FritzBox und Repeater Sicherheitsupdates

Weil einige von Ihnen beispielsweise bei Vodafone West Business (ehemals Unitymedia) Internet-Leitungen im Einsatz haben und der Standard-Grenzrouter AVM Fritz!box Cable 6490 oder 6691 sind, hier der Hinweis, dass AVM in allen Routern eine kritische Sicherheitslücke geschlossen hat und - auch für sehr alte Geräte das Sicherheitsupdate anbietet. Das gilt auch für Repeater wie Fritz!Box 1750E oder neuer.

Updates gibt es im Übrigen nicht nur für Kabelmodems, sondern für alle Fritz-Produkte.

Die sicheren Versionen sind entweder: 7.57 oder bei ganz alten Modellen 7.31.

Da Sie das Update nur bei frei gekauften und nicht bei vom Provider im Mietverhältnis bereitgestellten Boxen über die Oberfläche installieren können, bzw. es nur dort bei der passenden Einstellung automatisch installiert wird, hier die sicherste Vorgehensweise bei Kabel-Mietboxen:

#Wichtig - machen Sie die Boxen für mindestens 5 Minuten stromlos. Stecken Sie den Stromstecker wieder ein und warten ca. 20 Minuten, bis das Update provisioniert und installiert wurde.

Wenn Sie die "Stromlos" Aktion nicht durchführen, kann es mitunter mehrere Wochen dauern, bis Ihr Provider das Update an einem Morgen um 0600 Uhr zwangsweise installiert.

Tipp: AVM vodafone Sicherheitsupdate beschleunigen durch Box stromlos für 5 Minuten

Barracuda ESG ist nicht die Firewall

Derzeit kursiert eine echte Warnung des FBI mit dem Hinweis, Barracuda ESG Appliances sofort abzuschalten. Die darin enthaltene Sicherheitslücke wurde nicht nachhaltig geschlossen.

ESG steht dabei nicht für "Einscheiben-Sicherheits-Glas", sondern für "E-Mail Security Gateway". Das ESG ist auch optisch leicht von der Firewall zu unterscheiden, da es keine LAN-Anschlüsse am Frontpanel hat.

Warnung des FBI vor Einsatz des ESG

Barracuda-Seite zum Fehler

Barracuda Firewalls nicht betroffen

Wer also, wie viele von Ihnen eine Barracuda Firewall-Appliance, wie sie von der NetGo vermarktet wird (diese Geräte beginnen mit "F", F18, F80, F280, F380) einsetzt, ist nicht von der Sicherheitslücke betroffen.

KI - Bard - kann der was?

Nachdem vermehrt Unternehmen auf "Künstliche Intelligenz", kurz #KI setzen, startet auch #Google nach anfänglichen Herausforderungen mit der EU-DSGVO seinen Text-Bot namens "BARD" mit der Browser-App "bard.google.com". Man bezeichnet die Beta als "Experiment".

Der Name erinnert an die gleichnamige Animationsfigur mit "t" am Ende (aka. Ay Caramba). In dem Fall kann der Bot dann aber nur Unsinn und Streiche im Kopf haben...

Möglich ist auch die Herleitung aus Asterix Comics, wo der Barde Troubardix aber auch nichts kann und daher immer am Ende an den Baum gefesselt wird.

Dann gibt es noch ein Computerspiel, "Bard's tale", was auch hergenommen werden kann.

Erste Gehversuche

Bleiben wir mal bei Asterix und testen das Musikgeschick, indem wir uns einen Werbesong für eine Warenwirtschaft komponieren lassen. Das Ergebnis

geht schon mal, allerdings lassen sich die geschriebenen Zeilen nicht wirklich in Reinform für Strophe und Refrain bringen - selbst in einer RAP-Version fehlt der gewisse Flow.

Bewerbungen schreiben kann er nicht - es kommt immer die Antwort "kann ich nicht, ich bin kein {Jobname}

Vielleicht kann der ja was mit Artikeln? - Ja! Kundenreferenzen zu einem Artikel als Werbetext funktioniert wieder ausgesprochen gut. Ich hoffe, es wird nicht für Fake-Bewertungen missbraucht.

Kalkammonsalpeter (KAS) ist ein Stickstoffdünger, der aus Ammoniak und Kohlendioxid hergestellt wird. Er ist ein beliebter Dünger für Landwirte, da er leicht zu handhaben und zu verteilen ist und eine gute Stickstoffquelle für Pflanzen bietet.

KAS ist ein granulierter Dünger, der in verschiedenen Korngrößen erhältlich ist. Er kann im Frühjahr, Sommer und Herbst ausgebracht werden. Die ideale Ausbringungszeit hängt von der Kulturpflanze und dem Boden ab.

KAS enthält 27 % Stickstoff, der in einer 1:1-Mischung aus Ammoniumnitrat und Ammoniumcarbamat vorliegt. Diese Form des Stickstoffs ist für Pflanzen leicht verfügbar und wird schnell von ihnen aufgenommen.

KAS ist ein guter Dünger für eine Vielzahl von Kulturpflanzen, darunter Getreide, Gemüse, Obst und Zierpflanzen. Er kann auch zur Verbesserung der Bodenqualität verwendet werden.

KAS ist ein kostengünstiger Dünger, der ein gutes Preis-Leistungs-Verhältnis bietet. Er ist eine gute Wahl für Landwirte, die nach einem leistungsstarken und vielseitigen Dünger für ihre Pflanzen suchen.

Als Landwirt habe ich seit vielen Jahren gute Erfahrungen mit KAS gemacht. Er ist ein zuverlässiger und preiswerter Dünger, der meine Pflanzen gut versorgt. Ich würde KAS jedem Landwirt empfehlen, der nach einem guten Dünger für seine Pflanzen sucht.

Hier sind einige zusätzliche Vorteile von KAS:

• Er ist einfach zu handhaben und zu verteilen.
• Er enthält eine gute Menge Stickstoff, die für Pflanzen wichtig ist.
• Er ist preiswert.
• Er ist eine gute Wahl für eine Vielzahl von Kulturpflanzen.

Wenn Sie nach einem guten Dünger für Ihre Pflanzen suchen, würde ich KAS empfehlen.

"Schreibe eine Artikelbeschreibung zu Kalkammonsalpeter aus der Sicht eines Landwirts"

Fazit

Bilder kann Bard nicht erstellen, es handelt sich um einen reinen Text-Bot. Bei der Verfeinerung von Texten und als Marketing-Unterstützung hat der "Säugling" unter den KIs schon auch in deutsch ausbaufähiges Wissen. Microsoft setzt mit dem KI-Kopiloten auf mindestens 10 Jahre Wissensvorsprung von OPENAI ein, hat damit - entgegen der sonst üblichen Praxis mal die Nase weit vorn. Bleibt zu hoffen, dass die KI auch weiterhin nicht nur in Premium-Modellen nutzbar ist, sondern dass es wie bei Teams auch eine free und eine Standard-Version geben wird.

Wordpress und PHP Support

Viele große Provider wie IONOS und STRATO, all-inkl.com bieten im Web-Hosting die Möglichkeit, als Content Management-System Wordpress einzusetzen. Wer diese Plattform einsetzt, muss darauf achten, dass nicht nur Wordpress und die installierten Themes und Plugins auf dem aktuellen Stand sind (das lässt sich bei unterstützten Plugins weitgehend automatisieren), sondern dass auch die eingesetzte PHP Version noch im offiziellen Support ist. Endet hier der Support-Zeitraum und man setzt die Version weiterhin ein, nehmen die meisten Provider eine hohe monatliche Service-Gebühr zusätzlich - da der Support für Sicherheitsupdates dieser alten Versionen auch bei PHP Geld kostet.

• Achten Sie darauf, dass Sie immer eine aktuelle PHP Version einsetzen. Support-Ende für Version 8.0 ist bereits Anfang Dezember 2023! Für Version 8.1 ein Jahr später und für Version 8.2 in gut 2 Jahren (Dez 2025). Stellen Sie Version PHP 8.2 in der Oberfläche Ihres Providers ein und prüfen, ob Ihre Designs und Plugin keine Fehler auswerfen.
• Stellen Sie die Datenbank von (Oracle) MYSQL auf die quelloffene MariaDB um. Diese wird häufiger aktualisiert und hat mehr kostenlose Möglichkeiten.
• Prüfen Sie, ob Ihre Designs und Plugins noch aktuelle Updates erhalten. Das funktioniert am einfachsten mit dem kostenlosen Plugin "Plugin-Report". Für das Design (Theme) bitte auf der Theme-Website in wordpress.org nachsehen, wann hier das letzte Update war und ob es frei von Warnungen ist.

Grundsätzlich ist es empfehlenswert, regelmäßig im Portal Ihres Web-Hosters nachzuschauen. So fordern die meisten Provider Sie aktuell auf (sofern diese noch nicht vorhanden ist), eine AVV zu schließen, die nach DSGVO vorgeschrieben ist. Diese sollte unbedingt abgeschlossen sein, um Bußgelder zu vermeiden.

Joda auf der dunklen Seite der Macht

Die lustige Wortstellung im Deutschen wie bei "Ich helfen will", "Deutsch bei Joda gelernt hast?" ist bekannt von der kleinen Figur aus der Science-Fiction Serie. Nun findet die Sprache auch in E-Mails, die Ihre Daten klauen möchten, Einzug. So heißt es in der aktuellen SPAM-Welle, die natürlich nicht von der Telekom-Tochter kommt, sondern von zwielichtigen Gestalten:

Dies ist eine Benachrichtigung, um Sie darüber zu informieren, dass Ihr Konto gesperrt wurde. Die Aussetzung ist wie folgt:

Sеhr gееhrtеr Kundе (Anm: OMG mein Internet-Provider kennt meinen Namen nicht!)

Domain Namen. (Anm: hier wird nicht etwa die Internet-Domain eigetragen, sondern da steht "Domain Namen.")

Grund für die Sperrung: Unser Abrechnungssystem hat festgestellt, dass Ihr Domainname abgelaufen ist (Anm: Ein MHD gibt es nicht, der Provider würde schreiben, dass die Rechnung nicht bezahlt wurde, denn ein Vertrag enthält nicht nur die Internet-Domain), daher wurde er für die weitere Verwendung gesperrt. Um Ihr Konto (Anm: gerade ging es doch noch um den Domain-Namen, nicht um ein Konto) zu reaktivieren, melden Sie sich bitte an und überprüfen Sie die Liste der damit verbundenen Domains, erneuern Sie alle und aktualisieren Sie gegebenenfalls die Zahlungsmethode. Wir empfehlen Ihnen, alle erforderlichen Änderungen so schnell wie möglich vorzunehmen, damit Sie keine wertvolle Zeit verlieren, die Sie bereits in das Produkt investiert haben und Schritten unter folgendem Link mаnuell аuszufüllen : Kundenbereich (Anm: Hier ist der böse Link, auf den immer noch viele Empfänger klicken)
 
Wichtig: Wenn Sie die Domain nicht innerhаlb von 24 Stunden аb heute werden erneuern, Ihre Dienste endgültig gelöscht werden (Anm: hier ist es endlich, das Joda-Zitat)

aktuelles aus dem SPAM-Filter.

Moderne SPAM-Filter, wie sie beispielsweise im Security Paket (Defender für Exchange ab Plan 1 oder im Microsoft 365 Business Premium Plan) enthalten sind, filtern solche E-Mails bei Bedarf automatisch heraus, so dass unbedarfte Mitarbeitende schon mal nicht mehr klicken (können). Das bietet eine bessere #Sicherheit .

Chrome und Edge nur noch ab Windows 10

Betroffen sind ab Februar 2023: Windows Server 2012 R2 und Windows 8.1. Wer diese Betriebssysteme dann noch einsetzt, wird keine sichere Verbindung mehr zum Internet aufbauen können. Das Risiko eines Angriffs beim Surfen steigt damit signifikant an.

Mit der Version 110 endet für Chromium-basierte Browser (Google #Chrome, Microsoft #Edge, Vivaldi und weitere) die Aktualisierung mit #Sicherheitsupdates für alte Windows und Windows Server Versionen.

Unterstützt werden dann nur noch Windows Server 2016, Windows Server 2019, Windows Server 2022 sowie Windows 10. Windows 11 wird zwar auch unterstützt, die Redaktion hält aber an ihrer Empfehlung, Windows 11 Pro/Enterprise NICHT einzusetzen, fest.

Für ältere Betriebssysteme (Server 2008 R2 und Server 2012, sowie Windows Vista, Windows 7, Windows 8) gibt es bereits jetzt keine Aktualisierungen mehr.

[time_until date="07.02.2023"]

OpenAudit Classic Software-Vergleich

Der aktuelle Build 2022-07-10 von #OpenAudit Classic kann nun die PB Softwareliste über das Admin-Menü importieren und vergleicht installierte Software-Versionen mit der importierten Dateiversion. So lässt sich prüfen, ob die installierte Basis einen mit der importierten Datei aktuellen Stand hat. In der Softwareliste werden alte Versionen rot gekennzeichnet, ist die Version auf dem importierten Stand: grün.

Eine Spalte mit Beschreibungen zu in der importierten Liste gefundenen Produkte, sowie eine Lizenzart-Spalte wurden in der Softwareliste ergänzt. Die Spalten der Hardwareübersicht wurden umsortiert, so dass zuerst die logischen Cores (z.B. einer VM oder eines Azure virtuellen Servers) angezeigt werden, dann Prozessortyp und cpu Sockets und physikalische Cores (vcpu).

DHCP Server herausfinden

Wenn man an einem Endgerät mit fest eingestellter IP-Adresse sitzt oder mit einem Server per RDP-Konsole verbunden ist, wird es schwierig, herauszufinden, welcher der DHCP-Server im Netzwerk verantwortlich ist. In OpenAudit Classic, speziell in der NMAP-Software gibt es ein Script, das ein vorgegebenes Netzwerk nach DHCP-Servern absucht. Öffnen Sie dazu die Open-Audit-Konsole und wechseln in dem Pfad, in dem NMAP installiert ist. Führen Sie dann den folgenden Befehl aus (dabei das eigene Netzwerk, das Sie mit IPCONFIG herausfinden können, angeben:

"C:\Program Files (x86)\xampplite\nmap\nmap.exe" -sU -p 67 --script=dhcp-discover 10.10.10.1-254
oder gefiltert:
"C:\Program Files (x86)\xampplite\nmap\nmap.exe" -sU -p 67 --script=dhcp-discover 10.10.10.1-254 |find "Identifier"

NMap durchsucht das ganze Netzwerk, ob DHCP-Server vorhanden sind. Steht unter einer IP: dhcps:open, haben Sie den Server in Ihrem Netzwerk gefunden.

Mit echo %logonserver% bekommt man dann noch den Domain Controller heraus, über den man sich angemeldet hat, das gefilterte Domain Controller Suchkommando für NMAP lautet:

nmap -p389 -sV 10.10.10.1-254 |find "Service Info"
nmap -p389 -sV 10.10.10.1-254 |find "389/tcp open"

vodafone aktualisiert Kabelboxen

Mitte Dezember 2021 informierte #vodafone (Business, Nachfolger von #Unitymedia) Ihre Kabel-Kunden, dass nun endlich für die #Fritz!Box 6490 (die weiße mit Unitymedia Logo) das Firmware-Update 7.29 bereitgestellt wird. Die Bereitstellung erfolgte heute.

Zum Installieren musste man wie immer den Stromstecker für mindestens 30 Sekunden von der Box entfernen. Nach dem Neustart der Box hat diese das Update gezogen und mit einem erneuten Reboot installiert.

Version 7.29 bringt langersehnte QoS Funktionalität, die sich im Homeoffice positiv auswirkt. Viel wichtiger ist, dass einige Sicherheitslücken geschlossen und die Performance verbessert wurden. Dazu kommen einige Fehlerbehebungen. Das komplette Changelog wird angezeigt, wenn man nach dem Update auf der Startseite der Box oben rechts auf die Versionsnummer 7.29 klickt.

Für die freien Boxen (keine Mietprodukte) gibt es das Update schon mehrere Monate, für gängige Repeater wurde im Dezember Version 7.29 ausgeliefert.

Internet-Revolution: Gasfaser für alle!

Gestern im ntv Ratgeber Technik: Glasfaser war vorgestern. Die neue Variante "Gasfaser" ist deutlich günstiger und senkt den CO2-Ausstoß um nahezu 70%. Das funktioniert nur, weil das verwendete Gas "Xeon" nicht verbrannt wird, sondern in den Intel-Fabriken zu Fasern verpresst und dann die Daten mit 2-facher Luftgeschwindigkeit überträgt (600 MilliBit pro Sekunde). Im "Ludicrous" mode oder mit XEON Gold Gas sogar doppelt so schnell. Da wird Internet zur wahren Freude und man tut was Gutes für die Umwelt:

Vermutlich hat der Mediendesigner, der das Stock Foto im Hintergrund gebastelt hat, nur ein "l" vergessen. Peinlich ist das aber trotzdem und gehört daher in die Sammlung der #Kuriositäten. Schade, dass kein erster April ist.

OpenAudit Classic und die Cloud

#OpenAudit Classic st ein GPL3 lizensiertes Open-Source Instrument zur Inventarisierung von Hardware, Software, Peripherie und Netzwerk-Komponenten. Es wird auf einem #Windows Server betrieben und zieht sich einmal pro Tag den aktuellen Stand der angeschlossenen und eingeschalteten Geräte. Dazu muss kein Client auf den Endgeräten installiert werden. Die Abfrage erfolgt per WMI oder/und SNMP vom Open-Audit Classic Server aus.

Anforderung von Amts wegen

Verbandsprüfer verlangen nach BSI Grundschutzkatalogen und IDW Prüfungsstandard 330 eine Dokumentation der oben genannten Komponenten einer IT-Umgebung. Diese Aufgabe erfüllt OAClassic weitgehend autark.

Mit dem Umzug oder der Neuinstallation von Servern in der Microsoft #Azure #Cloud, auch Iaas - Infrastructure as a Service genannt, bleibt die Verpflichtung und Pflege der Server bestehen. Viele Syskos haben die Frage gestellt, ob Open-Audit Classic auch unter Azure auf einem virtuellen Azure Server funktioniert und Inhalte bekommt.

auf Microsoft Azure VMs?

Mit Version 2020.12.30 verwendet Das Inventar-Tool aktuelle .net Framework Runtimes, Apache, MariaDB und PHP8, die von der jeweiligen Community allesamt für die Verwendung unter Azure Windows Servern 2019 und 20H2 angepasst wurden. Die Programmierung (in PHP) wurde ebenfalls an die neuen PHP8 Funktionen angepasst.

Von mir durchgeführte Praxistests belegen, dass Open-Audit Classic auch auf Azure Servern genutzt werden kann.

Wichtige Voraussetzungen

• Azure AD Connect bzw. das VPN zu Azure ist so eingerichtet, dass innerhalb der VPN-Tunnel keine Ports gesperrt sind
• Sowohl die Maschinen im lokalen Netz, als auch die Server in Azure können sich "untereinander und gegenseitig anPINGen und auch die Namensauflösung (DNS) funktioniert
• Die Leitungsbandbreite ist ausreichend (wobei für Open-Audit pro inventarisiertem Gerät im Durchschnitt nur 50 KiloByte als XMLHTTP-Posting übertragen werden - jede Webseite hat heutzutage rund 500 KB und mehr)
• Es sind noch mindestens 2 GB oberhalb der 15% Mindestplatz auf Laufwerk C: des Azure Inventarservers frei

Gefahrenquelle Mobiles Arbeiten, Home Office

Die gemeinhin gern als "Home-Office" bezeichnete Arbeitslokation, die im geschäftlichen Bereich als „Mobiles Arbeiten“ bezeichnet wird, kann möglicherweise als Einfallstor für kriminelle Machenschaften genutzt werden.

Um den Einbruch, muss der Unternehmer/Arbeitgeber wirksame Maßnahmen ergreifen. Tut er das nicht, können Versicherungen im Schadensfall die Leistung komplett verweigern oder zumindest kürzen. Bei grob fahrlässigem Handeln drohen Regressforderungen und hohe Bußgelder.

Um zu vermeiden, dass die Sicherheitsgrundlinie, wenn Mitarbeiter zuhause oder an einem anderen Ort arbeiten, zu niedrig ist, sind einige Grund-Voraussetzungen zu erfüllen:

* Ein geschäftliches Notebook zur Verfügung stellen – wir empfehlen Notebooks der Thinkpad-Reihe vom Markführer lenovo
* Softwareinstallation (Windows Deployment, gehärtete Installation) wurde vom Systemkoordinator im Betrieb durchgeführt
* Nur die Software installieren, die unbedingt auf dem Notebook benötigt wird
* Windows Updates so einstellen, dass sie zeitnah am Patchday installiert werden
* Gemanagten Virenschutz installieren (Lizenzprodukt, wir empfehlen Kaspersky Endpoint Protection) und zentral über das Kaspersky Security Center überwachen
* Gesicherte vpn Software (NCP, Client, Cisco Anyconnect oder Barracuda vpn Client) verwenden zulassen
* Datenzugriff auf Firmendaten nur über SSL-VPN oder gesicherte https Verbindungen mit Zertifikat
* Anmeldung an der Domäne oder am Azure AD mit sicherem Passwort, Kennwortrichtlinien gemäß BSI Grundschutz Stand März 2020
* Bestimmte Software (z.B. Warenwirtschaft) nur über ein RDS Security Gateway, SSL verschlüsselt bereitstellen oder aber (wenn gevis ERP|BC 17) mit Zertifikat und Reverse Proxy über die Firewall als Browser Anwendung
* Internet Standard-Browser Google Chrome für Enterprise mit Gruppenrichtlinien
* Gruppenrichtlinien für das Gerät und Software
* Eine Vereinbarung zum Verhalten und Nutzung und Tipps zur Gefahrenabwehr von Hard- und Software schließen und unterzeichnen lassen, Mitarbeiter schulen
* Ausschließlich geschäftliche Nutzung mit dem Gerät zulassen – private Nutzung muss kategorisch untersagt sein
* Mitarbeiter darf keine private Software auf dem Gerät installlieren oder nutzen
* Nutzung des Internets und E-Mail ebenso nur geschäftlich
* Bitlocker unter Windows 10 aktivieren und mit Domäne verknüpfen (Verschlüsselung von Firmendaten, die auf dem Notebook abgelegt werden). Noch besser ist es, KEINE Firmendaten lokal auf den Notebooks zu speichern, sondern diese im Rahmen des Office Abonnements über Onedrive für Business zu teilen.

Für den Betriebsstandort gilt eine erhöhte Verpflichtung, was die Firewall Technik angeht. Es muss zwingend eine Nexct-Generation Firewall mit Advanced Threat Protection (hochladen von Ahängen und Downloads in die Cloud und Probeausführung vor Zustellung), SSL-Interception, kompletter HTTPs und Mailüberwachung im Einsatz sein. Für größere Umgebungen als Cluster. Unsere Empfehlung: Barracuda Modell F280.

Die Bandbreite der Internet-Leitung muss ebenfalls angepasst werden.

Für die Kommunikation mit den Mitarbeitern empfehlen wir Microsoft Teams in Verbindung mit einem Microsoft 365 E3 bzw. Business Premium Plan. Für Audio ist ein Bluetooth Headset von Jabra (evolve 65 empfohlen)

Trifft der Unternehmer die Maßnahmen nicht, werden mobile Arbeitsplätze auch gern mal für private Dinge genutzt oder zum Home-Schooling, für Spiele und andere nicht geschäftliche Dinge.

Zum Steigern des Komforts dürfen Arbeitgeber dem Mitarbeiter einen Bildschirm, Maus und Tastatur zur Verfügung stellen, den Rest (inklusive Raum-, Heiz- und Stromkosten) trägt ein Mitarbeiter selbst.

(Post ID:1470, erstellt am: 03.12.2020 16:52:51 von: Patrick Bärenfänger)