RIS30: Klingelschilder im Usenet

Tobias hörte vor kurzem etwas von dem Usenet und von der Tatsache, dass dort quasi unbeschränkt Dateien getauscht werden können. Jens, als Internet-Opa, hat das Usenet noch miterlebt und kann daher etwas dazu erzählen. Er erklärt, wie das Usenet funktioniert, wie das aufgebaut war und auch wie Dateien getauscht wurden.

Newsgruppen mit binären DatenAnsicht von Binär-Newsgruppen mit insgesamt 33 PB DatenVon FlippyFlinkEigenes Werk, CC BY-SA 3.0, Link

Die nächste Geschichte, die Tobias aufschnappte, war die Diskussion um die Klingelschilder, die wegen der DS-GVO abgenommen werden mussten. Wir sprechen darüber und andere Merkwürdigkeiten, die im Zusammenhang mit der DS-GVO diskutiert werden.

Im Rahmen einer Veranstaltung an seiner Schule versuchte Jens den Schülern das Thema Passwort-Sicherheit rüberzubringen. Die Teilnehmer durften Passwörter hacken, machten sich Gedanken über sichere und unsichere Passwörter  und übertrugen ihr Wissen auch auf Handy-Loginschirme. Jens berichtet von seinen Erfahrungen aus der Veranstaltung.

Von da aus springen wir zu der Regelung, die kürzlich in Kalifornien in ein Gesetz gegossen wurde. Dort wurden schwache Passwörter, für Geräte, die werksseitig geliefert werden,  ab 2020 für unzulässig erklärt.

Kategorien
Allgemein

Südkoreanische Hacker greifen an

Kürzlich unterhielt ich mich mit jemandem über WordPress, Sicherheit und wpscan. Dabei stießen wir auf das Plugin WP Security Audit Log.

WordPress hatte in der längeren Vergangenheit immer wieder mit Sicherheitsproblemen zu kämpfen und in neuerer Zeit sind es vorwiegend Plugins, die Probleme bereiten. Mit wpscan lässt sich eine WordPress-Instanz nach verschiedenen Parametern scannen. Beim Scan der Seite von Radio (In)Security fragten wir uns dann, ob fehlgeschlagene Logins (aka Erraten von Passwörtern) vermeldet werden.

WordPress selbst meldet dies nicht. Aber es gibt Plugins, die das tun. So verspricht WP Security Audit Log dies. Bei unseren Tests tauchten die Meldungen auch auf.

Heute konnte ich nun einen Test unter realen Bedingungen machen. Der Beitrag zum Passwort bei Kanye West wurde als Nutzer admininsec veröffentlicht. Kurze Zeit nach der Veröffentlichung vermeldete WP Security Audit Log einen gescheiterten Anmeldeversuch von einer IP-Adresse aus Südkorea.

Es ist natürlich unklar, ob beide Ereignisse miteinander zusammenhängen. Aber zeitlich liegen die einfach dicht beieinander und bisher gab es recht Versuche, sich als admininsec einzuloggen.

Mein (hoffentlich) schwer zu erratendes Passwort sollte mich hingegen vor südkoreanischen wie auch anderen Hackern schützen. 🙂

Kategorien
Allgemein

Passwort — You’re doing it wrong

Kanye West entsperrt sein Handy.

  1. Fehler: Mache das nie in der Öffentlichkeit, wo viele über deine Schulter schauen können (und sogar filmen).
  2. Fehler: Nutze nicht eine Folge von ‘0’ als Passwort. (Wer kann die Anzahl erraten? ;-))