HANDGEMACHT!

In diesem Blog findet ihr Informationen zu Sicherheitsbedrohungen bei ausgewählten Produkten, Hintergrundwissen sowie Links zu wichtigen Webseiten rund ums Internet. Eine ständige Aktualität kann ich in diesem Blog nicht garantieren.

 

Deshalb empfiehlt es sich, regelmäßig auch auf den Webseiten von PC-Zeitschriften, Virenschutzanbietern oder den Herstellern selbst nachzuschauen (oft in englischer Sprache und mit Fachkenntnissen verbunden).

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnt vor der Verwendung der Antivirusprogramme von Kaspersky!

 

Kaspersky ist ein russischer Sicherheitsexperte und könnte von der russischen Regierung als Werkzeug für Angriffe ausgenutzt werden.

 
 
 

   

 

NGINX ist ein Open-Source-Hochleistungs-Webserver und wurde ursprünglich in Russland entwickelt. Durch die Open-Source-Lizenz steht der Server allen kostenfrei zur Verfügung. Er ist unter anderem eine wichtige Komponente der Synology-Netzwerktechnik, die auch von mir genutzt wird.

 

Bereits zu Beginn des Krieges führten die US-Sicherheitsbehörden Untersuchungen zur kritischen IT-Infrastruktur durch. Dabei geriet NGINX in den Fokus der Gutachter, da etwa 10 % der IT in größeren Ländern diesen Server verwenden. Da NGINX bzw. der kommerzielle Teil, durch den das Projekt finanziert wird, von einem US-Unternehmen übernommen wurde und der russische Entwickler sich aus dem gewerblichen Teil zurückgezogen hat, bestand keine akute Bedrohungssituation. Tatsächlich wurden russische Büros wegen angeblicher Steuerhinterziehung von der russischen Polizei durchsucht.

 

Mit dem fortschreitenden Krieg müssen jedoch weitere Überlegungen angestellt werden. Aktuell sind russische Entwickler vorerst aus dem gewerblichen Projekt ausgeschlossen worden. Dadurch geht zwar viel russisches IT-Know-how verloren, doch das Projekt wird voraussichtlich überleben. Aus all diesen Gründen werde ich derzeit weiterhin auf die Synology-Technik setzen.

   

Ich bin gerade in der Planungsphase für ein kleines Projekt und da war es Thema. Also, die Fritzbox unterstützt Portfreigaben. Mit einer Portfreigabe könnt ihr ein System, das sich hinter der Fritzbox im Heimnetzwerk/ Unternehmensnetzwerk befindet, direkt aus dem Internet erreichen. Manche kennen es vielleicht vom eigenen Spieleserver oder einem VPN Server oder ganz allgemein vom eigenen Webserver. 

 

Das praktische an den Fritzboxen ist, dass man über den Fritz Dienst “MyFritz!” die Adresse der Fritzbox heraus bekommt und diese direkt über das Internet adressieren kann, d.h. man nimmt die MyFritz Adresse und fügt den freigegebenen Port für das System hinter der Domain hinzu. Ziemlich coole Sache. Aber STOP! Die Sache hat einen Haken. 

 

Die “MyFritz” Adresse der Fritzbox verwendet das HTTPS Protokoll. Damit wären Verbindungen zur Fritzbox verschlüsselt. Jetzt kommt der Haken: Das gilt wirklich nur für die Fritzbox, s.h., will man auf den Anmeldebildschirm der Fritzbox über das Internet zugreifen, dann wird diese Verbindung verwendet. Nur dafür ist das gedacht, und ein paar andere Sachen. Die Verschlüsselung funktioniert aber nicht, wenn ihr eine Portfreigabe adressiert. In einem solchen Fall muss das System hinter der Fritzbox die Verschlüsselung bereitstellen. Die Fritzbox ist hier ein bisschen “doof” und leitet den Datenstrom einfach nur weiter, falls möglich. Mit den neuen Chips hätten die Boxen eigentlich die Leistung für solche Sachen, aber es ist nicht implemeniert.

 

Beispiel: Nehmen wir an, ihr wollt einen HTTP Header an das System hinter der Box schicken. Ihr verwendet den X- Header für eine simple Passwortanmeldung. Dann würde die Verbindung entweder gar nicht aufgebaut werden, abhängig vom verwendeten Programm, oder das Passwort würde unverschlüsselt gesendet werden. Daran muss man denken.