NEWS
Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?
-
@derrapf sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:
Ssh Verbindungen lieber mit public key als mit Passwort
https://www.heise.de/tipps-tricks/SSH-Key-erstellen-so-geht-s-4400280.html
@thomas-braun Super! Danke!
Gruss Ralf -
@oliverio sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:
Daher bitte nicht nur auf Sicherheit des LANs vertrauen, auch im eigenen Netz die Sicherheit jedes einzelnen Gerätes betrachten, keine zu weitreichenden Berechtigungen keine passwortlosen Rechner. Es lässt sich meist immer so einrichten, das man nur einmal ein Passwort eingeben muss und danach nicht immer wieder erneut.
Ssh Verbindungen lieber mit public key als mit PasswortDanke für die Klarstellung
Das zitierte Thema oben interessiert mich. Ich würde gerne meine Systeme dagegen abklopfen. Gibt es irgendwo eine gute Seite wo das in Detail erklärt ist wie man da vorgeht bzw. solche Dinge einstellt? Ich wüsste z.B. grad nicht aus dem Stand wie das mit dem PublicKey gehtGruss Ralf
-
Hier noch eine weitere Quelle
https://wiki.ubuntuusers.de/SSH/#Public-Key-Authentifizierung
@oliverio
Noochmal Danke. Gibt es noch andere Konzepte neben der Authentifizierung um das eigene Netz sicherer zu machen?
Beispiel: Ich mache täglich Backups auf ein Backup-NAS. Wenn aber ein Virus mein NAS findet und es verschlüsselt findet er auch das Backup NAS. Dann hab ich nicht s von meinen Backups.
Aber das ist jetzt für den Thread offtopic. Nicht dass da eine Diskussioon draus wird...
Gruss Ralf -
@oliverio
Noochmal Danke. Gibt es noch andere Konzepte neben der Authentifizierung um das eigene Netz sicherer zu machen?
Beispiel: Ich mache täglich Backups auf ein Backup-NAS. Wenn aber ein Virus mein NAS findet und es verschlüsselt findet er auch das Backup NAS. Dann hab ich nicht s von meinen Backups.
Aber das ist jetzt für den Thread offtopic. Nicht dass da eine Diskussioon draus wird...
Gruss RalfDas ist ein extrem weites Feld.
In der IT Industrie wird da auch ein erheblicher Aufwand gemacht.
Ich habe bereits mal umfangreich mit Leuten zusammen gearbeitet, die sich darum kümmerten und alle diese it Security zertifizierungen 27001 hatten.
Aber alles was da gemacht wird geht meines Erachtens über das hinaus was tatsächlich zu Hause nur gemacht werden sollte. Teilweise würde ich auch sagen, das das mit Consumer Hardware (bspw Router) gar nicht möglich ist, da du an die Einstellungen gar nicht ran kommst.
Was sicherlich auch gut ist wei für viele der Techniken du auch dich wirklich intensiv mit beschäftigen musst um keine Fehler zu machen.Hier mal ein paar tips vom BSI
https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/cyber-sicherheitsempfehlungen_node.htmlInsbesondere das segmentieren des Netzwerkes, also das einsperren der IoT Geräte in ein eigenes Netzwerk finde ich sehr sinnvoll. Einige von diesen Geräten haben eine billige zusammengeschusterte Firmware, die nicht wirklich sicher ist (es gab da ja schon ein paar Vorfälle mit botnetze oder Videokameras die jeder von außen nutzen konnte)
Leider ist das nicht ganz so simpel und man muss sich mit Firewall und Netzwerktechnologie beschäftigen. Man muss neben dem segmentieren dann aber auch Routen einrichten, so das die Geräte alle wieder bspw mit dem iobroker kommunizieren dürfen bzw. am besten im einem Slave iobroker. -
@oliverio
Noochmal Danke. Gibt es noch andere Konzepte neben der Authentifizierung um das eigene Netz sicherer zu machen?
Beispiel: Ich mache täglich Backups auf ein Backup-NAS. Wenn aber ein Virus mein NAS findet und es verschlüsselt findet er auch das Backup NAS. Dann hab ich nicht s von meinen Backups.
Aber das ist jetzt für den Thread offtopic. Nicht dass da eine Diskussioon draus wird...
Gruss Ralf@derrapf sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:
Gibt es noch andere Konzepte
Ein einfach umzusetzendes, aber sehr grundlegendes Konzept ist:
Geräte, Software usw. auf einem aktuellen Stand halten. Regelmäßig Updates einspielen, keine abgekündigte Software weiterschleifen. -
@derrapf sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:
Gibt es noch andere Konzepte
Ein einfach umzusetzendes, aber sehr grundlegendes Konzept ist:
Geräte, Software usw. auf einem aktuellen Stand halten. Regelmäßig Updates einspielen, keine abgekündigte Software weiterschleifen.Hallo alle
Danke für die Tipps. Da habe ich Lesestoff
27001 ist für mich tatsächlich auch ein wenig ein rotes Tuch da unsere Firma auch 27001 zertifiziert ist und das macht das Arbeiten nicht leichter. Im Gegenteil: Ich bin oft am Fluchen weil ich nicht mehr an bestimmte Dateien oder Rechner komme und immer wieder einen riesen Aufwand habe wieder Zugriff zu bekommen. Aber das ist ein anderes Thema. Ich will diesen Thread nicht damit belasten.
Gruss Ralf -
Hallo alle
Danke für die Tipps. Da habe ich Lesestoff
27001 ist für mich tatsächlich auch ein wenig ein rotes Tuch da unsere Firma auch 27001 zertifiziert ist und das macht das Arbeiten nicht leichter. Im Gegenteil: Ich bin oft am Fluchen weil ich nicht mehr an bestimmte Dateien oder Rechner komme und immer wieder einen riesen Aufwand habe wieder Zugriff zu bekommen. Aber das ist ein anderes Thema. Ich will diesen Thread nicht damit belasten.
Gruss Ralf -
Das ist ein extrem weites Feld.
In der IT Industrie wird da auch ein erheblicher Aufwand gemacht.
Ich habe bereits mal umfangreich mit Leuten zusammen gearbeitet, die sich darum kümmerten und alle diese it Security zertifizierungen 27001 hatten.
Aber alles was da gemacht wird geht meines Erachtens über das hinaus was tatsächlich zu Hause nur gemacht werden sollte. Teilweise würde ich auch sagen, das das mit Consumer Hardware (bspw Router) gar nicht möglich ist, da du an die Einstellungen gar nicht ran kommst.
Was sicherlich auch gut ist wei für viele der Techniken du auch dich wirklich intensiv mit beschäftigen musst um keine Fehler zu machen.Hier mal ein paar tips vom BSI
https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/cyber-sicherheitsempfehlungen_node.htmlInsbesondere das segmentieren des Netzwerkes, also das einsperren der IoT Geräte in ein eigenes Netzwerk finde ich sehr sinnvoll. Einige von diesen Geräten haben eine billige zusammengeschusterte Firmware, die nicht wirklich sicher ist (es gab da ja schon ein paar Vorfälle mit botnetze oder Videokameras die jeder von außen nutzen konnte)
Leider ist das nicht ganz so simpel und man muss sich mit Firewall und Netzwerktechnologie beschäftigen. Man muss neben dem segmentieren dann aber auch Routen einrichten, so das die Geräte alle wieder bspw mit dem iobroker kommunizieren dürfen bzw. am besten im einem Slave iobroker.@oliverio sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:
Leider ist das nicht ganz so simpel und man muss sich mit Firewall und Netzwerktechnologie beschäftigen. Man muss neben dem segmentieren dann aber auch Routen einrichten, so das die Geräte alle wieder bspw mit dem iobroker kommunizieren dürfen bzw. am besten im einem Slave iobroker.
Das interessiert mich besonders. Nur keine Ahnung wie das zu bewerkstelligen ist. Ich versuch mich aber einzulesen.
-
-
Hmm - an sich sollten lt. NPM Ankündigung die classic token bereits wiederrufen sein.
Im Heise Artikel steht aber was von Anfang Dezember ...Entwicklung u Betreuung: envertech-pv, hoymiles-ms, ns-client, pid, snmp Adapter;
Support Repositoryverwaltung.Wer Danke sagen will, kann nen Kaffee spendieren: https://paypal.me/mcm1957atiobroker
-
Hmm - an sich sollten lt. NPM Ankündigung die classic token bereits wiederrufen sein.
Im Heise Artikel steht aber was von Anfang Dezember ...Paket- und Versionsliste wurde aktualisiert.
Skript kann zur Prüfung direkt von der Komanndozeile ausgeführt werdenvgl Readme
-
Paket- und Versionsliste wurde aktualisiert.
Skript kann zur Prüfung direkt von der Komanndozeile ausgeführt werdenvgl Readme
Thx.
✅ No compromised packages found in lockfiles.
Vielleicht würde ich aber vorsichtiger formulieren:
✅ No known compromised packages found in lockfiles.
Edit: Und vielleicht noch einen Zeitstempel vom Informationsstand.
-
Thx.
✅ No compromised packages found in lockfiles.
Vielleicht würde ich aber vorsichtiger formulieren:
✅ No known compromised packages found in lockfiles.
Edit: Und vielleicht noch einen Zeitstempel vom Informationsstand.
ich schaue mal,
hoffentlich wird man das ab demnächst nicht mehr benötigen
763
Online32.5k
Benutzer81.6k
Themen1.3m
Beiträge