News

Cloudfest: Diese smarten Open-Source-Ideen sorgen für mehr Sicherheit im Web

Seite 2 / 2

Projekt 2: Einmal-Passwort für ProFTPD

Das File-Transfer-Protokoll (FTP) ist nach wie vor sehr beliebt. Oft werden FTP-Passwörter in der Client-Software – teilweise in Klartext – abgespeichert. Dies stellt eine ernstzunehmende Bedrohung dar, da Viren und Trojaner diese Sicherheitslücke ungehindert nutzen können. Diese Umstände haben zu massiven Exploits geführt. Die Zielsetzung für das Projektteam ist, ein Modul für ProFTPD – den beliebten Open-Source-FTP-Server – zu entwickeln. Dieses Modul bietet einmalige Passwörter basierend auf dem Yubico-OTP-Protokoll, das ein Hardware-Token für die Verarbeitung der Passwörter benötigt.

Schaubild

Schaubild Auth-Prozess. (Bild: Cloudfest)

Projekt 3: Sichere Auto-Updates für PHP-Applikationen

Ein wichtiger Sicherheits-Faktor ist das regelmäßige Aktualisieren von Software. Zu einem Problem wird das, wenn Updates nicht oder zu selten genutzt werden. Somit kann veraltete Software zur Gefahr werden. Als eine mögliche Lösung kann das automatisierte Update die Bedrohung von bekannten Exploits minimieren. Aber auch dies birgt Sicherheitsrisiken. Wenn eine mögliche Lücke auf einem Update-Server ausgenutzt wird, infizieren kompromittierte Updates alle angeschlossenen Systeme. Anders verhält es sich, wenn die Updates vom Entwickler digital signiert ausgeliefert werden. Die kryptographische Signatur verhindert das unkontrollierte Verteilen von kompromittierten Updates. Auch im Falle, wenn der Update-Server angegriffen wird.

Während des Hackathon ist ein „Proof of Concept“ für populäre Webanwendungen entwickelt worden. Die entwickelte Lösung bietet neben einem Plugin für WordPress auch ein CLI-Tool zum Signieren von Auto-Updates. Eine Demoversion ist auf Github zu finden.

Projekt 4: Exploit-Filterung mit ‚mod_security‘ für Shared-Hosting-Umgebungen

Das Open Source Webserver-Modul „mod_security“ ermöglicht die Filterung von Angriffen auf Webhosting-Umgebungen beliebiger Größe. Bisher fehlt es an verfügbaren Regelsätzen. Dies führt dazu, dass zu viele False-Positive-Meldungen ausgegeben werden. Daher ist das Modul nicht sehr beliebt. Ab sofort können solche Regelsätze kostenlos genutzt werden. Dazu wurde in Kooperation mit dem Eco-Verband die „Web-Security-Initiative“ ins Leben gerufen. Sie resultiert aus einem Projekt des letztjährigen Hackathon.

Siwecos steht für „Sichere Webseiten und Content Management Systeme“ und soll Sicherheitslücken auf Websites von kleinen und mittelgroßen Unternehmen aufdecken. Damit diese Prozedur erleichtert wird, sind im diesjährigen Projekt Plugins für Joomla, WordPress und Typo3 entwickelt worden. Somit können Seiteninhaber ihre Website mit wenigen Mausklicks zu Siwecos hinzufügen und erhalten die Ergebnisse des Scans direkt ins Backend zurück.

Projekt 5: Domain Connect Muster-DNS-Provider

Nach dem Hackathon-Projekt 2017, durch das der Service „Domain Connect“ als Vorbild-Service entwickelt worden ist, liegt der Fokus in diesem Jahr darauf, die andere Seite des Protokolls aufzubauen. Domain Connect ist ein offener Standard unter MIT-Lizenz, der es einem Benutzer leicht machen soll, DNS für eine Domäne zu konfigurieren, ohne die Komplexität des DNS zu verstehen. Ähnlich dem Verfahren für Single-sign-on laufen alle notwendigen DNS-Einträge über den unabhängigen Service-Provider. Bisher unterstützen mehr als 20 Service-Provider und 14 DNS-Provider die Nutzung von Domain Connect, darunter auch Microsoft, Automattic, Godaddy und 1 und 1.

Das Projektteam hat sich in drei Sub-Teams aufgeteilt, um an unterschiedlichen Integrationen zu arbeiten. Das eine Team arbeitet an einem Muster-DNS-Provider mit dem Ziel, eine Open-Source-Referenz zur Implementierung von Domain Connect zur Verfügung zu stellen. Weiterhin geht es um eine Integration in das Hosting-Panel von Plesk. Das ist besonders hilfreich, um E-Mail-Services wie Office 365 oder G Suite mit Domains zu verknüpfen. Als dritte Herausforderung stellt sich das Entwicklerteam der Aufgabe, Domain Connect als Dynamic DNS zu nutzen.

Projekt 6: Sichere Industrie-IoT-Lösungen – basierend auf bewährten Modulen und Open Source Cloud-Komponenten

Im Rahmen des sechsten Projekts ist ein MVP (Minimal Viable Product) für kleine Unternehmen entwickelt worden, die eine kostengünstige, sichere, zuverlässige und einfach zu implementierende Internet-der-Dinge-Lösung zur Überwachung von Produktionsanlagen nutzen wollen. Das MVP besteht aus verschiedenen Edge-Devices (Raspberry Pi Zero, Aaeon UP^2 Board) und einer lokalen Cloud-Lösung (beispielsweise Open IoT Service Platform[OISP]). Der Lösungsansatz ist ebenfalls als Open Source auf Github hinterlegt.

In Gesprächen mit den Organisatoren, Sponsoren sowie Teilnehmern ist deutlich herauszuhören, dass die Auswahl der Projekte in diesem Jahr wesentlich größeres Interesse weckte. Der Großteil der Projekt-Teams arbeitete bis mitten in der Nacht gemeinsam an den Lösungen. Die Teams setzten sich interdisziplinär zusammen aus Soft- und Hardware-Entwicklern über Projektmanagern bis zu Themenkomplexen wie Dokumentation und Usability-Testing. Im kommenden Jahr soll das neue Konzept noch weiter ausgebaut werden. Die erzielten Ergebnisse sind jedenfalls vielversprechend.

Mehr zum Thema Open Source:

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung