Thomas Wölfers Baustatik-Blog

Thomas Wölfers Baustatik Blog

Windows 7: Es geht zu Ende


Ich denke ich habe in diesem Jahr schon einmal drauf hingewiesen, aber nachdem ich gestern die Fehlermeldungsdaten mal durchgesehen habe viel mir auf – ich muss das wohl nochmal machen, eventuell etwas deutlicher:

Microsoft stellt den Support für Windows 7 im Januar 2020 ein. Das sind nur noch 2 Monate. Danach gibt es keine Updates mehr – auch keine Sicherheitsupdates. Sie sollten JETZT Ihren alten Rechner umstellen und auf Windows 10 wechseln.

Ehrlich: Das ist wichtig. Mache Sie es so schnell wie möglich.


Windows 7: Das Ende ist jetzt wirklich bald da


Heute in 90 Tagen, am 14.01.2020 läuft der Support für Windows 7 vollständig aus. Der Nachfolger vom Nachfolger ist Windows 10, und Windows 10 gibt es nun auch schon seit 4 Jahren.

Es ist wirklich dringend an der Zeit, die noch laufenden Windows 7 Kisten zu beerdigen.


Wenn die Installation nicht klappt: "Setup fehlgeschlagen"


Wenn Sie diese Meldung beim Installieren der Baustatik sehen, dann hat die Installation nicht geklappt:

image

Und ja, ist mir klar das diese Meldung Mist ist. Wir haben da aber leider nicht besonders viel Einfluss drauf – im Wesentlichen kommt das aus dem Windows-Installer.

Was das jedenfalls bedeutet ist: Ihre Windows-Installation ist nicht in Ordnung, es fehlen Windows-Updates. Sie werden das Problem einfach dadurch los, das Sie einmal sicherstellen, das alle Windows-Updates installiert sind. Das sollten Sie schon aus Sicherheitsgründen tun, nicht nur, um unsere Software installieren zu können.

Und wenn Sie schon dabei sind, dann sollten Sie vielleicht einmal versuchen herauszufinden _warum_ bei Ihnen Windows-Updates fehlen – denn die werden eigentlich vollautomatisch installiert….


Digital signierte Emails mit Outlook


Man kann Emails digital signieren – das ist an sich nichts besonders neues, abgesehen davon, das nur sehr wenige Personen das auch tun. Die digitale Signatur hat den Zweck, dem Empfänger einer EMail die Möglichkeit zu geben, den Absender zu überprüfen: Der Text der als "Absender" im EMail-Programm angezeigt wird ist einfach nur irgend ein Text. Jeder kann einfach irgendwas angeben, und der Email-Client wird diesen beliebigen Text auch brav anzeigen.

Das geht nicht mit der digitalen Signatur: Die enthält mindestens eine EMail-Adresse (in meinem Fall bei Firmen-Mails: tw@die.de), und diese Signatur kann NICHT einfach so gefälscht werden. Wenn also eine Email mit der tw@die.de Signatur unterzeichnet ist, dann stammt diese Mail auch tatsächlich von mir.

Früher war das einrichten von digitalen Signaturen relativ aufwendig und schwierig – bei Outlook ist das aber seit Version 2013 nicht mehr der Fall. Folgendes ist zu tun:

  • Man braucht ein digitales Zertifikat. Das gibt ez.b. hier.
  • Das Zertifikat kann man in Windows installieren. (per Rechtsklick)
  • Danach kann man aus der Zertifikatstelle von Windows den zum signieren benötigten privaten Schlüssel als Datei speichern. (Das wird dann eine *.pfx-Datei.)
  • Die trägt man in Outlook (Der Desktop-Anwendung) unter "Datei –>Optionen –>Trust-Center –> Einstellungen für das Trust-Center –> Email-Sicherheit –> Importieren/Exportieren" ein. Außerdem schaltet man an der gleichen Stelle die Option "Ausgehenden Nachrichten digitale Signatur hinzufügen" ein.
  • Ab jetzt werden alle ausgehenden Nachrichten digital signiert. Das sieht dann beim Empfänger so aus:
    image
  • Die Eigenschaften der Signatur kann man sich auch anzeigen lassen:
  • image

Es gibt ein kleines Problem: Verwendet man Outlook mit mehreren Email-Adressen, hat aber nur für eine Untermenge davon digitale Signaturen, dann bemängelt Outlook beim verwenden von Mails über Accounts ohne Zertifikat, das eben keines da ist. Man muss dann vor dem versenden immer einzeln die Option zum digitalen signieren ausschalten.

Das ist innerhalb kürzester Zeit sehr sehr lästig. Und von Microsoft gibt es KEINEN Work-Around: Die vorgesehenen Einstellmöglichkeiten sind für die Installation von Outlook komplett, und nicht pro Account. Das ist auch seit einigen Jahren bekannt, und trotzdem passiert nichts – ich gehe davon aus, das das nicht als wichtig genug eingestuft wurde und das darum auch nichts passieren wird.

Es gibt aber eine funktionieren Lösung von Dritten. Hier finden Sie das SMimeAccountDefaults-Tool, das man per ClickOnce installieren kann. Sobald das installiert ist, muss man einmalig eine neue EMail anlegen. Im Menüband dieser EMail gib es dann den Befehl "Suspend Account Defaults S/MIME". Da drückt man auf den kleinen Pfeil rechts unten, und das zeigt dann ein Fenster an, in dem man für alle Accounts einzeln einstellen kann, ob ausgehende Mails signiert (und verschlüsselt) werden sollen.


Haben Sie ein vernünftiges Passwort?


Man kann es ja gar nicht oft genug sagen: Ein brauchbares Passwort kann gar nicht lang genug sein. Das ist natürlich lästig, hilft aber gegen Angriffe. Und weil diese "Angriffe" immer so wenig konkret im Raum stehen, hier mal ein kleines Beispiel, wie sowas aussieht.

Das hier läuft gerade auf unserem Mailserver: Seit irgendwann gestern Abend gibt es einen Angriff, bei dem die Zugangsdaten für Mail-Accounts auf unserem Server herausgefunden werden sollen. Der Angreifer macht dabei alles richtig:

  • Unser Server erkennt "zu viele" Fehlversuche beim anmelden in einer gewissen Zeit und würde einen betroffenen Account einfrieren. Darum erfolgt das ganze vorsichtig, mit im Schnitt etwa 80 Versuchen über alle Accounts verteilt pro Stunde.
  • Unser Mailserver erkennt "komische" Verbindungsmuster von komischen Stellen – und der Angreifer verwendet ein weltweit verteiltes Botnetz. Jeder Bot macht nur 1 bis 2 Versuche pro Stunde.
  • Unser Mailserver blockiert IP-Adressen mit zu vielen Fehlerversuchen => Ein weltweit verteiltes Botnetz hilft da.

Und das ganze läuft und läuft und läuft… Dabei werden einfach die "gängigen" und "kurzen" Passworte durchprobiert. Ich gehe davon aus, das der gleiche Vorgang noch bei vielen hundert wenn nicht tausenden von anderen Mailservern abläuft – und die "einfachen" Passworte werden dann dabei schon rauskommen.

Als normaler Mensch bekommt man solche Einbruchsversuche gar nicht mit: Ich weiss davon, weil ich mich um unseren Mailserver kümmere und die Sache so eingerichtet ist, das ich entsprechende Hinweise per Mail erhalte. Das sieht dann z.B. so aus:

image

Ich kann also die IP-Adresse und den zugehörigen Ort sehen. Ebenso, wann der Anmeldeversuch fehlgeschlagen ist, und welche Account betroffen war. Damit kann man sich schon eine ganze Menge zusammenreimen.

Also: Stellen Sie sicher, dass Sie ein vernünftiges Passwort verwenden. Je länger desto besser. Am besten so lang, das Sie es sich nicht mehr merken können. Zum merken verwenden Sie dann sowas wie 1Password. Und, wenn es irgend möglich ist und das angeboten wird: Verwenden Sie auch Mehrfaktor-Authentifizierung. Oft gibt es die als 2-Faktor Geschmacksrichtung, bei der Sie zusätzlich  zum wissen über das Passwort auch noch Ihr Handy griffbereit haben müssen. Ihren Microsoft-Account (den Sie bei Windows 10 recht sicher haben) können Sie mit zweistufiger Überprüfung sichern. Ebenso: Jeder Google-Account.

Genau wie Ihr Sicherheitsgurt im Auto ist das ist kein technisches Spielzeug. Verwenden Sie es. Ernsthaft!


Windows 7: Es wird Zeit umzusteigen


Noch etwa ein Viertel der Baustatik Anwender verwenden Windows 7: Das sollte sich aber besser demnächst ändern, denn heute in einem Jahr – also am 14.01.2020 – wird es von Microsoft keine weiteren Updates dafür mehr geben. Auch keine Sicherheitsupdates. Jetzt wäre also ein guter Zeitraum, Rechner die noch mit Windows 7 betrieben werden mit einer aktuellen Version von Windows auszustatten.


Baustatik: Alles verschlüsselt


Ich hatte gestern einen kleinen SSL-Grundlagenbeitrag veröffentlicht. Wenn Sie den noch nicht gelesen haben: Jetzt wäre ein guter Zeitpunkt. Ich warte. Smile

Fertig? Prima!

Es gibt eine Menge Anbieter im Internet, deren Engagement zum Thema Sicherheit im Wesentlichen daraus besteht, im Impressum einen Satz wie "Wir nehmen Ihre Sicherheit und die Ihrer Daten sehr ernst" zu hinterlassen und sonst nichts weiter zu tun.

Wir so oft sind wir da natürlich A N D E R S, denn wir investieren in nicht unerheblichem Umfang in die Sicherheit unserer Anwender und Webseitenbesucher. Beim betriebenen Aufwand geht es nicht um "einen Manntag", sondern um erheblich mehr – und das sowohl in Arbeitsleistung als auch in finanzieller Hinsicht.

Dieser Aufwand manifestiert sich in vielerlei Dingen die man meist gar nicht bemerkt: Und das ist auch so beabsichtigt. Von güldenen "Sicherheitszertifikaten" auf der Webseite halte ich nicht viel: Sowas ist reine Marktschreierei, hat aber keinen anwendbaren Nutzen.

Was also tun wir? Hier eine kurze Übersicht.

Unsere Webseiten verwenden SSL schon seit geraumer Zeit optional – wer wollte konnte die also schon Jahren gesichert besuchen. Seit einigen Wochen ist die Verwendung von SSL aber nicht mehr optional, es gibt schlicht keine ungeschützten Varianten der Webseiten mehr.

image


Bei dieser Umstellung habe wir auch noch ein paar andere Dinge getan: Die Webseiten verwenden keine Cookies mehr. Keine von uns und schon gar keine von Dritten. Ebenso enthalten die Webseiten keinerlei Javascripte von Dritten mehr. Also keine Tracking-Scripts oder Cookies von Google, keine "Like" Scripts von Facebook und auch sonst nichts, was nicht von unseren eigenen Servern kommt oder Daten an Server von Dritten übertragen kann.

Wir selbst führen natürlich keine Daten über Webseiten-Besucher und deren Verhalten mit. (Traurig genug, das man diese Selbstverständlichkeit extra erwähnen muss.)

Auch die Downloads der Programme, und zwar sowohl die kompletten Versionen als auch die automatischen Updates erfolgen per SSL über von uns kontrollierte Server. Wir verwenden keine "kostenlosen" Download-Portale, nur weil das billiger ist.

Alle unsere ausführbaren Dateien (also .exe und .dll-Dateien) werden digital signiert (Was bedeutet das ?). Mir ist bewusst das dies niemand tut – aber wenn man wollte, könnte man in der Tat auch manuell überprüfen, ob eine Datei tatsächlich in unveränderter Form vorliegt, wie sie von uns produziert wurde. Wenn man sich das ansieht, dann sieht so ein digitales Zertifikat so aus:

image


Das mit der Überprüfbarkeit setzt sich übrigens auch bei unserem Mailserver fort: Wir haben passende DNS-Einträge, mit denen Server die Mails mit einem Absender @die.de empfangen überprüfen können, ob der versendende Server auch wirklich Mail für die.de versenden darf.

Und schließlich gibt es da noch den Teil, bei dem unsere Programme – hauptsächlich die Baustatik und der TimeServer über das Internet mit unseren Server kommunizieren. Das passiert unter verschiedenen Umständen. Zum Beispiel dann, wenn Sie im TimeServer Zeit aus Ihrem Online-Konto auf den lokalen Server buchen oder wenn Sie statt dessen den Online-TimeServer verwenden. Ebenso passiert so etwas natürlich, wenn Sie uns direkt aus der Baustatik heraus eine Fehlermeldung, eine Datei oder sonstige Daten schicken, oder wenn im Hintergrund automatisch neue Lizenzdaten von unserem Server heruntergeladen werden.

All das ist ab dem nächsten Update ebenfalls per SSL gesichert – es gibt nach diesem Update dann keinerlei ungesicherte Kommunikation über das Internet mehr, zumindest nicht von unserer Software und allem was dazu gehört.


Das absolute Minimum, was Sie über SSL wissen sollten


Verwenden Sie keine Webseiten oder Internet-Dienste, die kein SSL verwenden.

Etwas mehr als das Minimum und dazu auch ein bisschen Hintergrundwissen:

SSL ist ein Verfahren das bei der Übertragung von Daten im Internet dafür verwendet wird, dass diese Daten während des Transports zum einen verschlüsselt sind und zum anderen nicht verändert werden können.

Das ist für mehr Dinge wichtig, als man auf den ersten Blick meinen möchte, denn auf den ersten Blick denkt sich der geneigte Leser folgendes: „Ich lese doch nur diese Werbe-Webseite, was spielt es schon für eine Rolle, wer das mitliest? Ist ja nichts Geheimes dabei.“

Und dieser erste Gedanke ist auch nicht ganz abwegig – es ist aber eben nur ein erster Gedanke. Die Verschlüsselung ist natürlich schon wichtig, allerdings in erster Linie in Situationen bei denen Zugangsdaten übertragen werden. Das ist vermutlich auch jedem sofort einsichtig: Wer sich bei seinem Web-Mail Account anmeldet, der sollte das nicht über eine unverschlüsselte Verbindung tun: Im anderen Fall wird der Email-Zugang schnell auch mal von Dritten verwendet.

Dieses Problem ist aber im Kern gelöst, denn praktisch überall wo man ein Passwort eingeben muss, wird auch Verschlüsselung verwendet.

Der eigentliche Sinn der Verschlüsselung ist aber ein anderer und zwar die Tatsache das die verschlüsselten Daten nicht verändert werden können, also ihre Integrität bewahren.

Um zu verstehen warum das wichtig ist muss man sich vor Augen führen, dass die Übertragung bei SSL in beiden Richtungen verschlüsselt ist. Daten werden also nicht nur verschlüsselt an einen Server geschickt, man bekommt den Inhalt einer angefragten Seite vom Webserver auch in verschlüsselter Form zurück. Nachdem durch die Verschlüsselung die Daten-Integrität bewahrt bleibt, kann auch kein Dritter irgendwelche zusätzlichen Daten in der Antwort des Servers verpacken.

Besteht die Verschlüsselung nicht, dann kann ein Dritter die angelieferten Daten sehr wohl ändern – und das kann vielfältige Konsequenzen haben. Dazu mal ein wie ich hoffe leicht verständliches Beispiel.

Sie sitzen also in einem Lokal und Ihr Laptop ist über das WiFi des Lokals mit dem Internet verbunden. Wie alle Gastwirte ist auch der Betreiber dieses Lokals sehr technophil veranlagt und kann den bei ihm eingesetzten Router problemlos selbstständig warten. Im Schlaf, sozusagen. Nur hat er leider die letzten 10 Sicherheitsupdates verschlafen und sozusagen, nicht installiert. Es war einfach mal wieder viel zu tun, im Lokal. Und darum hat er jetzt also einen Router, der leider von eher bösartigen Menschen übernommen wurde. Es laufen also Programme mit bösen Absichten drauf. (Das kommt deutlich häufiger vor als man meinen möchte [https://www.bing.com/search?q=router+malware] – und zwar nicht nur in Routern in Lokalen. Wissen Sie ob Ihr eigener Router zu Hause ohne Befall ist?)

Weil diese Programme auf dem Router zwischen Ihnen und dem Internet laufen – und weil Ihre Verbindung nicht verschlüsselt ist, können diese Programm mit Ihrem Datenstrom anstellen was immer sie wollen.

Eines der Dinge die solche Programme dann beispielsweise gerne tun (ist nicht an den Haaren herbeigezogen, sondern kommt in der Praxis tatsächlich vor) ist folgendes: Während sich die Webseiten-Daten auf dem Web von Server zu Ihnen befinden, bauen diese Programme zusätzliche Dinge in die Webseite rein. Das wären zum Beispiel Werbeeinblendungen, die vorher gar nicht da waren. Das kann das bösartige Programm natürlich nur tun, wenn Sie sich eine Webseite ansehen.

Aber angenommen, Sie sehen sich gar keine Webseite an, sondern laden ein Programm herunter, das Ihnen gerade empfohlen wurde. Dessen Bytes gehen aber auch durch den Router – und natürlich können diese auch verändert werden: Das Programm tut nach der Installation also plötzlich zusätzlich zu dem was es eigentlich tun soll auch noch andere Dinge. Zum Beispiel einen Teil Ihrer Festplatte vor Ihnen verstecken, und diesen Teil dann an den Meistbietenden zum Speichern „interessanter“ Bilder verkaufen.

Will man eigentlich nicht, oder?

Also: Keine Webseiten ohne SSL verwenden.

Und so erkennen Sie, ob eine Webseite SSL verwendet.

Die verschiedenen Browser haben leider alle eine etwas andere Darstellungsform zur Anzeige von SSL verschlüsselten Verbindungen. Steht aber ein der Adresszeile ein „https“ und kein „http“, dann ist die Verbindung verschlüsselt. Außerdem gibt es auch noch ein zusätzliches Icon: So sieht es beispielsweise im Edge (oben) und im Chrome (unten) aus.

image


“Lustige” Dinge mit denen man sich rumschlagen muss


Das hier sieht vermutlich für den ein oder anderen bekannt aus:

image

Wenn man da aber ein paar Stellen etwas genauer anschaut, dann wohl eher nicht mehr…

image

image

image

Bin gerade dabei etwas dagegen zu unternehmen, aber im Web sind die Sachen ja immer gleich so kompliziert. Natürlich hosten diese Menschen, das nicht selbst, sondern verstecken sich hinter Cloudflare – und Cloudflare sagt einem natürlich nicht so ohne weiteres, wer sich hinter dem von ihnen transportierten Angebot befindet. (Es gibt da auch ein “Abuse” Formular. Habe ich schon 2x ausgefüllt. Bin gespannt, ob das 2. mal mehr bringt als das erste.)

Die TLD “ga” wird – natürlich – von einem Gabonesischen nationalen Institut verwaltet. Der Registrar dafür sitzt in Holland – und ist zur Zeit meine Hoffnung, in der Sache weiterzukommen. So wie deren Webseite funktioniert habe ich aber noch nicht besonders viel Hoffnung….


Änderung unserer Download-URL


Wenn Sie ein Update, ein Demo oder eine Hochschulversion von uns herunterladen – oder wenn der Baustatik-Update-Dienst das für Sie automatisch tut – dann wurden die Daten bisher von einem Server namens “downloads.die.de” heruntergeladen. Das ist ab sofort anders. Der neue Name lautet “diesoftware.blob.core.windows.net”.

Warum ist das so, und wieso der komische Name?

Die Sache ist etwas kompliziert, und darum muss ich für die Erklärung auch ein bisschen ausschweifen. Als Internet Infrastruktur verwenden wir Microsoft Azure. Dort betreiben wir zum Beispiel den Webserver der unsere normale Webseite ausliefert und auch den zweiten für die Blogs: Von dem haben Sie den Text erhalten, den Sie gerade lesen.

Eine weitere Komponente die wir von Azure nutzen ist der “Blob” Storage – dort liegen alle sonstigen Dateien, die Sie von uns herunterladen können. Also zum Beispiel die aktuelle Version des Baustatik Installationsprogramms, die Updates für die Baustatik, das Archiv aller alten Baustatik Versionen und diverse weitere Programme, die Sie von uns herunterladen können.

Der echte Name dieses Blob-Servers lautet “diesoftware.blob.core.windows.net”. Über einen DNS-Eintrag machen wir diesen Server unter dem Name “downloads.die.de” verfügbar – einfach darum, damit wir unseren Domänen-Namen “die.de” im Server-Namen verwenden können.

Nun ist es so, das uns die Sicherheit unserer Kunden am Herzen liegt, und darum verwenden wir bei jeglicher Kommunikation im Web SSL. (Was das genau bedeutet hatte ich hier schon mal beschrieben.). Seitens Azure ist das auch kein Problem bei “normalen” Webservern wie www.die.de – darum sehen Sie in der Adressleiste auch immer ein https vor dem www.die.de, oder aber ein vom Browser eingeblendetes Schloss. Bei den Blob-Storage Servern geht das aber leider nicht – zumindest nicht im Zusammenhang mit sogenannten “Custom domains”. Das bedeutet: Man kann zwar SSL verwenden, aber nur dann, wenn man den “echten” Server-Namen verwendet, aber eben nicht, wenn man den “eigenen” Namen will. Microsoft sagt schon seit geraumer Zeit, das das mal möglich sein soll – aber auch nach mehreren Jahren gibt es da noch immer keinen konkrete Zeitplan.

Wir wollten nun aber nicht länger auf SSL verzichten – und darum ist es notwendig, das wir ab sofort den “echten” Servernamen verwenden.

Mit anderen Worten: Wir haben uns entschieden in Zukunft auf den “schönen” Namen zu verzichten und lieber den “sicheren” zu verwenden.