Archive for the ‘Sicherheit’ Category

23. Mai 2018

DSGVO Datenschutz – Was ist zu tun?

Ab dem 25.5.18 gilts!

Wir nehmen Datenschutz sehr ernst und würden eure Daten niemals weiterverkaufen oder sonstiges damit anstellen. Im Grunde ist die DSGVO eine gute Sache und schützt Internetnutzer vor Datenmissbrauch besonders durch Datenhungrige Großkonzerne. Wir müssen aber alle nun ein paar Dinge erledigen und ändern, die in der Vergangenheit normal waren. Z.B. dürfen keine Google Karten ohne vorige Zustimmung der Nutzer nicht mehr geladen und angezeigt werden. Leider sind die Änderung zum Nachteil der Usability und teilweise Performance. Z.B müssen nervige Kontrollhäckchen gesetzt werden, stessige Warnungen weggeklickt oder das Anzeigen von Karten gesondert bestätigt werden.  Dies stört das Surfvergnügen aus Sicht eines User Interface Designers enorm. Zum Anderen dürfen CDN’s (Content Delivery Networks) nicht mehr ohne weiteres genutzt werden. Diese Technologie wurde in der Vergangenheit genutzt um Webseiten schnell für viele Nutzer zu laden.
Gerne passen wir eure Seiten dementsprechend nach einer Inventur an. Sprechen Sie uns einfach gerne auf das Thema Datenschutz an und wir besprechen eine individuelle Lösung. Alle Umsetzungen werden von uns nach bestem Wissen und Gewissen durchgeführt und müssten zur absoluten Rechtssicherheit von Anwälten geprüft werden.

Was wir auf Anfrage auf unseren Webseiten für den Datenschutz tun:

  • Kontaktformulare => Kontrollhäckchen zur Datenverarbeitung als Pflichtfeld hinzufügen
  • Datenschutzerklärung (DSGVO) aktualisieren
  • Datenschutzerklärung (DSGVO) als Menüpunkt integrieren
  • Erweiterungsscripte und Frameworks nur noch von eigenem Server laden statt von einem CDN
  • Google Analytics IP anonymisieren
  • Google Analytics Opt-Out Link in Datenschutzerklärung integrieren
  • Zwei-Klick Lösung für Social Media Widgets (z.B. Facebook und Twitter)
  • Zwei-Klick Lösung für Open Street Map oder Google Karte implementieren

Vieles ist leider in der DSGVO Datenschutz unklar:

DSGVO Datenschutz

https://t3n.de/news/dsgvo-visitenkarten-1080318/

 

Weitere Links zu rechtlichen Bestimmungen:

https://fancysoftware.de/blog/prestashop-modul-%c2%a7-rechtssicheres-widerrufsformular/




03. Januar 2018

34C3 Kongress Empfehlungen „tuwat“

TUWAT

Auch gegen Ende des letzten Jahres fand wieder der alljährliche deutsche #CCC Hacker-Kongress, diesmal der #34c3 in Leipzig statt. Leider war es mir dieses Jahr nicht möglich live daran teilzunehmen. Aber zum Glück gibt es ja dieses Internet wo alle Talks in Streams zu finden sind. 🙂 Unter dem Motto „tuwat“ sind nun alle IT Nerds, Admins und Programmierer aufgefordert, selber aktiv zu werden und gegen Missstände dieser Welt im Internet vorzugehen.

Hier eine kleine Empfehlungs-Liste guter Vorträge:

Update: Diese Liste wir nochmals aktualisiert, wenn ich noch mehr Vorträge gesehen habe.

Alle Talks auf YouTube:

www.youtube.com

Alle Talks auf ccc.media.de:

media.ccc.de/c/34c3

Die Lightning Talks brauchen keine gesonderte Empfehlung! Sind immer gut.

 

Link zum Post vom 33c3 2016




04. Januar 2017

33c3 IT-Sicherheitskonferenz

33c3 – Wir sind zurück und waren dabei! Nachfolgend einige Impressionen vom 33c3, der 33. IT-Sicherheitskonferenz des Chaos Computer Club in Hamburg.

Vortrags Empfehlungen

33c3 LogoHier ein kleine Liste sehr guter Vorträge vom Kongress. Alle Video können unter https://media.ccc.de/c/33c3 angeschaut und kostenlos heruntergeladen werden.

33C3 Opening Ceremony

https://media.ccc.de/v/33c3-8429-33c3_opening_ceremony

Routerzwang und Funkabschottung
https://media.ccc.de/v/33c3-8024-routerzwang_und_funkabschottung

Interplanetary Colonization

https://media.ccc.de/v/33c3-7942-interplanetary_colonization

Check Your Police Record!
https://media.ccc.de/v/33c3-7939-check_your_police_record

Machine Dreams

https://media.ccc.de/v/33c3-8369-machine_dreams

SpiegelMining – Reverse Engineering von Spiegel-Online

https://media.ccc.de/v/33c3-7912-spiegelmining_reverse_engineering_von_spiegel-online

The Moon and European Space Exploration

https://media.ccc.de/v/33c3-8406-the_moon_and_european_space_exploration

Security Nightmares 0x11

https://media.ccc.de/v/33c3-8413-security_nightmares_0x11

Methodisch inkorrekt!

https://media.ccc.de/v/33c3-8020-methodisch_inkorrekt

Eine kleine Geschichte der Parlamentsschlägerei

https://media.ccc.de/v/33c3-8021-eine_kleine_geschichte_der_parlamentsschlagerei

Build your own NSA

https://media.ccc.de/v/33c3-8034-build_your_own_nsa

33C3 Closing Ceremony

https://media.ccc.de/v/33c3-8428-33c3_closing_ceremony

Und natürlich alle Lightning Talks (Day 1-4). Mehr Infos mehr Spaß!

 

Bildergalerie

Hoverboard Karawane

Seidenstraßen Router

3D Printing Assembly

3D Drucker

DJ Vorführung

Dieses System ist sicher!

Kinect Video Sandbox

Hacking Space

Die Bahn vom CCCamp

Bottle Drop Point

Seidenstraße

KidsSpace

Seidenstraße

Projektion auf das naheliegende Radisson Blue

CCH Haupteingang

Cyperpeace

Chill out Lounge

Projektion auf Decke und Wand

*o *rong …

Rocket to the moon

be excellent to eachother

TouchID etc.

LED Stribes construction

LED Flaschen

LED Decke

Mate Screen mit Laufschrift

Harryplotter druckt Tweets

Raumschiff

Projektion

LED Space Tunnel

LED Space Tunnel

LED Space Tunnel

Stromversorgung

3/9 Tischen – Fair Lötet?

Hardware Hacking Area

HackCenter

ProjectSpace

LED Games everywhere




20. Oktober 2016

How-To – Let’s Encrypt und Tomcat

Wie installiert man Let’s Encrypt in Verbindung mit Tomcat? Let's Encrypt und TomcatWir haben vor kurzem unser Projekt LokaleWare aus Performance- und Erweiterungsgründen auf einen neuen Server migriert. Nun wollten wir auch dort, dass LokaleWare mittels HTTPs gesichert ist. Deshalb wollten wir auch dort Let’s Encrypt einsetzen um die Zertifikate zu generieren. Das Problem ist, dass wir keine gute Anleitung bezüglich der Kombination mit Tomcat gefunden haben und so viele Forenbeiträge durchsuchen mussten. Deshalb werden wir hier unsere Lösung beschreiben. We call it; Let’s Encat 😀

Voraussetzungen

Umgesetzt haben wir das Projekt mit folgenden Versionen:
letsencrypt 0.4.1
tomcat 7

Umsetzung Let’s Encrypt und Tomcat

Das Programm letsencrypt kann je nach Installation auch certbot oder letsencrypt-auto heißen.

Im Vergleich zum Apache gibt es bei der Zertifikatserstellung mit Tomcat zwei Probleme. Das erste Problem ist, dass der Beweis, dass diese Domain zu dem Server gehört über Port 80 und dem richtigen Pfad bereitgestellt werden muss. Wir wollten unsere Projekte von externen Scripten unberührt lassen, weshalb wir die Beweis-Datei nicht mittels Tomcat auslieferen. Deshalb kommen wir nun zu der von uns gewählten Lösung. Wir lassen für kurze Zeit einen anderen HTTP Server die Datei bereitstellen. Dazu beenden wir Tomcat, damit Port 80 frei wird und starten den neuen Server.

Das nächste Problem war die Umwandlung des Zertifikates und die Speicherung in den Java-Keystore (JKS). Zur Umwandlung verwenden wir OpenSSL um anschließend das neue Format des Zertifikates im JKS zu speichern.

Zum Schluss muss nur noch der Tomcat wieder gestartet werden.

Hier unser Shell-Script:
#!/bin/bash
# preparation
certdir=/etc/letsencrypt/live/lokaleware.de
keytooldir=/opt/java/default/jre/bin/
mydomain=lokaleware.de
myemail=info@lokaleware.de
keystoredir=/opt/tomcat7/lw.jks

#the script itself:
service tomcat7 stop

letsencrypt certonly --standalone -d www.$mydomain -d $mydomain --standalone-supported-challenges http-01 --http-01-port 80 --renew-by-default --email $myemail --agree-tos

$keytooldir/keytool -delete -alias root -storepass changeit -keystore $keystoredir
$keytooldir/keytool -delete -alias tomcat -storepass changeit -keystore $keystoredir

openssl pkcs12 -export -in $certdir/fullchain.pem -inkey $certdir/privkey.pem -out $certdir/cert_and_key.p12 -name tomcat -CAfile $certdir/chain.pem -caname root -password pass:aaa

$keytooldir/keytool -importkeystore -srcstorepass aaa -deststorepass changeit -destkeypass changeit -srckeystore $certdir/cert_and_key.p12 -srcstoretype PKCS12 -alias tomcat -keystore $keystoredir
$keytooldir/keytool -import -trustcacerts -alias root -deststorepass changeit -file $certdir/chain.pem -noprompt -keystore $keystoredir

# restart your tomcat server
service tomcat7 start

Weitere Konfigurationen

Zum Schluss erstellt Ihr noch einen Cron-Job und lasst kurz vor Ablauf der 3 Monate das Zertifikat erneuern.

In der Datei „server.xml“ müsst Ihr noch die Keystore-Datei auslesen, indem Ihr z.b. folgendes Connector-Tag verwendet:

<Connector
port="443"
protocol="HTTP/1.1"
maxHttpHeaderSize="8192"
SSLEnabled="true"
maxThreads="150"
minSpareThreads="25"
enableLookups="false"
disableUploadTimeout="true"
acceptCount="100"
scheme="https"
secure="true"
keystoreFile="/opt/tomcat7/lw.jks"
keystorePass="changeit"
clientAuth="false"
sslProtocol="TLS"
useBodyEncodingForURI="true" ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_DHE_RSA_WITH_AES_128_GCM_SHA256, TLS_DHE_DSS_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_SHA256, TLS_ECDHE_RSA_WITH_AES_128_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_SHA, TLS_ECDHE_RSA_WITH_AES_256_SHA384, TLS_ECDHE_ECDSA_WITH_AES_256_SHA384, TLS_ECDHE_RSA_WITH_AES_256_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_SHA, TLS_DHE_RSA_WITH_AES_128_SHA256, TLS_DHE_RSA_WITH_AES_128_SHA, TLS_DHE_DSS_WITH_AES_128_SHA256, TLS_DHE_RSA_WITH_AES_256_SHA256, TLS_DHE_DSS_WITH_AES_256_SHA, TLS_DHE_RSA_WITH_AES_256_SHA" />

Hinweis

Die Passwörter sind natürlich geändert und solltet Ihr das Script verwenden, solltet Ihr es auch ändern. Mehr Information über Let’s Encrypt hatten wir auch schonmal in einem alten Blogpost erwähnt.
Viel Erfolg beim Ausprobieren.




28. September 2016

FancySoftware im Dezember 2016 auf dem 33rd Chaos Communication Congress

y4qhq3k2ih3d6audotic5ptha

Yay, dieses Jahr ist FancySoftware vom 27.12.2016 bis zum 30.12.2016 auf dem 33rd Chaos Communication Congress in Hamburg. Auf der europaweit größten Sicherheits-Konferenz (Hacker-Messe) werden wir uns für Euch über die Neusten Erkenntnisse der Sicherheitstechnik im IT Bereich informieren und wieder berichten.

Auf dem Bild zu sehen: Besucher des Kongresses des Chaos Computer Clubs (CCC) betreten am 27.12.2015 in Hamburg das Kongresszentrum CCH. Zu dem Treffen der Hackerszene werden 14000 Teilnehmer erwartet. Themen sind Internet-Sicherheit, staatliche Überwachung und kreative IT-Lösungen.

Besucher des Kongresses des Chaos Computer Clubs (CCC) betreten am 27.12.2015 in Hamburg das Kongresszentrum CCH. Zu dem Treffen der Hackerszene werden 12000 Teilnehmer erwartet. Themen sind Internet-Sicherheit, staatliche Überwachung und kreative IT-Lösungen. Foto: Axel Heimken/dpa (zu dpa «Größtes Hackertreffen Europas in Hamburg gestartet» vom 27.12.2015) +++(c) dpa - Bildfunk+++

Wir werden wieder interessante Vorträge raussuchen und unsere Auswahl hier bereitstellen.

Tickets

Ein großes Danke, an das Maschinendeck Trier, für die Bereitstellung des Voucher-Codes. Mit diesem Code war es uns bereits möglich, einige Tickets, vor dem offiziellen Verkaufsstart (ab 31.09.16) zu sichern.

bildschirmfoto-2016-09-21-um-17-53-26