Der Hackathon jährt sich zum dritten Mal und ist an dem Wochenende vor dem offiziellen Start des Cloudfest (ehemals World-Hosting-Days) veranstaltet worden. Das erklärte Ziel der Veranstaltung ist, in unterschiedlichen Projekten innerhalb von 48 Stunden brauchbare Lösungen zu entwickeln. Unternehmen aus dem Bereich Webhosting und Cloud-Computing unterstützen den Hackathon als Sponsoren.

In den vergangenen beiden Jahren haben die teilnehmenden Firmen die Projekte aus den eigenen Reihen definiert. Neuerungen in den Vergaberichtlinien der Projekte tragen dazu bei, dass in diesem Jahr die Ideen aus der internationalen Open-Source-Community stammen. Die Organisatoren des Hackathon fokussieren sich verstärkt darauf, den kommerziellen Charakter zu eliminieren und stattdessen Lösungsansätze aus dem Open-Source-Bereich zu unterstützen.

Die Sponsoren haben die Wahl, pro Paket im Wert von 1.150 Euro eine Person aus dem eigenen Unternehmen sowie ein Mitglied aus der Open-Source-Community an dem Hackathon teilnehmen zu lassen. Wie schon bei den ersten beiden Veranstaltungen können auch mehrere Pakete erworben werden, um fähige Entwicklerteams aus der Open-Source-Community zum Hackathon einzuladen. Die Kosten für Anreise und Unterbringung sowie Verpflegung während des dreitägigen Aufenthalts werden durch die Sponsoren-Pakete gedeckt.

https://twitter.com/cloudfest/status/972773950437683200

Am Dienstag sind die Ergebnisse des dritten Cloudfest-Hackathon vor den Messe-Besuchern präsentiert worden. Wir haben uns die Projekte näher angesehen.

Wie schon berichtet, laufen mittlerweile circa 30 Prozent aller Websites auf Basis von WordPress. Schwachstellen in WordPress-Plugins stellen daher eine Bedrohung für einen großen Teil des Internets dar, was beispielsweise zu großflächigem Spam, DDoS oder Phishing führen kann. Das deutsche Startup-Unternehmen Ripstech hat bereits ein Tool entwickelt, das PHP-Skripte mittels Source-Code-Analyse auf Sicherheitsschwachstellen untersucht.

Während des Hackathon ist eine CMS-übergreifende Lösung auf PHP-Basis entwickelt worden, die es ermöglicht, mittels API eine Applikation source-code-basiert auf Schwachstellen zu untersuchen. Im Anschluss an den Sicherheits-Scan kann dann ein Security-Analyse-Report in PDF-Form per E-Mail an die verantwortliche Stelle gesendet werden. In Vorbereitung auf den Hackathon wurden die Top-250 WordPress-Plugins mittels des Tools gescannt. Das Hackthon-Entwicklerteam hat während des Coding-Sprints die Scan-Ergebnisse überprüft und einige Plugin-Autoren über bestehende Sicherheitslücken informiert. Die Mehrzahl der Plugins bewegen sich auf einem hohen Sicherheitsstand.

Das File-Transfer-Protokoll (FTP) ist nach wie vor sehr beliebt. Oft werden FTP-Passwörter in der Client-Software – teilweise in Klartext – abgespeichert. Dies stellt eine ernstzunehmende Bedrohung dar, da Viren und Trojaner diese Sicherheitslücke ungehindert nutzen können. Diese Umstände haben zu massiven Exploits geführt. Die Zielsetzung für das Projektteam ist, ein Modul für ProFTPD – den beliebten Open-Source-FTP-Server – zu entwickeln. Dieses Modul bietet einmalige Passwörter basierend auf dem Yubico-OTP-Protokoll, das ein Hardware-Token für die Verarbeitung der Passwörter benötigt.

Ein wichtiger Sicherheits-Faktor ist das regelmäßige Aktualisieren von Software. Zu einem Problem wird das, wenn Updates nicht oder zu selten genutzt werden. Somit kann veraltete Software zur Gefahr werden. Als eine mögliche Lösung kann das automatisierte Update die Bedrohung von bekannten Exploits minimieren. Aber auch dies birgt Sicherheitsrisiken. Wenn eine mögliche Lücke auf einem Update-Server ausgenutzt wird, infizieren kompromittierte Updates alle angeschlossenen Systeme. Anders verhält es sich, wenn die Updates vom Entwickler digital signiert ausgeliefert werden. Die kryptographische Signatur verhindert das unkontrollierte Verteilen von kompromittierten Updates. Auch im Falle, wenn der Update-Server angegriffen wird.

Während des Hackathon ist ein „Proof of Concept“ für populäre Webanwendungen entwickelt worden. Die entwickelte Lösung bietet neben einem Plugin für WordPress auch ein CLI-Tool zum Signieren von Auto-Updates. Eine Demoversion ist auf Github zu finden.

Das Open Source Webserver-Modul „mod_security“ ermöglicht die Filterung von Angriffen auf Webhosting-Umgebungen beliebiger Größe. Bisher fehlt es an verfügbaren Regelsätzen. Dies führt dazu, dass zu viele False-Positive-Meldungen ausgegeben werden. Daher ist das Modul nicht sehr beliebt. Ab sofort können solche Regelsätze kostenlos genutzt werden. Dazu wurde in Kooperation mit dem Eco-Verband die „Web-Security-Initiative“ ins Leben gerufen. Sie resultiert aus einem Projekt des letztjährigen Hackathon.

Siwecos steht für „Sichere Webseiten und Content Management Systeme“ und soll Sicherheitslücken auf Websites von kleinen und mittelgroßen Unternehmen aufdecken. Damit diese Prozedur erleichtert wird, sind im diesjährigen Projekt Plugins für Joomla, WordPress und Typo3 entwickelt worden. Somit können Seiteninhaber ihre Website mit wenigen Mausklicks zu Siwecos hinzufügen und erhalten die Ergebnisse des Scans direkt ins Backend zurück.

Nach dem Hackathon-Projekt 2017, durch das der Service „Domain Connect“ als Vorbild-Service entwickelt worden ist, liegt der Fokus in diesem Jahr darauf, die andere Seite des Protokolls aufzubauen. Domain Connect ist ein offener Standard unter MIT-Lizenz, der es einem Benutzer leicht machen soll, DNS für eine Domäne zu konfigurieren, ohne die Komplexität des DNS zu verstehen. Ähnlich dem Verfahren für Single-sign-on laufen alle notwendigen DNS-Einträge über den unabhängigen Service-Provider. Bisher unterstützen mehr als 20 Service-Provider und 14 DNS-Provider die Nutzung von Domain Connect, darunter auch Microsoft, Automattic, Godaddy und 1 und 1.

Das Projektteam hat sich in drei Sub-Teams aufgeteilt, um an unterschiedlichen Integrationen zu arbeiten. Das eine Team arbeitet an einem Muster-DNS-Provider mit dem Ziel, eine Open-Source-Referenz zur Implementierung von Domain Connect zur Verfügung zu stellen. Weiterhin geht es um eine Integration in das Hosting-Panel von Plesk. Das ist besonders hilfreich, um E-Mail-Services wie Office 365 oder G Suite mit Domains zu verknüpfen. Als dritte Herausforderung stellt sich das Entwicklerteam der Aufgabe, Domain Connect als Dynamic DNS zu nutzen.

Im Rahmen des sechsten Projekts ist ein MVP (Minimal Viable Product) für kleine Unternehmen entwickelt worden, die eine kostengünstige, sichere, zuverlässige und einfach zu implementierende Internet-der-Dinge-Lösung zur Überwachung von Produktionsanlagen nutzen wollen. Das MVP besteht aus verschiedenen Edge-Devices (Raspberry Pi Zero, Aaeon UP^2 Board) und einer lokalen Cloud-Lösung (beispielsweise Open IoT Service Platform[OISP]). Der Lösungsansatz ist ebenfalls als Open Source auf Github hinterlegt.

Viel gelernt von der #OpenSource Community beim #CFHACK18 auf dem #CloudFest #hackathon mit dem #Intelnetofthings und dem #UPsquare Cloud IoT mit #Kubernetes pic.twitter.com/C8mPvpXPGg

— Sabrina Waltz (@WaltzSabrina) March 11, 2018

In Gesprächen mit den Organisatoren, Sponsoren sowie Teilnehmern ist deutlich herauszuhören, dass die Auswahl der Projekte in diesem Jahr wesentlich größeres Interesse weckte. Der Großteil der Projekt-Teams arbeitete bis mitten in der Nacht gemeinsam an den Lösungen. Die Teams setzten sich interdisziplinär zusammen aus Soft- und Hardware-Entwicklern über Projektmanagern bis zu Themenkomplexen wie Dokumentation und Usability-Testing. Im kommenden Jahr soll das neue Konzept noch weiter ausgebaut werden. Die erzielten Ergebnisse sind jedenfalls vielversprechend.