Tag-Archive for » Unternehmen «

Chat-Widget mit Nebentätigkeit

Viele Unternehmen setzen zum Online-Kundensupport Chat-Widgets ein, über die sie den Kontakt mit ihren Kunden auf der Webseite pflegen können. Das bekannte Tool Live Help Now ist nun bei einer ungenehmigten Nebentätigkeit erwischt worden:

In das Programm war das Krypto-Mining-Script Coinhive integriert, das im Betrieb die Leistung der beteiligten Rechner missbrauchte um darauf Kryptogeld zu schürfen. Dieses Chat-Tool wird von etwa 1.500 Websites benutzt. Sollten Sie als Webworker das Widget ebenfalls benutzt haben, wäre eine Prüfung der entsprechenden Internetpräsenzen dringend anzuraten.

Es ist noch nicht ganz klar, ob die Entwickler des Dienstes das Skript vielleicht vorsätzlich eingebaut haben oder ob sie selbst Opfer eines Angriffes von Dritten geworden sind. Sie waren wegen Thanksgiving (Feiertag) und Black Friday in den USA nicht auf Anhieb zu erreichen.

Nach vorliegenden Screenshots steigt die CPU-Auslastung nach Einbau des Skriptes mit  dem Mining-Code stark an. Die ca. 1.500 Webseiten, die das Widget aktuell nutzen, trugen damit unwissentlich zu einer deutlich höheren Leistungsaufnahme der PCs ihrer Kunden bei.

Bei einem aktuellen Test vor 2 Tagen konnte Golem den Coinhive-Code in dem Widget nicht mehr feststellen.

Sicherheitslücken im PHP File Manager

Das Programm PHP File Manager kann man für nur 5 Dollar kaufen. Man installiert es dann auf seinem Internetserver und kann danach beliebige Dateien zwischen seinem PC und dem Server einfach mit dem Browser austauschen.

Dummerweise können das alle anderen auch – vom Programmierer bis zum Hacker!

Weil es so bequem ist, nutzen offensichtlich auch viele große Unternehmen das Tool zum Dateitransfer. Dazu gehören beispielsweise Eneco, Nintendo, Danone, Nestle, Loreal, EON, Siemens, Vattenfall, Oracle, Oxford, Hilton, T-Mobile, CBS, UPC und 3M (und vermutlich noch viele andere), von deren Internetservern seitdem jedermann vertrauliche Dateien ohne Probleme herunterladen kann.

Denn in dem PHP-Skript PHP File Manager schlummern seit mindestens fünf Jahren mehrere kritische Sicherheitslücken, die der Hersteller kennt, aber einfach nicht schließt.

Darauf macht Security-Berater Sijmen Ruwhof in seinem Blog jetzt aufmerksam. So soll es zum Beispiel durch zwei Lücken möglich sein, über das Skript ohne Authentifizierung Code auf den Server zu laden und auch auszuführen.

RevivedwirePHPFileManagerLoginDas Schärfste daran ist aber ein speziell versteckter Superuser mit dem Namen  ****__DO_NOT_REMOVE_THIS_ENTRY__****,  der in allen Installationen des File Managers dasselbe Passwort nutzt. Um es Hackern einfach zu machen, ist dies Passwort auch gleich als MD5-Hash im Script.

Hersteller Revivedwire hat den PHP File Manager inzwischen auf verschämte Art und Weise auf seinem Vertriebsserver gesperrt. Man liest dort ein unverfängliches „Wir konnten die aufgerufene Seite leider nicht finden, bitte überprüfen Sie die URL (ACTUALLY, WE COULDN’T FIND THE PAGE YOU REQUESTED. PLEASE CHECK THE URL.)“.

Ein Hinweis auf die Sicherheitslücken wäre nicht nur ehrlicher, sondern auch hilfreicher für die Kunden, die schließlich Geld für dies Programm bezahlt haben – auch wenn es nur 5 Dollar gekostet hat!

HTML 5: Mozilla und Telefonica investieren in everything.me

Das israelische Startup everything.me gibt seinen Anwendern vom Smartphone aus Zugriff auf Cloud-Apps, die wie native Apps auf dem Schlaufon angezeigt werden. Das Unternehmen suchte eine Anlauffinanzierung und bekam jetzt 25 Millionen Dollar von bekannten, großen Firmen, darunter die O2-Mutter Telefonica und Mozilla.

Es geht eigentlich darum, die Möglichkeiten des Internet auch vollständig auf den Mobilgeräten zu nutzen, und der Schlüssel dazu ist HTML 5. Und hier hat das israelische Startup einen Schatz an Knowhow, was auch die HTML 5-basierte Mobilplattform von everything.me.

Das zeigt, wie wichtig im Zeitalter von Smartphones und Tablets die Zielgruppe der mobilen Surfer geworden ist. Nicht nur ein Großkonzern, sondern jeder, der gerade eine neue Internetseite für sein Unternehmen plant, tut gut daran, auf die neue HTML5- und CSS3-Technologie umzuschalten.

Meldepflicht bei Cyberangriffen auf Unternehmen

Die EU setzt sich nach einem Heise-Bericht im Rahmen einer europäischen Strategie für Cybersicherheit gerade mit einer geplanten Meldepflicht für Cyberangriffe auseinander.

Auch aus dem deutschen Innenministerium hörte man Anfang dieses Monats von solchen Bestrebungen, die darin gipfeln, dass ein IT-Sicherheitsgesetz eine Meldepflicht für Unternehmen festschreiben soll.

Das stößt bei den Internetseiten betreibenden Firmen verständlicherweise nicht gerade auf Begeisterung, denn wer einen (erfolgreichen) Angriff auf seine Infrastruktur bekanntgeben muss, hat natürlich einen großen Imageschaden. Deshalb werden Cyberangriffe, wenn sie nicht gerade zur Kompromittierung von Nutzerdaten geführt haben, in aller Regel unter der Decke gehalten.

Firefox 10 ESR – Der Browser für Unternehmen

Firefox 10 ESR ist die Firefox-Version mit Langzeitunterstützung, die nicht alle 6 Wochen ein Update erhält wie der normale Firefox 10-Browser. Das Extended Support Release (ESR ) ist gut auf der Website von Mozilla versteckt, denn es ist nur für Unternehmen gedacht, die mit den schnellen Release-Zyklen der Standardversion Probleme haben.

Bis alle Firmenprogramme und wichtigen Internetseiten mit dem Standard-Browser getestet sind, ist dieser wegen der kurzen Lebenszeit häufig schon wieder obsolet. Man kommt also aus dem Testen nicht mehr heraus.

 

Die Grafik von Mozilla zeigt die Lebenszyklen der Standard- und ESR-Version.

 

Es wird auch extra darauf hingewiesen, dass Privatnutzer die normale Version des Browser nutzen sollen, damit sie immer über die aktuellsten Funktionen verfügen können. Deshalb bittet Mozilla Nutzer der ESR-Version auch, sich in die Mailingliste der Enterprise Working Group einzutragen, damit sie über alles Neue von ESR informiert werden können.

Auch wer Webseiten erstellt, ist besser beraten, die Standard-Version zu nutzen, damit er möglichst schnell die Besonderheiten des Browsers bei Darstellung und Funktionalität in den Griff bekommt.