Så udover at følge med i, hvilke moduler der opdages sårbarheder i, har jeg følt det nødvendigt, at finde muligheder for at sikre mine sites, uden selv at skulle holde øje med opdateringer i tide og utide. Jeg har kravlet bjerget af plugins til WordPress igennem, i forsøg på at komme rundt i de fleste aspekter af sikkerhed.

Her er hvad jeg har fundet anvendeligt, og pt. benytter:

• Secure WordPress [2]: En all-round-forhøjning af sikkerheden på sitet. Det blokerer underlige forespørgsler, fjerner informationer om versionsnumre og detaljerede fejlbeskeder, der typisk gør det nemmere for hackere at finde informationer om hvilke exploits der er brugbare.
• Mute Screamer [3]: En implementation af PHP-IDS, et Intrusion Detection System til PHP-applikationer. Mute Screamer inspicerer de forespørgsler brugerne, og angriberne, sender til WordPress. Det er nemt at skrue på forskellige tærskelværdier, for f.eks. hvor meget der skal til for at sende en angriber til en fejlside, eller direkte på en blacklist. Det er også til at få tilsendt emails ved forsøg på angreb.
• Akismet [4]: Et meget kendt modul, der tjekker alle kommentarer for spam. Det er ikke direkte beskyttende mod hacking, men det er effektivt til at forhindre at der ender en masse spam på dit site. Hvis en angriber ser et site fyldt med spam i kommentarerne, virker det oplagt at sitet måske er mindre vedligeholdt, og dermed mere sårbart overfor alvorligere angreb.
• Update Notifier [5]: Tjekker dagligt alle dine installerede moduler (og eventuelt temaer) for opdateringer, og sender dig en email, hvis der er opdateringer du endnu ikke har installeret. Det er en nem måde at vedligeholde WordPress på, uden selv aktivt at skulle holde øje hele tiden.
• WordPress Database Backup [6]: dækker det backup-mæssige aspekt af sikkerheden. De flade filer i WordPress laver jeg backup af via FTP. Men databasen synes jeg det var lidt mere bøvlet at få jævnlig backup af. Da det typisk er databasen der ryger, ved et SQL Injection angreb, er det vigtigt at tage backup af denne. WordPress Database Backup kan indstilles til f.eks. at sende en databasebackup afsted pr email, hver uge.

Herudover bruger jeg en række andre plugins til bl.a. kontaktform, Search Engine Optimization, automatiske Google-oversættelser, caching og XML-sitemaps. Men de har væsenligt mindre med sikkerhed at gøre.

Hvad gør du for at beskytte din WordPress?

Har du andre gode WordPress-moduler, eller har du gode tips til at sikre WordPress-serveren andre steder? – F.eks. et IDS/IPS til databasen eller lignende.

• [1]: http://en.wikipedia.org/wiki/WordPress
• [2]: http://www.websitedefender.com/secure-wordpress-plugin/
• [3]: https://github.com/ampt/mute-screamer
• [4]: http://akismet.com/
• [5]: http://lionsgoroar.co.uk/wordpress/update-notifier/
• [6]: http://austinmatzko.com/wordpress-plugins/wp-db-backup/

>> -----Original Message-----
> From: Preben
> Sent: 28. juni 2011 13:16
> To: Bjørn
> Subject: sikkerhed.
>
> Hej Bjørn jeg har en MacBookPro købt april 2011, og vil gerne sikres
> bedst muligt mod virus. hvis det kræver betaling,skal det foregå
> gennem PBS
> eller giro. hvad vil du anbefale ? venlig hilsen Preben.

Bedste hilsner
Bjørn

Jeg plejer at sige at folk endnu ikke behøver antivirusprogrammer til Mac.

Version2 foreslår ClamXav, Symantec eller intet, Apple selv har et par stykker listet. Hvis det endelig skal være, vil jeg vælge ClamXav, fordi det udover at være gratis, også er frit for reklamer m.v.
Selv som ivrig Mac-bruger, og hyppig gæst på de skumleste afkroge af nettet, er det ikke lykkedes mig at blive inficeret med noget endnu.

Hvis jeg derimod skal anbefale gode sikkerhedstips og -programmer til Mac, kan jeg anbefale applikationsfirewallen Little Snitch. Den sørger for at kun programmer du vælger, får lov at skabe netværkstrafik. Udover at kunne beskytte mod ondsindet software, giver den også brugeren et godt billede af hvad der egentlig kører under overfladen, som forsøger at få netadgang.

Af tips kan jeg anbefale at slå den indbyggede firewall til, samt at slå diskkrytering til, således at fortrolig data ikke ryger i forkerte hænder, hvis maskinen bliver stjålet. Til sidst kan jeg anbefale at bruge det indbyggede TimeMachine-værktøj til backup.

Det bedste tip er nu at holde programmerne opdateret. Installer opdateringerne når OSX kommer og siger de findes, og sørg for at opdatere Java, Flash og Adobe Reader, så snart de fortæller at der er tilgængelige opdateringer.

Så har vi vist også været rundt om de fleste aspekter af sikkerhed, uden at gøre et stort nummer ud af antivirus.

Hvis du har en god mistanke om hvem der har hacket dig, kan du måske undgå at give arbejde til politiet, ved selv at tale med personen om det.

hej lars,
Min facebookkonto og mailkonto er blevet hacket af en eller anden person. Og jeg tror godt jeg ved hvem det er. (Er næsten sikker på ..) Nu kan jeg hveken komme ind på min facebook eller mail. Håber virkelig meget på du kan hjælpe mig? Eller kan man ikke melde det til politiet? Kan de hjælpe mig med det?

Med venlig hilsen Diana

Hej Diana

Jeg kan ikke give dig din mail- og Facebook-konto tilbage.
Hvis personen der har overtaget dine konti ikke er super IT-kyndig, har vedkommende efterladt en del sikre spor (IP-adresser), og du har dermed en god sag hos politiet.

Du kan starte med at konfrontere personen du mistænker, hvis du føler dig tilstrækkelig sikker. Fortælle vedkommende at det er ulovligt, og kan straffes med fængsel i op til 4 år, samt at du går til politiet hvis vedkommende ikke giver dig adgangen tilbage, sammen med en stor undskyldning.

Og ellers er det bare at ringe til den lokale politistation..

I fremtiden skal du huske at bruge forskellige adgangskoder til forskellige steder.
Det er i orden ikke at have en ny kode til hvert enkelt sted, men du bør have et par “niveauer” af koder.
F.eks. en kode til tilfældige forums og småsites på nettet, en bedre kode til netbank og NemID, og en endnu bedre kode til din email, da den kan misbruges til alt for meget, hvis den overlades til de forkerte.

Til slut vil jeg lige høre dig, om jeg må bruge dit spørgsmål på min blog? – Eventuelt fjerne dit navn, og vente en måned eller to med at publisere det?

Giv gerne lyd fra dig, hvis sagen udvikler sig, eller du har brug for yderligere hjælp

MVH Lars Sommer, lasg@lasg.dk

hej Lars,

tusind tak for dit hjælp… jeg havde nemlig hørt at politiet vil ikke hjælpe hvis ens email eller facebook konto bliver hacket af nogen… men jeg prøver at melde ham alligevel… håber de vil hjælpe mig med at få dem tilbage igen… jah du må meget gerne bruge mit spørgsmål på din blog.

Med venlig hilsen diana

For mit vedkommende gik hele januar til og med juni med specialeskrivning.
Jeg lavede “lang afgang” på Aalborg Universitet, hvilket vil sige at både 9. og 10. semester gik med samme specialeprojekt.
Det er ialt 10 måneder, og det er lang tid på samme projekt. Stod jeg med valget i dag, var det nok blevet splittet op til to projekter.
Men ikke desto mindre gik det helt udemærket, og d.14. juni stod jeg som civilingeniør med speciale i netværk og IT-sikkerhed.
- Og som arbejdsløs, og bonustitel.

Det betød tvangsindlæggelse i dagpengeland, og det var et interessant bekendskab.
Mod slutningen af august var jeg på vej mod noget jobsøgningskursus, og blev reddet af en Facebookbesked; “Kender du en udvikler med flair for sikkerhed, der vil en tur til Malta?”

Jeg er ikke den store programmør, men med fokus på systemdesign og -arkitektur og en masse sikkerhed, var jeg frisk på jobbet med det samme.
Det blev arrangeret som en projektansættelse på 4 måneder, og det har været 4 strålende og spændende måneder i varmen på Malta.

Udover at få arbejdet med webprogrammering og linuxservere, fik jeg fin erfaring med sikkerhedsstandarderne ISO27000 og PCI-DSS.
Det var super spændende, men de fire måneder var en fin tidsramme til det.
Jeg er for afhængig af Danmark og alle mine gode bekendte her hjemme, til at bo i udlandet i længere tid.

Arbejdet på Malta blev afbrudt af en 12 dages rejse til USA i september.
Det var en meget stor oplevelse for mig, da jeg ikke havde været i USA før.
Vi var primært i Las Vegas, men med ture til bl.a. Grand Canyon, Bryce Canyon og Hoover Dam.
Det er et fantastisk land, som jeg bestemt ikke har besøgt for sidste gang.
Jeg hjembragte da også en iPad som legetøj, hvilket denne julehilsen er skrevet på (det er undskyldningen for eventuelle tastefejl).

Sidst på året blev jeg på opfordring valgt ind i redaktionsudvalget i Prosa.
Jeg er bestemt ikke fagforeningsmenneske rent politisk, men jeg synes Prosa byder på så meget andet spændende, at jeg bestemt gerne støtter arbejdet deri.
- Ja rent politisk tog jeg mig sammen og blev almindeligt medlem i Liberal Alliance tidligere på året.
Jeg blander mig efterhånden i en del foreninger, men så længe det er spændende og så længe jeg har overskud til det bliver jeg nok ved med det.

Nu står vi alle på tærsklen til et nyt år, og hjemme hos os står vi også på en anden tærskel eller to.
Henriette er kommet flot gennem grundforløbet som mediegrafiker, og leder nu med lys og lygte efter elevplads, for ikke at ende i skolepraktikken.
Om det lykkes eller ej, må tiden vise, men hun har dog indtil marts måned til at finde een.

Jeg selv står som arbejdsløs igen, og skal ligeledes igang med søgningen.
Vi søger begge primært beskæftigelse på Sjælland – ja nærmere Storkøbenhavn, ydre Vestegn og Roskildeegnen.
Så det bliver spændende at se hvor vi havner, om vi står overfor flytning igen, eller hvordan det arter sig.
Du må endelig sige til, hvis du kender nogen, der lige mangler en ingeniør, en systemadministrator, en unix-mand eller en sikkerheds-fyr.

Vi går i hvert fald fremtiden i møde med oprejst pande og åbne arme, og glæder os til hvad der end måtte være i vente.

Men i første omgang holder vi et par stille juledage med familiehygge og alt dertil hørende.

Jeg ønsker du får nogle rgtig hyggelige juledage med alle dine nære, og ønsker især at du får et super spændende og givende 2011.

Jeg håber vor veje krydses igen i løbet af 2011 .-)

Hendes spørgsmål og mit svar er generelle nok til det kan hjælpe andre, og den sidste lille krølle på historien er sød.

- – - – - -

Hej lars.

Jeg har et lille problem med min hotmail… den bliver ved med at sende de her engelske spam mails til alle i min kontaktbog. anja anbefalede at jeg ændrede mit password for det virkede for dennis, men er der andet jeg kan gøre for at “rense” min mail?

mvh pernille

- – - – - -

Hejsa

Nu har adskillige sagt at jeg blogger for lidt og chatter for meget.
Det må jeg hellere forsøge at gøre noget ved.

Det bliver først to korte anekdoter, og senere måske en anmeldelse af et produkt.

Presumed Security i hjemmevideo

Kort før jul købte en bekendt et videoovervågningssystem til sit hus, efter adskillige hjemmerøverier og indbrud i nærområdet.
Han satte to kameraer op, samt en fælles videoserver til dem. Via hjemmenetværket var det muligt at logge ind på videoserveren og se det optagede. Udstyret var sat til kun at optage når nogen gik forbi kameraerne.

Herefter kunne familien være tryg.
Eller hvad?

Jeg kom til testfremvisning af sikkerhedsudstyret.
Kameraerne optog såvel når katten gik forbi som når det blæste en smule udenfor. Deres finjustering kunne måske foretages et sted i softwaren…
Afspilning af gemte klip? – Nåh, det kunne vi ikke få til at virke.
Er videoserveren sikret så tyven ikke bare render væk med den? – Nå, ikke.

Det er et godt eksempel på Presumed Security, eller på dansk, Antaget Sikkerhed.
Typisk bruges begrebet om systemer hvor angriberen antager at systemet er for sikkert til at bryde ind i. Men i dette tilfælde passer det også fint den modsatte vej.

En fornuftig løsning må være et videosystem med et par kameraer der er så små at tyven ikke ser dem, en videoserver der virker, og gemmer dataen på en anden lokation, kombineret med et stort falsk kamera, kraftigt lys i indkørslen, samt skiltning om alarmudstyr.
Det kan givet vis give en Presumed Security overfor indbrudstyven, og samtidig en kameraløsning der virker “sikker” udfra en IT-sikkerhedsstuderendes synspunkt.

Jeg er meget modtagelig overfor forslag til videoovervågningssystemer til private.

Security Through Obscurity i dørlåsen

Da jeg for nyligt læste debatter [1][2][3] igennem om bankenøgler og dirke til dørlåse, blev jeg overrasket over folks naivitet.
Der er forbavsende mange der kritiserer TV for at have sendt udsendelser der viser hvor usikre mange dørlåse er. Der er ligeledes stor kritik af de folk der spørger til hvordan de f.eks. laver en bankenøgle, eller hvordan den virker.

HVAD TÆNKER I PÅ ?! – I tænker i hvert fald _meget_ kortsigtet.

Faktum er at mange husstande og biler (80 % ?) er beskyttet med elendige låse, der intet er værd overfor hverken indbrudstyve eller forsikringsselskaber.
Ved at tie det faktum ihjæl, er der alle tiders gode muligheder for østeuropæiske tyvebander og tilsvarende. For de ved da godt at låsene er usikre.

Selv i Danmark kan man frit købe låsepistoler, dirke og bankenøgler. Så tyvene, altså dem der interesserer sig for at åbne låse, har gode muligheder.
De privatpersoner, altså boligejere som typisk ikke interesserer sig for at åbne låse, ville jo ikke vide at deres lås var pivåben, hvis det ikke blev kastet i hovedet på dem via TV.

Man kan argumentere for at låseproducenterne (eller forsikringsselskaberne?) skulle gå aktivt ud og kontakte alle de havde solgt låse til, og tjene lidt på at tilbyde at opgradere til en sikker lås. I stil med softwareproducenterne der nogle gange selv sender sikkerhedspatches ud til deres software, før der kommer fulde beskrivelser af sikkerhedshullerne på nettet.
Men nu registrerer låseproducenterne altså ikke at du har købt en gammel Ruko-lås for 12 år siden, og har ikke lige din mailadresse i dag..

Så lad os da få emnet eksponeret så klart og tydeligt det er muligt, og tag dig så sammen og køb en ny og sikker lås for pokker da!

Du kan købe dirkeudstyr og låsepistoler på bl.a. LockPick.dk

Jeg modtager gerne forslag til sikre dørlåse til private.

Det ledte mig til at finde en tastaturbeskyttelse til MacBooken.

Efter lidt søgen, fandt jeg adskillige billige på MyTrendyPhone.dk, og endte med at købe den billigste til 42 kr.

Den ser ud som billedet her viser. Den er møg grim, og giver en følelse af at taste i en slags halvflydende gummimasse.
Men den beskytter helt sikkert mod de fleste mindre væskeuheld.

Den er ydermere vist lavet til amerikansk tastatur, med en knap mindre, så der er to steder den ligger lidt underligt, omend ikke videre generende.

Til 42 kr er det et stykke udemærket beskyttelse, hvis man altså kan leve med at ens maskine ser ud som om den har regnjakke på, og man taster halvt så hurtigt …

Jeg vil nu gerne give lidt mere, hvis jeg kunne få noget pænere og bedre. Sig til hvis du kender noget.

Så jeg er på jagt efter andre direkte links, til streams der virker smertefrit med mplayer og/eller VLC.

Jeg faldt over siden Online365, som har samlet en bunke kanaler fra flere steder i verden. Super lækkert, men noget bøvl at skulle se TV inde på en hjemmeside. Jeg blev ret irriteret da jeg opdagede deres halvhjertede forsøg på at blokere for højrekliks via JavaScript.

Nu har jeg lavet et kort shellscript, der fisker alle deres direkte links til streamene ud, og laver shell-aliaser, så jeg f.eks. blot skal skrive setv_kanalnavn, for at starte mplayer med den rette stream-URL.

Før jeg frigiver scriptet mere tydeligt end på billedet, vil jeg gerne høre at det er helt tilladt at “høste” URLerne på det måde.

Ligeledes vil jeg rigtig gerne høre fra DIG, hvis du har en samling direkte links til gode TV-stationers streams, eller hvis du har nogle gode kilder til det, der holdes opdaterede.

I mellemtiden kan du også blot smide mig en mail på lasg@lasg.dk, hvis du vil kigge på mit script.

Når sådan noget er sket flere gange, øger man naturligvis sikkerheden, således det ikke sker igen.

Ikke?

Jeg nøjes med at bringe et enkelt billede denne gang. Kig på den røde pil, og bemærk at Aalborg Universitet mener der er en vis sammenhæng mellem kompetenceudvikling og Xanax.

Tør jeg stole på eksamensdatoer, afleveringsdatoer, kursusbeskrivelser, telefonnumre og mailadresser, med sådan en sikkerhed?

Jeg fik en gratis Blockmaster Safestick af IT-sikkerhedsfirmaet C-cure til test.
Efter at have leget lidt med den i forskellige systemer, var jeg klar til noget skarp kritik af den manglende operativsystemkompabilitet.

Tilfældigt opdagede jeg at QpoX allerede havde blogget om dette, så jeg vil nøjes med at give ham fuldstændig ret på det område.
Blockmaster Safestick virker ikke i Linux, BSD eller OSX, eller noget somhelst andet, udover Microsoft. (Min personlige holdning er at man ikke bør håndtere fortrolige eller hemmelige oplysninger ukrypteret på et Microsoftsystem overhoved. Søg evt. efter antallet af sikkerhedsproblemer, hvis du er i tvivl.)
På bagsiden af pappet står den virker i VMware i Linux og OSX, men det er helt forkert. VMware er et program til at virtualisere, og køre operativsystemer gennem, ikke til at anvende USB-sticks i.
Nå, QpoX har helt ret. Lad os i stedet kigge på andre dele af Blockmaster Safestick, og se om det mon ikke er bedre.

I brevet fra C-cure.dk står bl.a. “Ingen andre produkter kombinerer organisatoriske sikkerheds- og fleksibilitetskrav som SafeStick”.
Hvis du er en smule erfaren udi IT-sikkerhed og operativsystemer, kan du holde det op imod at Blockmaster Safestick kun virker i Windows.

At brevet så er underskrevet et firma der hedder IT2Trust, og der ikke står C-cure nogen steder øger blot min forvirring.
Vil det være en god blackhat business case at opsnappe USB-stick-bestillinger, annullere dem, og så selv sende en malwarefyldt USB-stick afsted?
Nå pyt, vi stoler på hinanden.

Rent fysisk er Blockmaster Safestick primært lavet i metal, hvilket gør den robust og flot. Bagsiden er dog af plastik, hvilket resulterede i at den gik fra hinanden da jeg trak i den. Det er enormt dumt.
Det ville være et fysisk flot og holdbart produkt hvis det var ren aluminium det hele.

Intensionen bag Blockmaster Safestick er rigtig flot. Krypteringen er ikke til at se i dybten, så jeg skal ikke kunne sige om den er sikker eller ej. Hvis de har implementeret en AES256 og RSA1024 på en fornuftig måde, er det jo i sig selv rigtig fint.
Det er også meget flot af C-cure at de sender et eksemplar til gratis test. Det blev jeg positivt overrasket over og glad for. Tak for det.

Men jeg er generelt ret skuffet over Blockmaster Safestick, og kan slet ikke anbefale det til professionelt brug.
Det er måske egnet til virksomheder der ikke interesserer sig for IT-sikkerhed, og dem er der også rigtig mange af. Desværre har de så næppe interesse for et produkt der netop bør øge sikkerheden.

Nu har jeg takket og primært uddelt negativ kritik. Der må kunne skabes noget godt ud af historien også.
Jeg sidder og tænker lidt over en lignende løsning der er fleksibel.
Hardwareuafhængig, så den kan bruges på alle billige USB-sticks, og USB-harddiske. Software til flere forskellige operativsystemer, samt naturligvis åbne implementationer af sikkerhedsmekanismerne, så alle kunder selv har muligheden for at verificere sikkerheden.

Gode ideer og inputs modtages!