 Hallo, ich erzähle was über Sivikos. Ich, ich bin der David, ich komme aus Köln und ja, wir sind knapp 15 Jahren bei Jumla mit dabei, das hieß damals noch MAMBO, wenn das noch der eine oder andere kennt, damals früher als das Internet aus Holz war. Und ich habe das gebraucht, weil mein jünger Bruder Fußball gespielt hat, Amateur Fußball und der Trainer hat seinerzeit nach einer Möglichkeit gefragt, wie die die die die Mannschafts-Webseite, die ich betreut habe, dass er da auch selber die Ergebnisse einspielen kann. Und dann habe ich mal gegoogelt, Webseite selber pflegen, da kam halt dieses MAMBO. Ich weiß nicht, ob WordPress vor 15 Jahren schon WordPress hieß oder ob das noch B2 war oder wie das damals hieß. Keine Ahnung, da bin ich genug bewandert drin. Ich weiß, es gibt, es gab Typ 3 seinerzeit schon, Contao gab es noch nicht, Drupal steckt noch in den Kinderschuhen, also es ist echt lange her. MAMBO und Zoops, das war damals der heiße Scheiß, wenn das noch jemand was sagt. Ich habe im JUMLA-Projekt die eine oder andere Rolle über die Jahre mal gehabt. Aktuell meine hier relevanteste Rolle ist, dass ich das JUMLA Security Team leite. Es gibt bei uns das geflügelte Wort, wenn ich laufe, schalte besser deine Webseite ab. If you see me running, switch off your Webseite. Es ist eine sehr dankbare Rolle, weil man mich immer dann wahrnimmt, wenn die Scheiße den Ventilator getroffen hat, wie das im Englischen so schön heißt. Das JUMLA Security Team, zumindest in der aktuellen Zusammensetzung, fast komplett sieht man hier auf dem Bild. Man sieht sofort, dass wir ein sehr diverses Team sind. Es ist überhaupt nicht so, dass wir hauptsächlich aus privilegierten weißen Männern bestehen, die aus der westlichen Welt kommen. Nein, nein, nein, nein, nein, sehr divers. Wir arbeiten dran, mal gucken, vielleicht wird das was. Ich habe neben meiner Rolle bei JUMLA auch mal das eine oder andere zu anderen Systemen beigetragen. Ich bin zum Beispiel Drupal Core Contributor, weil ich damals Security Pack gemeldet habe. Ich glaube, es gibt auch irgendwo ein WordPress Issue, den ich mal gemeldet hatte. Ja, war nicht so geplant, aber hat sich so ergeben. Aber grundsätzlich komme ich in Frieden. Ich bin nicht hier, um darüber zu reden, dass JUMLA ein deutlich besseres System ist als WordPress, sondern wir wollen über was anderes reden, nämlich die WCOS. Da bin ich sowohl als Entwickler mit dran beteiligt, als auch ja, als Evangelist, wie das Neudeutsch heißen würde, Tone also über Events und Erzähle davon. CWCOS ist eine sehr griffige Abkürzung für einen sehr griffigen Namen. CWCOS steht nämlich für sichere Webseiten und Content Management Systeme. Wir hatten in der Planungsphase den, wie ich persönlich finde, viel besseren Arbeitszitel hackfrei, weil es die Nachfolge, das Nachfolgeprojekt, der ECO verbannte damit drin, dass auf die Initiative botfrei, hackfrei, das wäre halt ein Familie gewesen. Und außerdem hätte man aus hackfrei eine richtig coole Kampagne machen können, mit hackfrei, auch für Veganer geeignet. Also, ich hätte es besser gefunden, jetzt ist es leider CWCOS geworden, macht man nichts dran. Ihr werdet lernen, was es tut, aber viel wichtiger ist eigentlich zu erzählen, wie es dazu kam. Das finde ich immer ums Auskontext, nämlich deutlich relevanter. Dafür machen wir eine kleine Zeitreise zurück ins Jahr 2012, wo dieses absolut unerkennbare Foto entsteht. Ich kann mal nicht davon machen, besser. Das sieht man immer noch nichts drauf, aber man bekommt die Idee. Das Foto ist entstanden auf dem Stand der Firma Mitwald. Sehr tolle Jungs sind hier um die Ecke, geht mal hin. Die hatten seinerzeit einen Stand auf der C-Bit. Und in weiser Voraussicht haben sie antizipiert, dass sich für irgendein Stand von irgendeinem Hoster mit hoher Wahrscheinlichkeit niemand interessieren würde, ohne ihn zu nahe treten zu wollen. Also hatten sie einen gedanklichen Geniestreich, sie haben nämlich gesagt, wisst ihr was? Wir laden Menschen ein, für die sich Menschen interessieren. Zum Beispiel Vertreter der großen Open Source CMS. Die stellen wir bei uns auf dem Stand mit ihrem Logo, den kriegen die kostenlos. Und wir machen nur eine Bedingung hinten dran. Jedes Mal, wenn jemand nach Hosting fragt, müssen die Leute sagen, geht mal zur Mitwald und auf das große Logo zeigt. So ist dieser Stand 2012 zustande gekommen. Wir waren mit fünf Systemen da, Drupal, WordPress, Typo, Joomla und Magento war mit bei. Das sind dann auch Vertreter hier entsprechend. Der Robert Windig, den kennt ihr wahrscheinlich, inzwischen noch die Hälfte von dem, wie er da ist. Aber das ist ja durchaus eine bewundernswerte Entwicklung. Ganz links ist der Hagen von Drupal. Ben ist der ehemalige Community Manager von Typo 3. Der Robin, glaube ich, war, weiß ich gar nicht, ob das Magento dann gewesen sein sollte. Joomla, offensichtlich. Die ersten Tage, also diese erste halbe Tag auf der Messe, war davon geprägt, dass wir als CMS-Systeme versucht haben, uns möglichst gegenseitig auf die Nerven zu gehen. Also wir haben die Drupala, haben ständig einen mit Drupal-Balance beworfen. Die Typo 3-Leute haben überall, wo es nur irgendwie gegen ihre Typo 3-Kulis reingesteckt. Wir haben bei den Magento-Leuten, als sie nicht aufgepasst haben, Joomla als Bildschirm-Hintergrund gesetzt und so Sachen. Was man da halt macht, wenn man konstruktiv zusammenarbeiten möchte, haben aber dann irgendwann gemerkt, dass das eigentlich ganz charmant ist, mal die Experten der anderen Systeme kennenzulernen. Weil danach googeln und den Wikipedia-Eintrag lesen, ist zwar ganz nett, aber du hast nach dem Wikipedia-Eintrag, wenn man mal ehrlich ist, ja noch überhaupt keine Idee, was das andere System jetzt wirklich gut oder wirklich schlecht macht. Und da sehen die, da triffst du die Leute, die genau das wissen. Und dachten wir, hey, lass das doch, eigentlich ist das ganz cool, das Format. Lass das einen Hommal machen, aber vielleicht ohne Mitwalt. Und dann ist die Idee des CMS-Garden entstanden. Der Name kommt daher, dass ein Garten davon lebt, dass ganz viele verschiedene Pflanzen da sind. Erst dann wird er wirklich schön. Ist das nicht toll? Ja, süß, ne? Wir haben dann mit diesen vier Systemen angefangen, dachten ja, machen wir so einen Stand nächstes Jahr, gucken wir mal. Und wir können ja mal zwei, drei Systeme fragen, ob noch jemand mitmachen will. Bumms waren wir zu zwünft. Die meisten davon, die Großen, die kennt ihr. Es gibt ein paar kleinere, zum Beispiel Scientific, ich glaube, die sind zu zweit. Java basierend ist das System für Universitäten und Wissenschaftliche Veröffentlichung. OpenCMS ist auch Java, Continido ist PHP, Plone ist Python, Reduxo ist PHP, Papaya ist auch PHP, kommen hier aus Köln. Also es war ein ganz bunter Mix. Und ja, wir haben uns dann dann gesetzt, diesen Stand Realität werden zu lassen. Hat dann auch gut funktioniert. Wir hatten 2013 dann einen verhältnismäßig großen Stand, 90 Quadratmeter oder sowas. Wer CBit-Messepreise kennt, weiß, dass das ein kleines Vermögen gekostet hat. Aber 60.000 Euro haben wir seinerzeit für die Veranstaltung insgesamt investiert. Aber es war mega cool. Wir waren von den Beteiligten Systemen weit über 100 Leute, die in ihrer Freizeit da gestanden und Messedienst geschoben haben. Wir hatten über 10.000 Leute am Stand, mal so grob geschätzt, die irgendeine Frage gestellt haben und haben mehr oder weniger die Halle leer gesaugt. Hinter unserer Rückwand quasi, also dahinter war der Stand des CBit-Partner Lands Polen in diesem Jahr und die haben sich irgendwann über uns beschwert bei der Hallenaufsicht, weil bei uns so viel los sei. Sie hätten den starken Verdacht, dass wir irgendwas Illegales tun, irgendwas verschenken oder so, weil sie sich nicht erklären könnten, warum da so viel los ist. Auf dieser CBit sind drei Dinge passiert. Die eine Geschichte ist, dass wir als Gärtner untereinander die Zeit hatten, die anderen Systeme anzuschauen, von den Experten zu lernen und an den Punkt zu kommen, dass man sagt, ach, eigentlich ist WordPress auch cool. Also das Redakteurerlebnis von WordPress ist extrem simpel und make decisions, not options als große Philosophie, das hat echt seine Vorteile. Auf der anderen Seite guckt man sich typo an und denkt, boah, wenn ich morgen Mercedes-Benz als Kunde bekomme, dann mache ich das auf jeden Fall mit typo, weil diese ganzen Enterprise-Geschichten, da kackt mein System hingegen völlig ab. Oder das, was Scientifik für die wissenschaftlichen Sachen machen kann, das kann ich bitte den anderen System gar nicht. Man lernt, dass wir Systeme untereinander wie Communities keinen Grund haben, uns zu bitschfeiten. Wir sind eine große Familie und die Wichses und Gym-Dos dieser Welt, da ist der Feind, da geht's hin. Und das ist immer mein Lieblingsbild, wenn man sich selber mit den anderen Systemen beschäftigt und weiß, wo die eigenen Stärken sind, kann man auch die Kunden letztlich besser beraten. Denn wer nur ein Werkzeug kennt, wenn ich nur ein Hammer als Werkzeug genne, sieht auch jedes Problem wie Nagel aus. Deswegen dieses, ja natürlich kann das mein System, ich kann damit alles, ja klar kannst du alles mit deinem System machen, aber es ist halt scheiße. Erkenntnis Nummer 1. Erkenntnis Nummer 2 war, dass die Botschaft, was Open Source alles kann, auch für die Besucher eine wichtige ist. Wir, glaube ich, haben auf dieser, da war auch eine viel kommerzielle, proprietäre Systeme auf der Messe. Den haben wir jetzt gezeigt, das ist zumindest meine persönliche Meinung. Und last but not least haben wir etwas gemerkt, was uns vorher nicht so klar war und was auch nicht das Ziel war. Nämlich, dass wir als Zusammenschluss im Garten für Industrie und Partner was ganz Spannendes sind, weil wir sind ein Drittel des Internets. Da ist dieser eine Ansprechpartner der Garten und dahin ein Drittel des Internets hinter. Und in der CMS-Welt ist der Anteil noch viel höher. Wir machen ungefähr so 75% aller Seiten, laufen mit einem der CMS aus dem Garten. Das macht uns sehr spannend für sehr viele Leute. Viele Leute war in dem Fall zum ersten mal eine ganze Reihe von Events, die teils von sich aus auf uns zugekommen sind. Also eine Internetworld in Stuttgart. Da haben wir nichts für den Stand bezahlt. Wir haben auch nichts für den Standbau bezahlt. Die haben gesagt, wir stellen euch alles bitte kommt und so Geschichten. Das Cloudfest, als das große Klassentreffen der Hosting-Industrie, auch da, für die sind wir wahnsinnig interessant. Neben dem Teil gab es immer noch was anderes, was schnell aufgefallen ist. Wir sind nämlich ganz spannend für die IT-Security-Industrie, insbesondere bei Web-Security, weil unsere Systeme so ein bisschen das Worst Case-Szenario der IT-Industrie überhaupt ist, wenn man mal so drüber nachdenkt. Wir haben komplexe Systeme, das ist nicht trivial, sonst CMS. Es ist extrem einfach zu analysieren, das ist ja Open Source, kann ich hier reingucken. Und es läuft in der Regel auf einem System, das 24-7 erreichbar ist, performant angebunden und auch sonst einfach eine brauchbare Kiste ist. Und betreut wird das Ganze von Ihnen hier, zumindest bei der Großteil der Seiten, wenn wir mal ganz ehrlich sind. So sieht der gängige JUMLA-Vereinsnutzer aus, also vielleicht mit weniger Fell, aber mit einer ähnlichen Kompetenz. Ohne jemandem zu nahe treten zu wollen, aber in Sachen IT-Security ist es so. Ich habe das hier liebevoll umschrieben mit, Sie haben eine verhältnismäßig überschaubare Awareness für IT-Security. Und das Ergebnis sieht dann immer so aus, also wenn es so aussieht, hat man ja noch Glück, weil dann ist es nur ein Defacement. Der blödere Teil ist, wenn die Seite weiter läuft und man im Hintergrund schon Fishing-Seiten hat und Spam-Mates verschickt und Kinderpornos hostet und so was. Dies ist denn blöd vorsichtig gesagt, was aber viel relevanter ist und das, glaube ich, begreifen die wenigsten Nutzer. Das ist für den Websitebetreiber dann doof, wenn der Hoster mal für drei Tage die Seite sperrt. Aber überlegt euch, was da dranhängt. Es geht ja nie um eure Seite, es geht immer um die Maschine dahinter. Da wird eine Fishing-Seite gehostet und dann entsteht eine Bank, ein sechstelliger Schaden. Da fährt jemand mit eurer Seite eine DDoS-Attacke gegen einen Webshop, der ist drei Tage platt und hat eine Million Umsatzverlust. Da wird, was weiß ich, ein Drive-By-Exploit draufgepackt und jemand, der die Website aufruft, fängt sich ein Virus ein. Das ist dann leider so eine Ransomware, der die Platte verschlüsselt und dann ist das VW-Werk platt. Das sind Dinge, die, denke ich, mir nicht aus, das passiert. Wir hatten einen sehr lustigen Anruf vom Cybercrime-Department des LKA, Niedersachsen, deswegen weiß ich wovon ich rede. Ja, hatten da einen Anliegen. Es ist eine riesige Kette, die dahinten dranhängt und das macht uns relevant ein. Ich habe sich für vier Gruppen. Das eine ist Governmental Entities, so würde ich es jetzt mal nennen. In dem Fall zum Beispiel das BSI, mit dem wir in Kontakt sind. Die haben wir bei der Erstellung einer CMS-Sicherheitsstudie begleitet. Ganz konkret haben wir Szenarios beigesteuert und Wissen beigesteuert, wie das eigentlich in der Realität abläuft. Was sind reale Websites, was ist reales Hosting und wie sind die Auswirkungen auf so eine Sicherheitsstudie. Wir waren bei der Switch, das ist die Dienik der Schweiz, wenn ihr so wollt. Haben da einen Workshop für Hosta gegeben und eines der Haupterkenntnisse, dieses erschütternden Workshops, war, dass der Großteil der Hosta gar nicht weiß, was die hosten. Deswegen hat der Garten nach diesem Workshop dann ein Kommando-Zeientool entwickelt, womit ich als Hosta sagen kann, Websites sind in dem Verzeichnis skin mal. Und dann kommt eine Liste raus, welches CMS in welcher Version mit welchen Extensions eigentlich in welchem Ort man liegt. Mind blown bei dem einen oder anderen Hosta. Mit dem traurigen Ergebnis ist alles veraltet ist. Webhosta allgemein, offensichtlich hier Zielgruppe, insbesondere die Abuse Departments, also die sich um den Missbrauch kümmern, die sind für uns interessant, da gibt es immer mal wieder Rückfragen, wie man ganz bestimmtes Issue solven kann. Und Antiviren-Companies, auch die witzigerweise, sind für uns ein interessanter Ansprechpartner, weil wenn es größere Enterprise-Kunden sind, die mit Viren Befall zu kämpfen haben, gehen die AV-Companies oft hin und verfolgen die gesamte Kette des Angriffs zurück. Und da taucht dann auch schon mal ein Angriff auf eine Webseite, auf die wir noch gar nicht kennen. Last but not least, und jetzt schließt sich so ganz an der Kreis, gab es einen Kontakt mit der Initiative S, die haben wir mal auf eine Messe getroffen. Die haben gesagt, wir machen Seiten sicher, bei uns können sie ihre Webseite einreichen, dann ist die sicher oder so. Wir haben uns das angehört und gesagt, nein, das kann doch nicht funktionieren. Wir haben uns technisch das angeguckt. Das kennt ihr Klamm AV, freier Virus-Scanner für Linux? Ja, das, was der Name schon vermuten lässt, ist ein freier Virus-Scanner für Linux. Und was Initiative S gemacht hat, war, Startseite runterladen, gegen Klamm AV werfen, gucken, ob Virus, wenn nein, sicher. Das war die etwas vereinfachte Logik dieses Services. Aber was sie extrem gut gemacht haben war, durch die Weltgeschichte zu laufen und Handwerkern, Fliesenlegern und Vereinswebsitebetreibern überhaupt mal eine Awareness dafür zu geben, dass ihre Webseite in Gefahr ist, dass es so was wie Hacker gibt. Das ist den meisten überhaupt nicht klar. Und selbst wenn sie es wissen, gehen sie ja naiverweise davon aus, dass niemand eine Fliesenleger-Webseite hacken würde, aber was hat man ja davon? Die Initiative S war damals hauptsächlich vom Eco-Verband, oder alleine, ich glaube das war der Eco-Verband alleine. Genau, der Eco-Verband, der Verband der deutschen Internetwirtschaft hat das gemacht, finanziert vom Bundeswirtschaftsministerium, das Wirtschaftsministerium, die haben so eine Kampagne Verbesserung der IT-Sicherheit in der Wirtschaft, so hauptsächlich für kleine, mittlere Unternehmen. Als Initiative S ausgelaufen ist, hat der Eco-Verband nach einem Nachfolgeprojekt und Nachfolgepartnern gesucht und hatte sich erinnert, dass wir so provokant konstruktives Feedback zu Initiative S hatten und man könnte da doch was tun. Und daraus ist die Wegross geworden. Das ist das Nachfolgeprojekt, wenn ihr so wollt. Läuft seit September 2016 finanziert vom Bundeswirtschaftsministerium unter eben dieser Initiative. Sind vier Projektpartner involviert, der Eco als Dachverband, die Ruhr-Uni Bochum, die haben, ich glaube, mit Europas führendes Institut für IT-Sicherheit. Die steuern da viel Input bei. Die Hackmannied ist eine Ausgründung von der Ruhr-Uni und der CMS-Garden als Communityzusammenschluss. Rein rechtlich betrachtet ist es ein gemeinnütziger Verein und ja, wir verstehen uns als Dachorganisation der Open Source CMS in Deutschland, so wie ich das jetzt mal verkaufe. Aber gemeinnützig unbezahlt, Community halt, das was man halt so macht. Eco, für uns, das ist die erste Lesson Learned in Sachen Open Source Community, Eco war für uns genauso wie die Ruhr-Uni eigentlich auch ein unheimlich wichtiger Partner, weil die kennen sich mit dem Papierkram aus. Wenn ihr als Open Source Community mit eurer Dachorganisation hingeht und sagt, hey, ich hätte mal gerne ein Förderprojekt vom Ministerium XYZ, ihr habt keine Vorstellung von diesem Albtraum an Controlling, Papierkram, etc. Sucht euch einen Partner, der das kann, ihr seid verloren. Und das ist der zweite Aspekt, wenn man so einen Partner nicht hat, ist es inzwischen quasi unmöglich geworden, da überhaupt noch ein Fuß hin zu führen. Wenn man das Eco übernimmt, und das ist gleichzeitig auch die erste Säule von CVCOS, ist Awareness Building. Wir machen so coole Lehrvideos, wie man CVCOS benutzt. Wir haben Reihepresseartikel inzwischen rausgehauen. Wir tun über so Veranstaltungen wie hier und erklären überhaupt, dass es das Problem gibt. Ihr seid wahrscheinlich nicht unbedingt die klassische Zielgruppe für CVCOS, deswegen ist der Eco nicht zuletzt auch mit einer Roadshow bei IHKs, Handwerkskammern, Handwerker, Zusammenschlüsse, etc. Papier unterwegs. Also wirklich mitten in der Provinz, Peter ist manchmal an Orten, da wusste ich gar nicht, dass es die überhaupt gibt und macht dann eine Stunde Vortrag, was da alles passieren kann, dass man als Handwerker da ein hohes Risiko hat, überhaupt als Seitenmetall. Hier bei der Polizei Köln waren wir mal im Polizeipräsidium, also die verrücktesten Dinge, wo man überall eingeladen hat. Das ist die erste große Säule von CVCOS, Awareness Building, den Leuten das Problem erklären. Die zweite große Säule ist ein Scanning Tool. Das gibt es auf CVCOS.de, es ist ein gehosteter Service, also kein Gedöns, was ich mir lokal laufen lasse. Hängt hauptsächlich mit den technischen Anforderungen zusammen, dass das lokal nicht so ohne Weiteres geht. Ihr könnt euch auf CVCOS.de registrieren oder ihr nutzt den Free Scan auf der Startseite, ich empfehle registrieren, denn dann bekommen wir den notwendigen Anzahl Domains zusammen, die wir im Antrag mal versprochen haben. Ihr tragt eure Seiten ein, da gibt es dann so Google Webmaster-Tools, mäßig so ein Validierungs-Dingsbums, Lade-Metal-Tech XY-Dereien, Lade-HTML-Datei hoch. Dann seid ihr freigeschaltet und bekommt ab dem Moment tägliche Scans mit den Resultaten, die CVCOS da produziert. Scans bedeutet, ganz konkret, dass wir, habe ich beim letzten Mal vergessen, ich habe hier doch so einen Scanner, der nicht reingehört, das sind fünf Scanner. Das sind fünf Scanner, die hinter dieser Oberfläche zusammenlaufen. Wir fangen mal unten an, DomXSS ist ein Angriffsszenario wo es jemand dritte möglich ist, HTML, JavaScript, etc. BBSkrips in meine Seite einzuschleusen, die werden dann im Kontext meiner Seite ausgeführt. Das sind immer Sachen, die werden im Bereich der Web Security gerne so ein bisschen stiefmütterlich behandelt, weil ja, wer sollte das schon machen, was hat man davon, die Seite läuft ja dann noch, wird aber dann ganz schnell, ganz spannend, wenn auch der Administrator dieser Seite ab und an mal die Seite besucht. Das soll vorkommen, da habe ich gehört. Und dann wird es sehr lustig, denn der Administrator ist hier in der Seite eingeloggt. Heißt ein JavaScript, das im Browser des Administrators läuft, läuft mit den Rechten des Administrators und kann beliebige Dinge tun. Zum Beispiel über den WordPress-Theme-Editor mal ein bisschen PHP in das Theme reinwerfen und dann hat man eine richtige Remote Code Execution, vollen Zugriff auf die Seite mit allem, was dazugehört. Und die Haushaltskriptigen leider nicht so ungefährlich, wie immer alle tun. Wir haben einen Scanner für malware and phishing, der tut zwei Dinge. Das eine ist aus der Initiative S quasi entstanden, der, ja, Klam-AV, Startseite nehmen, Code gegenwerfen, das ist der eine Part. Und der andere Part ist, dass dieser Scanner die Domain der Seite gegen eine Vielzahl von Listen prüft. Also Google hat eine eigene Playlist für die gefährliche Seiten. Diverse Antibien-Hersteller haben dafür eine Blacklist. Es gibt Blacklists für deinen Maze, aber versendet Spam und all diese Dinge. Und wir schmeißen diese Listen runter, schmeißen die Domain dagegen und schauen, ob deine Seite vielleicht schon längst gehackt ist und auffällig geworden ist. Das tut dieser Scanner. Der TLS-Scanner, wer von euch kennt, Qualis SSL-Labs, das ist dieses HTTPS, dieses von Verschlüsselung her, von ihr mal gelesen hat. Das Google jetzt überall haben will. Das Dove ist, Verschlüsselung ist nicht gleich Verschlüsselung. Das gibt es in verschiedensten Güteklassen und man kann da sehr viel, sehr falsch machen. Hardbleed war dann damals, so ein Stichwort oder die Pudelattacke, das sind so die Namen, die dadurch die Presse gegangen sind. Und die grundsätzliche Folge ist normalerweise immer, dass die Verbindung aufgeknackt werden kann und dann ist es die Verschlüsselung, eben keine Verschlüsselung mehr. Wenn wir uns mal prüfen, wenn die Seite HTTPS unterstützt, genau diese Dinge ab, wir schauen, wie gut ist deine Verschlüsselung. Das ist in der Regel was, da kann ich als Seitenbetreiber sowieso nichts dran ändern. Das ist dann ein Thema für den Hoster, aber schmeißt ihn dann das Ergebnis rüber und macht Dampf. Also wer beim TLS-Scanner da keine volle Prüfzahl bekommt, ist in der Regel auch bei einem Hostenhoster unterwegs. Es gibt da auch noch andere Anbieter für SSL-Labs, war da eben mal so einer der Bekanteren. Das Schöne an unseren TLS-Scanners ist, dass die Jungs, die zum Beispiel Pudel oder die Robot-Attacke gefunden haben, Sicherheitsforscher, das sind die Jungs von der Uni Buchen, die genau diesen Scanner machen, die sitzen an der Quelle. Und der TLS-Scanner prüft deswegen Dinge, die die anderen noch gar nicht kennen. Das ist Punkt 1. Und neue Angriffsszenarien laufen im TLS-Scanner immer als erstes auf. Wir können schon auf Sicherheitslücken prüfen, bevor der Rest der Welt seine Scanner aktualisiert hat. Das ist ganz charmant. Infolik prüft aktuell, macht er ein paar relativ überschaubar sinnvolle Checks, so hätte ich das jetzt mal gesagt. Zum 1. werden so Dinge geprüft, wie gibt es eine Klartext-Email-Adresse auf der Startseite. Falls ja, kann es sein, dass jemand die ausliest und dir Spam schickt. Aus offensichtlichem Gründen. Man kann über den Sinn oder Unsinn streiten, wir haben uns darüber gestritten. Aber er macht das halt. Da werden aus so Dingen geprüft, wie benutzt, ist aus dem Quelltex meiner Seite ersichtlich, dass ich ein verwundbares WorkPress-Plug in verwende und so Dinge. Das ist aktuell, wenn wir sind ja unter uns, ist der Infolik-Scanner noch so das schwächere Glied in der Scanner-Kette, aber der bekommt demnächst ein großes Upgrade. Und mein ganz persönliches Highlight weil das niemand kennt, ist der Headerscanner. Da machen wir gleich noch einen kurzen Exkurs rein, vielleicht machen wir ihn einfach jetzt, weil dieses Header gedönst, das kennt eigentlich keinen Mensch. Was haben wir denn, wir rufen mal diese Wegroste hier auf. Ja, warte mal, ihr müsst aber sehen, kriegst meine Passwörter auf dem Screen. Ich mach doch keine Passwörter im Klartext, ich mach doch Security. Es ist 16 Zeichen lang, Glückwunsch. So, wenn ihr so eine düsselige Seite mal aufmacht, habt ihr ja normalerweise den Headbereich vom HTML, ihr habt den Body und was ihr in der Qualtex an sich nicht seht, ist der Head über dem Head. Das sind die Header, die in der HTTP Verbindung mitgegeben werden. Die normalen Developer Tools zeigen das dann, und das sieht dann zum Beispiel hier so aus. Das sind die Antwort-Kopfzeilen im Firebox. Der Headerscanner guckt sich diese ganzen Header hier an und wirft dabei vor allen Dingen einen Augenmerk auf diejenigen Header, die sicherheitsrelevant sind. Es gibt nämlich im HTTP-Bereich Header, die nur und speziell dafür da sind, um Angriffe zu verhindern. Wir schauen dabei zum Beispiel auf die XSS Protection. Das ist ein Header, der startet einen Großheitskriptingschutz, den jeder Browser mitbringt, aber standardmäßig nicht einschaltet, weil er könnte Seiteneffekte haben. Das ist eine simple Technik. Dann gibt es die X-Frame-Options, als weiteren Header. Damit kann ich den Browser mitteilen, ob er meine Seite überhaupt darstellen soll, wenn meine Seite in einem I-Frame eingebettet wäre. Das ist deswegen spannend, weil man mit I-Frames Click-Checking-Attack betreiben kann. Also jemand zeigt meine Seite, darüber ist aber ein transparenter Button und wenn ich draufklicke, dann starte ich ein Download oder die Welt geht unter oder sowas. Das ist Click-Checking. Das kann dann nicht funktionieren, wenn meine Seite sich überhaupt nicht in einem I-Frame einbetten lässt. Das kann man mit den X-Frame-Options setzen. Es gibt den Header X-Content-Type Options, No Sniff. Da wollen wir ein bisschen weiter auswohlen. Wenn zum Beispiel ein Bild an ein Browser ausgeliefert wird, wird der Webserver euren Browser sagen, das ist ein JPEG. Oder hier in dem Fall sagt der Webserver, das ist Text-HTML. Das ist der Content-Type. Es gibt Situationen, da kann es passieren, dass der Webserver keinen expliziten Content-Type mitliefert und dann muss der Browser raten, was das sein könnte. Raten ist eine ganz, ganz, ganz, ganz, ganz blöde Situation, weil Browser sich gerne falsch liegen beim raten. Und dann ist da zum Beispiel etwas, das kommt als Bild. Da hat ein böser Angreifer vorher über den Media Manager ein Bild hochgeladen, was aber eigentlich HTML enthält. Und wenn der Webserver meinen Browser nicht sagt, das ist ein Bild, und der Code sieht, oh, guck mal, da steht H1, das wird HTML sein und führt den HTML-Code aus, der da böserweise drin eingebettet ist. Und mit noSniff kann ich den Browser dazu bringen, dass er dieses raten nicht tut. Dann hat das Bild einfach nicht angezeigt. Ja. Dann gibt es den Strict Transport Security Header. Damit kann ich den Browser dazu bringen, dass er die Seite für einen festgelegten Zeitraum, in dem Fall, glaube ich, in den letzten 20 Sekunden, nur über HTTPS aufruft. Ist ganz spannend, wenn man zum Beispiel in einem freien WLAN mit vielen anderen Menschen unterwegs ist, die mir so ein, irgendwas da in die Verbindung reinwerfen und mich zu einer umverschüsselten Seite umleiten wollen, um mein Online-Banking auszuspähen oder so was. Sobald ihr die Seite CIVICOS, die ihr einmal aufrufen habt und werdet ihr in den nächsten 9 Monaten sie nur über HTTPS aufrufen können. Wenn ihr die Seite CIVICOS, die ihr doppelt.slächsläch eingeben würdet, schmeißt euch der Browser eine Sicherheitswarnung und sagt, hey, das ist nicht richtig, das ist die Transport Security. Was haben wir noch? Feature Policy, ganz neu, ganz cool. Hiermit könnt ihr bestimmte Funktionalitäten im Browser ausschalten. Ich hab zum Beispiel gesagt, dass diese CIVICOS.de keinen Zug auf die Kamera zur Seite einzuspielen, um euch per Webcam auszuspionieren. Das wird nicht funktionieren, weil die Webcam Funktionalität ist serverseitig, die aktiviert worden in eurem Browser. Das ist die Feature Policy, ganz neu. Es gibt, was haben wir noch, Feature Policy, dass ein Content-Type überhaupt gesetzt ist, das hatten wir eben mal, das wird geprüft und last but not least, die Content Security Policy ist ein mega geiles Zeug, weil damit kann ich einen Browser sagen, von welchen Quellen er Dateien ausführen und nachladen darf. Ich sag ihm zum Beispiel standardmäßig für alle Typen von Dateien immer nur von civicos.de erlauben. Das ist Self. JavaScripts hingegen von dir selber, aber auch von Google kommen und von der civic-Installation herunterladen. Iframes von so und so. Kamerad, alles entsprechend, hab ich gesehen, entsprechend einstellen. Das ist insofern relevant, als dass man gerade bei JavaScript hingegen kann und sagen kann, dass man inline JavaScript verbietet, also JavaScript, was direkt in der Seite eingebettet ist. Das ist der Killer und das ist der Verleidierung automatisiert. Das mit dem macht man Metatake rein oder so was, das passiert automatisch, müsst ihr euch um nichts kümmern, einfach Plug-in installieren, civicos.de-Zudatenein eingehen, dann ist die Seite drin und ihr bekommt direkt im Backend eurer Seite eine Info darüber, wie euer aktueller Score ist. Kann man nutzen, muss man nicht, es funktioniert auch ohne die Plug-ins. All das hinter diesem Dienst, die ganzen die Scanner, sogar die Seite mit dem Template, ist alles von euren Steuergeldern bezahlt und weil ich persönlich der Meinung bin, dass wenn ihr es bezahlt, ist auch euch gehört, haben wir uns innerhalb dieses Partnerverbunds sehr dafür eingesetzt, dass der gesamte Code Open Source ist. Und das ist auch so. Also alles, was im Rahmen von Sivikos entwickelt wird, findet ihr auf GitHub. Könnt ihr es weiter verwenden, anders verwenden, ergänzen, wie er lustig sei. Das ist Public Money, Public Code, Kampagne, der Free Software Foundation. Jetzt ist so ein Scan-Dienst ja cool, eure Seite ist dann drei Punkte sicherer geworden, aber wenn wir mal ehrlich sind für den Handwerker von nebenan, der ist ja immer noch so. Das wird ihm letztlich wenig helfen, denn das war es ja im Web wirklich scheppert. Das ist, oh, ich habe vergessen, das WordPress Update einzuspielen. Oh, ich habe das Plug-in nicht aktualisiert seit fünf Jahren. Da taucht dann irgendwann Sicherheitsproblemen für auf, das Ding wird gehackt und das Kind ist im Grunde gefallen. Diese realen Bedrohungen sind deswegen besonders schlimm oder besonders schwierig, weil zwischen einem Patch für einen kritischen Problem z.B. das kritische WordPress Update, wenn das veröffentlicht wird und der Zeitpunkt, wo die ersten automatisierten Anrufe kommen, dieser Zeitrahmen ist klein. Ihr habt realistisch betrachtet zwischen sechs und acht Stunden Zeit. Wer das Update nicht binnen acht Stunden einspielt, ist gehackt. Ich habe ein schönes Beispiel aus der Drupal Community, die hatten einen kleinen Vorfall, der hieß Drupal Gadon im Jaguar und wer da nicht binnen sieben Stunden aktualisiert hat, war gehackt. Wie soll das euer gemeiner Handwerker von nebenan leisten? Wie sollt ihr das leisten? Ich hätte vorher seit dem Urlaub oder ihr schlaft, verrückte Idee. Ich mache das. Und diese Logik hier betrifft alle Systeme. Gibt es keinen Unterschied überall das Gleiche. Was wir also bräuchten, wäre so jemand hier, der, wir brauchen jemanden, der 24.7 verfügbar ist, der versteht, wie wichtig Sicherheits-Updates sind, der sofort reagieren kann und der am besten auch noch irgendwie Zugriff auf diese Seiten hat. Da gibt es naturgemäß eigentlich nur einen, den wir fragen können, das ist der Hosta. Der Hosta hat, das kommt noch erschwähnt hinzu, noch ein finanzielles Interesse daran, dass die Seiten nicht gehackt werden, denn das kostet uns Support. Also, was können wir den Hostan an die Hand geben, damit die Seiten nicht gehackt werden? Das eine ist, wir schicken den Patch und sagen, patcht mal alle eure 5 Millionen WordPress Instanzen, ist egal, wenn davon drei danach kaputt sind. Aus offensichtlichen Gründen finden die Hosta den Ansatz nicht so cool. Die Alternative ist Filtern. Wieso kommen diese Angriffe überhaupt bis zur Webseite durch? Wieso filtern die Hostas nicht? Gibt es zwei Gründe für? Das erste ist die Hosta Hamashis. Wenn man da mal so eine Regel einpflegt, die man am besten auch noch selber zusammengebastelt hat, mit gefährlichem Halbwissen, weil man die Applikation nicht wirklich kennt, dann hat man so false positives. Dann werden Dinge rausgefiltert, die eigentlich völlig in Ordnung sind, die Seiten gehen kaputt, alle jammern. Das ist das erste, die Dinge gehen kaputt. Und die zweite Geschichte ist, Hosta brauchen zu lange. Wir veröffentlichen den Patch, dann setzt sich am nächsten Morgen jemand beim Hosta hin, guckt sich das mal an, dann wird das intern gebaut, nochmal getestet, von sieben Leuten freigegeben, 48 Stunden später kommt dann die Filterregel, aber dann sind ja sowieso schon alle gehackt seit 40 Stunden, also doof. Deswegen hat CVCos neben Awareness Building und dem Scanning Tool noch was Drittes, nämlich den, wo, was ist denn hier passiert, den Hostaservice, der, ja, der Hostaservice. Was wir hinter den Kulissen machen, ist, dass wir als CMS Security Teams, wenn wir so eine Lücke gemeldet bekommen, nicht nur hingehen und Patch bauen, sondern wir überlegen uns auch direkt, kann man das nicht irgendwie sinnvoll filtern? Sinnvoll filtern bedeutet, kann man das nicht so filtern, dass nichts Legitimes kaputt geht? In der Regel, Ringers crossed, ist es bei den besonders schweren Lücken so, dass man das sinnvoll filtern kann. Und wenn dem so ist, bereiten wir so eine nette E-Mail vor, da steht dann drin, hey, lieber Hosta, in zwei Tagen kommt ein kritisches Jumla-Update, stellen mal bitte sicher, dass deine Technik-Louns dann verfügbar sind. Erst die E-Mail als Vorankündigung. Die zweite E-Mail, die dann rausgeht, wenn auch der offizielle Patch rausgeht, also keine Vorab-Info, sondern genau dann, da steht dann drin, hey, das ist die Lücke, da findest du den Code dazu und wenn du es filtern willst, dann mach das hiermit. Das ist jetzt mal so eine Beispielregel für Mod Security als Filtermodul für den Apache. Das Schamante, wenn wir das machen, ist, der Zeiteffekt fällt weg, weil wir kennen es ja schon vorher, wir können die Regeln in Ruhe bauen und wir Security-Teams wissen in der Regel, wie unsere Systeme funktionieren. Wir können wesentlich genauer abschätzen, ob eine bestimmte Filterregel was Legitimes kaputt macht oder nicht. Das haben wir im CV-Cost jetzt so ein bisschen formalisiert, gibt jetzt so ein Mailing-Listentool und Tra-La-La. Es sind ungefähr 150 Hosta, die in der Liste sind von den Empfängern, entweder als direkter Empfänger oder über Verteiler, wie zum Beispiel die Switch, die das für alle Schweizer Hosta empfängt. Die Großen sind mit dabei und ansonsten ein paar kleinere Agentur, also kleinere CMS-spezifische Hosta, die wir auf so Community-Events aufgreifen. Das funktioniert ganz gut. Das schönes Beispiel war die letzte große Jumla-Lücke. Da habe ich den Kram an ein Hosta rüber geschickt, dessen Namen die Quersum mit zwei hat und in den ersten 24 Stunden nach dem Patch hatten die 2,4 Millionen Hits auf diese Filterregel. Also 100 Tausend Mal pro Stunde wurde versucht, diese Lücke auszunutzen. In den folgenden Tagen steigt es dann noch an. Dann kommen erst die Sachen. Dementsprechend funktioniert das leidlich gut und wie man sich vorstellen kann, finden auch die Hosta. Das ist eigentlich ganz cool, weil es spart in Arbeitszeit, Geld und weiß ich nicht was. Die großen Systeme sind mit dabei. Drupal ist da so eine kleine Klammer und wir sind ja wieder unter uns. WordPress ist da ehrlich gesagt auch eine kleine Klammer. Bei beiden Teams ist es für mich manchmal etwas schwierig, den zuständigen dazu zu motivieren, diese Filterregel beizusteuern. Ich arbeite dran. Du bekommst nur die Info, da kommt ein kritisches Sicherheitsupdate. Aber du weißt nicht was. Diese Info, da kommt ein kritisches Sicherheitsupdate, ist etwas, dass zumindest die Jumla und die Drupal Community, auch die Typ 3 Community, auch eigentlich alle Communities bei kritischen Updates gibt es ohne hin. Ein Vorabhinweis, hey, das ist kein normales Update, mach mal vor ein Backup, kündige, sag deinen Urlaub ab, du solltest da sein. Die wirkliche Info über die Lücke bekommst du erst gleichzeitig mit dem Patch und dann ist die Info über die Lücke sowieso raus. Das bringt dir überhaupt ganzheitlich den Vorteil. Auf die Art und Weise mit der serverseitigen Filterung nehmen wir das schlechteste Glied aus der Kette, nämlich unseren beharten Handwerkerfreunden, wenn wir ihn gesehen haben. Es ist dann völlig egal wann der sein Update einspielt. Das würden wir ihm niemals sagen, es soll niemand in trügerische Sicherheit wiegen, die Filterregeln fliegen bei den Hostern auch immer wieder raus in der Regel. Aber es dehnt dieses 8-Stunden-Zeit-Fenster auf ein 12-Wochen-Zeit-Fenster aus und das ist ein wesentlich realistischer Zeitraum als die 8-Stunden. Last but not least, ein jungenes Zitat von Churchill, wir ZMS Security Teams müssen das auch tun, denn wenn man sich nochmal eben vor Augen führt, was da alles passieren kann, wenn so eine Seite gehackt wird, haben wir eine große Verantwortung dafür, was im Web so alles kaputtgehen kann und so dieses Kopf in den Sand, Hauptsache meine Seite funktioniert noch, ist einfach eine Art und Weise, die kann man sich nicht leisten. Dafür ist die Verantwortung zu groß. Um deine Frage zu beantworten mit den Headern, es gibt auf svkost.e, link in der Sidebar, zum svkoste wiki. Da sind all diese Header und auch im Scanner selber nochmal sehr ausführlich verlinkt erklärt. Es gibt Beispiele, wie man das Ganze einbetten kann und so ihr Döns. Weitere Fragen, jawohl. Ja, Frage für die Aufnahme. Wenn man das, wenn man den Code so wie wir veröffentlicht, dann macht man es damit, Hacker nicht einfacher Lücken zu finden, werde ich das jetzt zusammengefasst. Ja klar, aber realistisch betrachtet und das zeigt, wenn du dich mal so improperitären Softwarebereich ein bisschen umguckst, nur dass der Code closed-source ist, bedeutet nicht, dass keiner Lücken findet. Das funktioniert genauso. Es gibt Tools, die werfen auf ein Programm einfach verschiedenste Angriffe drauf und irgendwas davon geht schon durch. FASA nennt sich sowas. Das funktioniert immer. Ich glaube, dass der Open-Source-Ansatz sogar der bessere ist aus zwei Gründen. Zum ersten erlaubt es viel mehr Menschen in den Code reinzuschauen und vielleicht, dass da auch mal ein Gut dabei ist, der eine Lücke findet und sie verantwortungsvoll meldet, responsible disclosure, das ist nämlich der Regelfall. Also 99 von 100 Fällen passiert es genauso. Und der zweite Teil ist, wenn du eine proprietary closed-source Software hast, da taucht ein Lücke auf. Bist du darauf angewiesen, dass dieser Hersteller irgendwann einen Patch veröffentlicht? Du kannst es selber nicht patchen. Open-source-Software ist es immer egal, was der Hersteller macht. Wenn der nicht patcht, nehme ich mir den Code, patche ihn und bin sicher. Und wenn ich richtig cool bin, stelle ich die gepatchede Variante sogar wieder online, dann haben andere was davon. Also die Vorteile überwiegen ganz massiv. Wertenwitzigeweise genau die Diskussion, bevor wir es veröffentlicht haben. Frage für die Aufnahme. Wie real ist die Gefahr für irgend so einen kleinen Seitenbetreiber, das er wirklich attackiert wird? Wir gucken mal gerade rein. Ich zeige dir jetzt einfach mal ein Access-Lock, also ein Zugriff-Lock auf eine Seite, die ich ehrenamtlich betreibe, nämlich eine Seite von einem Kinder- und Jugendferienlager. Was du siehst, ist hier, Post-XML-APC, ein Versuch, die Zulangsdaten dieser Seite per Bootforce zu knacken. Das ist eine 0815-Piss-Seite von einem Ferienlager. Und trotzdem laufen da hunderte Angriffe am Tag auf. Wieso? Nicht weil es um die Seite geht. Niemand interessiert sich für deine geheimen Wirtschafts-Dateien, aber der Web-Space, damit kann ich tolle Sachen machen. Den verkaufe ich dann für den meisten Bieten an den meisten Bietenden und der verschickt damit Viagrasbam. Und ich habe drei Dollar verdient. Das ist ein Business. Nichts anderes. Das ist ein finanziell motivierter Akt. Oh, gern. Ja, da sind einige, die da mit dabei sind. Also Ehre, wem Ehre gebührt. Markus zum Beispiel läuft sich die Hackenwund auf englischen CMS-Events. Diese CMS-Security-Leute sowieso, die Leute von der Europ investieren da auch viel mehr Zeit, als sie müssten. Also ganz viele machen da ganz tolle Ausgaben. Ja, ja. Die Frage war, ob der CMS-Gaden mit meinem Nachnamen Jardin etwas zu tun hat. Beide Dinge sind unabhängig voneinander entstanden, aber die Frage höre ich öfter. Ja, wer kennt die Verkehrssicherungspflicht? Verkehrssicherungspflicht greift, wenn jemand beim Nutzen eines Dienstes von mir und ein Dienst kann auch der Bürgersteig von meinem Haus sein. Daher kennt ihr das alle, ne? Man muss streuen. Die Verkehrssicherungspflicht greift aber auch bei der Benutzung meiner Webseite. Insbesondere, wenn sie wirtschaftlich genutzt wird, also eine Unternehmenswebseite ist. Dann greift meine Verkehrssicherungspflicht und wenn jemandem durch die Nutzung meiner Seite einen Schaden entsteht, bin ich schadensersatzpflichtig. Das hat eine rechtliche und finanzielle Dimension und stellt euch vor, ihr betreibt das Fliesenunternehmen und wegen eurer verseuchten Webseite gehen bei VW drei Tage lang die Lichter aus. Dann seid ihr im Arsch, dann könnt ihr den Laden zusperren für den Rest eures Lebens. Das sind Dinge, die denke ich mir nicht aus, die passieren so. So ein etwa. Gut. Vollabend. Vielen Dank.