Blogs, Sicherheitslücken und Verantwortung

Wie ich gerade bei BlogSecurity lesen musste, wurde gestern Nachmittag das Blog SvenKubiak.de „defaced“, d.h. gehackt und die Startseite durch eine andere ersetzt. Die Ursache fand sich in einer veralteten Version des MyGallery-Plugins.

Software ist fehlerhaft. Punkt. Immer und zu jeder Zeit, den Software wird von Menschen erdacht und erschaffen und so fehlerhaft wie der Mensch so fehlerhaft ist auch Software, im Schnitt bedeutet das 2 Fehler je 1000 Zeilen Programmiercode.
Nun gibt es vielerlei verschiedene Fehler in Software. Manche Fehler treten nie auf, denn die Stelle an der der Fehler gemacht wurde, wird nicht erreicht (zB weil die Stelle nur im Fehlerfall erreicht wird), manche Fehler haben nur kosmetische Auswirkungen (Fehler in der Benutzeroberfläche oder allgemein in der Ausgabe), manche Fehler führen zum Absturz der Software. Manche Fehler aber sorgen für von außen angreifbare Sicherheitslücken, so wie in diesem Falle.

Programmierfehler sind immer ärgerlich, sowohl für den Software-Entwickler als auch für den Nutzer der Software, denn für beide bedeuten Programmierfehler Arbeit. Der Software-Entwickler steht nun vor der Aufgabe, den Programmierfehler zu beheben und dabei möglichst keine neuen Sicherheitslücken aufzureißen. Der Software-Nutzer hingegen steht nun in der Pflicht, dafür sorge zu tragen, dass er möglichst immer die aktuellste Version der Software vorliegen hat.

Software-Anwender haben üblicherweise das alleinige Interesse die Software anzuwenden. Sie wollen sich nicht um Programmierfehler und Software-Wartung kümmern, denn schließlich haben sie ja für die Software bezahlt und sich die Mühe gemacht, das Software-Produkt zu installieren und sich einzuarbeiten. Hier liegt ein gewaltiger Denkfehler.
Jedem Autofahrer ist bewusst, dass er sich um die Pflege und Wartung seines Autos kümmern muss. Das Auto muss gewaschen werden, der Öl-Druck überprüft und defekte Teile ausgewechselt werden. Tut er das nicht, kann das zu teuren Reparaturen und zum stehen bleiben des Fahrzeugs führen.
Bei Software ist dies kaum anders. Zwar gibt es keine Verschleißteile, die regelmäßig gewechselt werden müssen, allerdings ist regelmäßiges putzen (Festplatte aufräumen, nach Viren scannen, Backups anfertigen) und regelmäßige Wartung (va das überprüfen ob neue Versionen vorliegen) nötig, da es sonst zu Rucklern, Abstürzen oder Datenverlust kommen kann.
Dies nenne ich die Verantwortung gegenüber dem Eigentum.

Programmierfehler auf öffentlich zugänglichen Geräten, wozu auf ein Blog gehört, können aber zu deutlich schlimmeren Folgen, als nur zu Rechnerabstürzen führen. Wenn zB die Steuerung einer Ampel versagt und alle Ampeln gleichzeitig auf Grün springen, ist sogar Leib und Leben in Gefahr. Ganz so dicke kann es für Blogger dann doch nicht kommen. Im Idealfall wird eine Sicherheitslücke entdeckt und der Fehler behoben, noch bevor die Sicherheitslücke ausgenutzt wurde, im schlimmsten Fall kann aber der Webserver auf dem das Blog liegt gekapert werden und über ihn strafrechtlich relevante Daten verbreitet, die zu gehörigen Problemen für den Blogger führen können.

Was ist nun zu tun?

  1. Überlegen einer Backuplösung für das Blog, damit die Daten im Blog nicht verloren gehen können. Ich verwende das WordPress Database Backup Plugin um die Datenbank mit den Artikeln und Kommentaren regelmäßig (einmal am Tag) zu sichern. Desweiteren habe ich alle Dateien, die auf dem Webserver liegen, bei mir lokal gespeichert.
  2. Aktivieren des WordPress Update Monitor Plugins, dass anzeigt, wenn eine neue WordPress-Version erschienen ist, darum ein Update erforderlich ist und dieses Update zeitnah durchführen.
  3. Überprüfung des Blogs durch den WP-Scanner von BlogSecurity. Dieser testet sowohl die Plugins, als auch das verwendete WordPress Theme auf Sicherheitslücken. Die entsprechenden Updates sollten installiert werden.
  4. Überprüfen jedes einzelnen installierten Plugins, ob es eine neue Version gibt und gegebenenfalls das Installieren dieser neuen Version.
  5. Ausarbeitung eines Wartungsplans für das Blog. In meinem Fall bedeutet das, dass ich täglich die WordPress-Datenbank und bei jeder Veränderung der Dateien diese auf meinem Rechner sichere. Desweiteren lege ich vor jedem WordPress-Update eine zusätzliche Komplettsicherung aller Dateien und der Datenbank an. Bei jedem WordPress-Update überprüfe ich JEDES Plugin, ob eine neue Version vorliegt.
  6. Überprüfen des Webservers, denn natürlich kann und wird auch dieser Sicherheitslücken haben. Wenn man nicht gerade selbst Administrators seines eigenen Servers ist, bleibt einem hier nur das Anmahnen von Updates beim Hoster (va Datenbank, PHP-Version, Webserver und Betriebssystem seien hier genannt).

Hat man diese sechs Schritte durchgeführt und hält sich an seinen Wartungsplan, so kann eigentlich nichts mehr schief gehen. Außer natürlich, die verwendeten Passwörter sind nicht optimal

Laptop frisst Diplomarbeit

Zum Glück nicht meine…

Eine Kommilitonin hat mich gerade ganz aufgelöst angerufen. Ihr Laptop ist gestern mitten im Betrieb abgestürzt und jetzt fehlen ganze Ordner des Quellcodes ihrer Diplomarbeit. Ihr letztes Backup ist 6 Wochen alt…
Anscheinend ist der CPU-Lüfter ihres Lappis hinüber. Allerdings tippe ich eher auf einen Virus, warum sollten sonst Dateien verschwinden, auf die nur lesend zugegriffen wurde?

Naja, wie sagt mein Lieblings-Prof immer?
„Gucken sie die Website!“ bzw eher zum Anlass passend:
Solange man kein aktuelles, funktionierendes und getestetes Backup einer Datei hat, sollte man die Datei bereits als gelöscht ansehen.

In diesem Sinne:

„Mach mal wieder ein Backup !“

Handyspaß die IIte

2 1/2 Stunden habe ich mich heute Nacht noch mit der PC Suite rum geärgert. Installiert, Deinstalliert, Upgegraded etc. Die Moral von der Geschichte?
PC Suite ist nicht zu PC Suite kompatibel.
Die PC Suite bei meinem 6230i verwendet den ContentCopier 2 und erkennt das 6288 weder per Kabel noch per Bluetooth. Die PC Suite des 6288 verwendet den ContentCopier 4, welcher die Daten des ContentCopiers 2 nicht lesen kann.

Zum Glück bin ich ein typisch spießiger Deutscher. Ich schmeiß nix weg. Und wenn auf einem Formular steht, dass die SIM-Karte Eigentum des Mobilfunkproviders ist, dann nehme ich das hin und passe doppelt darauf auf. Also habe ich in meinen Mobilfunkunterlagen eine 5 Jahre alte SIM-Karte gefunden, die seit 3 Jahren nicht mehr benutzt wurde. Zwar hatte ich die PIN vergessen, aber ordentlich wie ich bin hatte ich natürlich den Zettel mit der PUK aufgehoben und dadurch das 6230i mit der alten SIM-Karte zum Laufen gebracht.
Die aktuelle PC Suite erkennt sowohl das 6288 als auch das 6230i und mit beiden Handys und zwei SIM-Karten wars auch kein Problem mehr die Daten vom 6230i auf den PC und von dort zum 6288 zu übertragen.

Ende gut, alles gut.

Merke: Erst Upgraden und dann Backuppen. Zumindest wenns um Handys geht…

Handyspaß

Seit ein paar Wochen habe ich aus einer Vertragsverlängerung ein Nokia 6288 hier rumliegen und mir erst gerade die Zeit genommen, es in Betrieb zu nehmen. Ein nettes Teil soweit, aber damit telefonieren kann ich natürlich erst dann, wenn ich das Telefonbuch meines alten Geräts importiert habe. Sollte eigentlich kein Problem sein, dachte ich mir, schließlich ist das alte Gerät ein noch nicht mal 2 Jahre altes Nokia 6230i. Also die Nokia PC Suite auf dem Rechner installiert, die Daten des alten Handys auf dem Rechner gebackuped, die SIM-Karte ins neue Handy geschraubt und die dazu gehörige PC Suite installiert und versucht die Daten zurück zu spielen.

Pustekuchen! Die aktuelle PC Suite erkennt die Daten der alten PC Suite nicht. :-(

Ich werd jetzt also versuchen die aktuelle PC Suite vom PC zu kratzen, die alte PC Suite draufspielen und hoffen, dass die alte PC Suite mit dem neuen Handy umgehen kann. Sonst wirds eklig (Steffis SIM-Karte ins 6230i stopfen, und dann Kontakt für Kontakt, SMS für SMS und Foto für Foto per Bluetooth rüberschieben…)

WordPress-Deutschland Gewinnspiel Gewinn angekommen

Inzwischen ist übrigens das Buch angekommen, das ich bei WordPress-Deutschland gewonnen habe. Witzigerweise habe ich aber nicht wie angekündigt „XAMPP kompakt„, sondern „phpMyAdmin kompakt“ bekommen, dafür hat Jaman vom Northern-Web-Coders Blog das XAMPP bekommen. Wahrscheinlich werden wir die Bücher tauschen, mal gucken.

Installierte WordPress-Plugins

Weil ich ja gerade schon beim Thema Plugins bin, zähle ich mal kurz auf, welche Plugins gerade vor euren Augen rumschwirren bzw das rumschwirren ermöglichen:

[Edit]
Die Liste habe ich aus Gründen der Übersichtlichkeit auf eine eigene Plugin Seite ausgelagert

Backups lohnen sich – Danke an die WordPress-Deutschland Backup Woche!

Backups lohnen sich immer!
Backups haben vielerlei Nutzen:

  • Sie sichern den Kopf des Admins im Falle eines Datenverlustes
  • Sie sichern den Kopf des Admins im Falle eines Datenverlustes
  • Sie sichern den Kopf des Admins im Falle eines Datenverlustes
  • Sie bescheren mir XAMPP kompakt – das offizielle Anwenderhandbuch

Backups bescheren Bücher? Ja! Mir zumindest.
Das WordPress-Deutschland Blog startete am 5.3. eine Aktionswoche unter dem Motto:
Ein Teil der Aktionswoche war, neben einiger Tips und Tricks wie man Backups der WordPress Datenbank anlegt, auch ein Gewinnspiel. Die Aufgabe um eines von zehn Büchern zu gewinnen war es, einen Artikel über Backups mit Trackback zum Ausgangsartikel zu schreiben, was ich mit dem Artikel „Mein erstes Backup“ auch gemacht habe. Gerade eben habe ich bei Technorati entdeckt, dass ich von WordPress-Deutschland verlinkt worden bin. Diesem Link bin ich natürlich sofort nachgegangen und endeckte, dass ich einer der zehn Gewinner bin. Yatta, Backups lohnen sich eben immer. Jetzt muss ich bloß noch raus bekommen, wie ich an das Buch komme. :-)

Btw, zur Zeit scheinen Steffi und ich eine Gewinnspiel Glückssträhne zu haben, wenn man sich an das Gewinnspiel der SWM erinnert.