Tag "security"

Stuxnet – der Poltergeist in der Maschine

23. September 2010

Und wieder sind wir Skynet um einen entscheidenden Schritt näher gekommen:

Frank Rieger schreibt über den Trojaner »Stuxnet«, der dazu in der Lage ist, seinen Weg über Windows-Rechner aller Art hin zu speicherprogrammierbaren Steuerungen (SPS) aus dem Hause Siemens zu finden, um sich dort einzunisten und dort unerkannt wasweißich für Schabernack zu treiben. Ein unerhört vielseitiges und fieses Ding.

Als wenn dies an sich nicht bereits gruselig genug wäre, war der Bestimmungszweck des Trojaners den Vermutungen nach, Anfang 2009 iranische Anreicherungszentrifugen zu kompromittieren – was vielleicht sogar von Erfolg gekrönt war – und sich anschließend nicht mehr weiterzuverbreiten. Dass letzteres nicht geklappt hat, kann man der aktuellen Berichterstattung entnehmen (so ein Geist geht halt nicht immer klaglos wieder in die Flasche). Ein Virus, der also Uranschleudern befällt.

Steuerungen der beschriebenen Art werkeln in ungezählten Steuerungsanlagen vor sich hin, habe ich mir sagen lassen. Man ersetze »Anreicherungszentrifuge« mit »Atommeiler« – rein hypothetisch – und schon hat man den blanken Horror.

WordPress-Sicherheit: Versionsnummer unterdrücken

13. October 2008

Die Macher von WordPress haben schon häufig Schelte für die Sicherheit ihres Weblog-Systems bekommen. Was tun als Hasenfüßiger Webmaster, der man ist?
Da hat der »Wordpress Codex« seit geraumer Zeit einen passenden Artikel parat, der sich der »Härtung« von WordPress widmet. Lesen sollte man den schon: Hardening WordPress

Da wird nach der Parole »Security through obscurity« auch empfohlen, die Versionsnummer der Installation nicht laut herauszuposaunen, damit es die bösen Cracker in der Zeit zwischen Bekanntwerden einer Lücke und der Installation einer gefixten Version nicht so leicht damit haben, »willige« Opfer zu finden. Na gut, gar nicht so doof!

Leider reicht es dazu nicht aus, einfach das »Generator«-Metatag aus dem Header zu schnipsen. Das System plakatiert seine Versionsnummer an allen Ecken und Enden: in den HMTL-Seiten, in den Feeds und so fort. Das Entfernen des Metatags allein ist bei den letzten Versionswechseln noch ein Stück weit schwieriger geworden – das Tag wird inzwischen von der builtin-Funktion wp_head() erzeugt. Die macht auch noch andere Dinge und ist nicht so leicht verzichtbar.

Abhilfe: der »Generator«-Funktion per Filter einen Riegel vorschieben. Am schnellsten geht das durch Einfügen folgender Zeilen in die function.php des eigenen WordPress-Templates unter /wp-content/themes/THEME-NAME:

function nichts() { 
    return ""; 
} 
add_filter('the_generator','nichts'); 

Das behebt das Problem direkt an der Wurzel, da WordPress auf die Funktion the_generator() an allerlei Stellen zurückgreift. Wer diesen »Schalldämper« lieber als PlugIn mag (zum ein- und ausknipsen), kann sich natürlich auch mit wenigen Handgriffen selber eines daraus basteln – das macht den Webmaster natürlich auch nicht doofer 😉