Anzeige
Anzeige
News
Artikel merken

Cloudfest: Diese smarten Open-Source-Ideen sorgen für mehr Sicherheit im Web

Im Rahmen des Cloudfest 2018 haben sich Entwicklerteams aus der Open-Source-Community zu einem Coding-Sprint von 48 Stunden zusammengesetzt, um an echten Lösungen für mehr Sicherheit im Web zu arbeiten. t3n war dabei.

Von Birgit Olzem
5 Min. Lesezeit
Anzeige
Anzeige

(Bild: Cloudfest)

Der Hackathon jährt sich zum dritten Mal und ist an dem Wochenende vor dem offiziellen Start des Cloudfest (ehemals World-Hosting-Days) veranstaltet worden. Das erklärte Ziel der Veranstaltung ist, in unterschiedlichen Projekten innerhalb von 48 Stunden brauchbare Lösungen zu entwickeln. Unternehmen aus dem Bereich Webhosting und Cloud-Computing unterstützen den Hackathon als Sponsoren.

Anzeige
Anzeige

In den vergangenen beiden Jahren haben die teilnehmenden Firmen die Projekte aus den eigenen Reihen definiert. Neuerungen in den Vergaberichtlinien der Projekte tragen dazu bei, dass in diesem Jahr die Ideen aus der internationalen Open-Source-Community stammen. Die Organisatoren des Hackathon fokussieren sich verstärkt darauf, den kommerziellen Charakter zu eliminieren und stattdessen Lösungsansätze aus dem Open-Source-Bereich zu unterstützen.

Die Sponsoren haben die Wahl, pro Paket im Wert von 1.150 Euro eine Person aus dem eigenen Unternehmen sowie ein Mitglied aus der Open-Source-Community an dem Hackathon teilnehmen zu lassen. Wie schon bei den ersten beiden Veranstaltungen können auch mehrere Pakete erworben werden, um fähige Entwicklerteams aus der Open-Source-Community zum Hackathon einzuladen. Die Kosten für Anreise und Unterbringung sowie Verpflegung während des dreitägigen Aufenthalts werden durch die Sponsoren-Pakete gedeckt.

Anzeige
Anzeige

Anzeige
Anzeige

Am Dienstag sind die Ergebnisse des dritten Cloudfest-Hackathon vor den Messe-Besuchern präsentiert worden. Wir haben uns die Projekte näher angesehen.

Projekt 1: Automatisierte Sicherheits-Checks für WordPress-Plugins

Wie schon berichtet, laufen mittlerweile circa 30 Prozent aller Websites auf Basis von WordPress. Schwachstellen in WordPress-Plugins stellen daher eine Bedrohung für einen großen Teil des Internets dar, was beispielsweise zu großflächigem Spam, DDoS oder Phishing führen kann. Das deutsche Startup-Unternehmen Ripstech hat bereits ein Tool entwickelt, das PHP-Skripte mittels Source-Code-Analyse auf Sicherheitsschwachstellen untersucht.

Anzeige
Anzeige

Während des Hackathon ist eine CMS-übergreifende Lösung auf PHP-Basis entwickelt worden, die es ermöglicht, mittels API eine Applikation source-code-basiert auf Schwachstellen zu untersuchen. Im Anschluss an den Sicherheits-Scan kann dann ein Security-Analyse-Report in PDF-Form per E-Mail an die verantwortliche Stelle gesendet werden. In Vorbereitung auf den Hackathon wurden die Top-250 WordPress-Plugins mittels des Tools gescannt. Das Hackthon-Entwicklerteam hat während des Coding-Sprints die Scan-Ergebnisse überprüft und einige Plugin-Autoren über bestehende Sicherheitslücken informiert. Die Mehrzahl der Plugins bewegen sich auf einem hohen Sicherheitsstand.

Projekt 2: Einmal-Passwort für ProFTPD

Das File-Transfer-Protokoll (FTP) ist nach wie vor sehr beliebt. Oft werden FTP-Passwörter in der Client-Software – teilweise in Klartext – abgespeichert. Dies stellt eine ernstzunehmende Bedrohung dar, da Viren und Trojaner diese Sicherheitslücke ungehindert nutzen können. Diese Umstände haben zu massiven Exploits geführt. Die Zielsetzung für das Projektteam ist, ein Modul für ProFTPD – den beliebten Open-Source-FTP-Server – zu entwickeln. Dieses Modul bietet einmalige Passwörter basierend auf dem Yubico-OTP-Protokoll, das ein Hardware-Token für die Verarbeitung der Passwörter benötigt.

Schaubild

Schaubild Auth-Prozess. (Bild: Cloudfest)

Projekt 3: Sichere Auto-Updates für PHP-Applikationen

Ein wichtiger Sicherheits-Faktor ist das regelmäßige Aktualisieren von Software. Zu einem Problem wird das, wenn Updates nicht oder zu selten genutzt werden. Somit kann veraltete Software zur Gefahr werden. Als eine mögliche Lösung kann das automatisierte Update die Bedrohung von bekannten Exploits minimieren. Aber auch dies birgt Sicherheitsrisiken. Wenn eine mögliche Lücke auf einem Update-Server ausgenutzt wird, infizieren kompromittierte Updates alle angeschlossenen Systeme. Anders verhält es sich, wenn die Updates vom Entwickler digital signiert ausgeliefert werden. Die kryptographische Signatur verhindert das unkontrollierte Verteilen von kompromittierten Updates. Auch im Falle, wenn der Update-Server angegriffen wird.

Anzeige
Anzeige

Während des Hackathon ist ein „Proof of Concept“ für populäre Webanwendungen entwickelt worden. Die entwickelte Lösung bietet neben einem Plugin für WordPress auch ein CLI-Tool zum Signieren von Auto-Updates. Eine Demoversion ist auf Github zu finden.

Projekt 4: Exploit-Filterung mit ‚mod_security‘ für Shared-Hosting-Umgebungen

Das Open Source Webserver-Modul „mod_security“ ermöglicht die Filterung von Angriffen auf Webhosting-Umgebungen beliebiger Größe. Bisher fehlt es an verfügbaren Regelsätzen. Dies führt dazu, dass zu viele False-Positive-Meldungen ausgegeben werden. Daher ist das Modul nicht sehr beliebt. Ab sofort können solche Regelsätze kostenlos genutzt werden. Dazu wurde in Kooperation mit dem Eco-Verband die „Web-Security-Initiative“ ins Leben gerufen. Sie resultiert aus einem Projekt des letztjährigen Hackathon.

Siwecos steht für „Sichere Webseiten und Content Management Systeme“ und soll Sicherheitslücken auf Websites von kleinen und mittelgroßen Unternehmen aufdecken. Damit diese Prozedur erleichtert wird, sind im diesjährigen Projekt Plugins für Joomla, WordPress und Typo3 entwickelt worden. Somit können Seiteninhaber ihre Website mit wenigen Mausklicks zu Siwecos hinzufügen und erhalten die Ergebnisse des Scans direkt ins Backend zurück.

Anzeige
Anzeige

Projekt 5: Domain Connect Muster-DNS-Provider

Nach dem Hackathon-Projekt 2017, durch das der Service „Domain Connect“ als Vorbild-Service entwickelt worden ist, liegt der Fokus in diesem Jahr darauf, die andere Seite des Protokolls aufzubauen. Domain Connect ist ein offener Standard unter MIT-Lizenz, der es einem Benutzer leicht machen soll, DNS für eine Domäne zu konfigurieren, ohne die Komplexität des DNS zu verstehen. Ähnlich dem Verfahren für Single-sign-on laufen alle notwendigen DNS-Einträge über den unabhängigen Service-Provider. Bisher unterstützen mehr als 20 Service-Provider und 14 DNS-Provider die Nutzung von Domain Connect, darunter auch Microsoft, Automattic, Godaddy und 1 und 1.

Das Projektteam hat sich in drei Sub-Teams aufgeteilt, um an unterschiedlichen Integrationen zu arbeiten. Das eine Team arbeitet an einem Muster-DNS-Provider mit dem Ziel, eine Open-Source-Referenz zur Implementierung von Domain Connect zur Verfügung zu stellen. Weiterhin geht es um eine Integration in das Hosting-Panel von Plesk. Das ist besonders hilfreich, um E-Mail-Services wie Office 365 oder G Suite mit Domains zu verknüpfen. Als dritte Herausforderung stellt sich das Entwicklerteam der Aufgabe, Domain Connect als Dynamic DNS zu nutzen.

Projekt 6: Sichere Industrie-IoT-Lösungen – basierend auf bewährten Modulen und Open Source Cloud-Komponenten

Im Rahmen des sechsten Projekts ist ein MVP (Minimal Viable Product) für kleine Unternehmen entwickelt worden, die eine kostengünstige, sichere, zuverlässige und einfach zu implementierende Internet-der-Dinge-Lösung zur Überwachung von Produktionsanlagen nutzen wollen. Das MVP besteht aus verschiedenen Edge-Devices (Raspberry Pi Zero, Aaeon UP^2 Board) und einer lokalen Cloud-Lösung (beispielsweise Open IoT Service Platform[OISP]). Der Lösungsansatz ist ebenfalls als Open Source auf Github hinterlegt.

Anzeige
Anzeige

In Gesprächen mit den Organisatoren, Sponsoren sowie Teilnehmern ist deutlich herauszuhören, dass die Auswahl der Projekte in diesem Jahr wesentlich größeres Interesse weckte. Der Großteil der Projekt-Teams arbeitete bis mitten in der Nacht gemeinsam an den Lösungen. Die Teams setzten sich interdisziplinär zusammen aus Soft- und Hardware-Entwicklern über Projektmanagern bis zu Themenkomplexen wie Dokumentation und Usability-Testing. Im kommenden Jahr soll das neue Konzept noch weiter ausgebaut werden. Die erzielten Ergebnisse sind jedenfalls vielversprechend.

Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Schreib den ersten Kommentar!
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige