sehen.

Die Dateien readme.html oder liesmich.html zeigen diese Information (und mehr) ebenfalls an. Wenn Ihre Webseite also bspw. unter Wordpress läuft, geben Sie einmal folgendes im Browser ein: www.IhreDomain.de/liesmich.html bzw. /readme.html.

Und wieso ist das nun von Interesse? Ganz einfach ... Ist die Version nicht aktuell, exisiteren i.d.R. jede Menge Schwachstellen für dieses Framework, die es u.a. erlauben, auch ohne Passwort in die Webseite einzusteigen, die Webseite zu verunstalten Oder sie erlauben es jedem, mittels Pfadmanipulation in die Bereiche Ihrer Premium-Kunden zu gelangen.


Gefahr #5:

Wieso haben Drittanbieter Ihre Passwortliste?

Archiv-Suchmaschinen wie archive.org indexieren über die Zeit Ihre Webseite. So können Sie sehen, wie Ihre Webseite vor 4 Jahren aussah.

F: "Ähh ... hatten wir nicht letztes Jahr eingestufte Dokumente versehentlich auf dem Webserver liegen?"
A: "Keine Angst ... die habe ich längst vom Server entfernt!"

Schauen Sie mal in Archivsuchmaschinen nach, ob diese wichtigen Dokumente nicht zufällig indexiert wurden. Wenn ja, sind die Dateien immer noch im Internet zugänglich.


"Gefahren, Gefahren ... und wie schütze ich mich?"

Verzichen Sie auf Ihren Webshop! - Scherz, aber mit wenigen Tipps & Tricks können Sie Ihren Webauftritt und Ihr Unternehmen sicherer gestalten:

Listenpunkt Bereinigen Sie all Ihre angebotenen Dokumente hinsichtlich ihrer Metadaten
Listenpunkt Verzichten Sie darauf, alle Mitarbeiter (inkl. E-Mailadresse) auf Ihrer Webseite vorzustellen und informieren Sie die o.g. Personenen, dass sie dies auch nicht in Facebook & Co. allen mitteilen
Listenpunkt Verzichten Sie (sofern möglich) in Stellengesuchen auf Schlagwörter wie "schnellstmöglich" oder "kurzfristig" und auf die exakte Softwarebenennung
Listenpunkt Sofern Sie Frameworks wie bspw. Wordpress für Ihre Webseite nutzen, spielen Sie regelmäßig das aktuelle Update ein. Und sorgen Sie dafür, dass die readme.html/ liesmich.htmljedes Mal entfernt wird
Listenpunkt Wurden Dokumente in Archiv-Suchmaschinen aufgenommen, die dort eigentlich nicht landen sollten? Dann kontaktieren Sie den Betreiber der Suchmaschine bitten um Löschung
brainsecurity


Tipps in Bildern

Wissenskarte

"Bilder sagen mehr als 1000 Worte": Deshalb transformieren wir IT-Sicherheit über Grafiken und Fotografien in Poster, Wissenskarten und einem kleinen farbigen Handbuch.
Dort finden Sie in kompakter und leicht-verständlicher Form, einen Überblick über die gängigen Gefahren und Schutzmaßnahmen und können zudem Ihr Wissen im Kapitel Test Yourself auf die Probe stellen.

brainsecurity


Sie wollen mehr?

Twitter - brainsecurityde Weitere Tipps, Tricks und Videos zum Thema IT-Sicherheit und Awareness, erhalten Sie täglich über den Twitter-Account von brainsecurity

brainsecurity
brainsecurity
Andreas Rieb
Kirchbergstraße 3
83607 Holzkirchen

brainsecurity