› Jetzt vorbestellen – “.RADIO.AM” and “.RADIO.FM”
› Preisreduzierung
› Wartungsarbeiten am 2. Juni 2013
› Registry / Registrar Ankündigungen
› Neue und andauernde Promos

---

Ab dem 7. Mai 2013 um 10 Uhr UTC startet die Vorbestell-Phase für ”.RADIO.AM” und “.RADIO.FM” Domains.

Sunrise Phase:

• Sunrise Phase: 28. Mai – 28. Juni 2013
• Mehrere identische Vorbestellungen werden in einer Auktion versteigert
• Erlaubte Zeichen: Minimum 3, Maximal. 63, Buchstaben, Nummern, und  Zeichen (“-”) – Zeichen am Anfang der Domain oder unmittelbar vor der Domainendung sind nicht erlaubt
• Mögliche Laufzeit: 0 Jahre (nicht auflösend), 2 – 10 Jahre
• Die Berechnung der Sunrise-Gebühren startet am 28. Mai 2013
• Eine erfolgreiche Sunrise-Applikation garantiert eine Blockierung des Namens für einen Zeitraum von 10 Jahren. Für den Fall, dass die Domain innerhalb dieser Zeit auch genutzt werden soll, fallen die regulären jährlichen Gebühren an.

Landrush Informationen:

• Landrush Phase: 1. Juli – 31. Juli 2013
• Landrush A: Für offizielle staatlich anerkannte Radio Stationen – First Come First Served Prinzip
• Landrush B: Öffentliche Vergabe - Mehrere identische Vorbestellungen werden am Ende der Landrush-Phase in einer Auktion versteigert
• Landrush A und B laufen parallel zueinander
• Erlaubte Zeichen: Minimum 3, Maximal 63, Buchstaben, Nummern, und  Zeichen (“-”) – Zeichen am Anfang der Domain oder unmittelbar vor der Domainendung sind nicht erlaubt
• Mögliche Laufzeit: 2 – 10 Jahre
• Die Berechnung der Landrush Gebühren startet am 01. Juli 2013

Go Live Phase: Allgemeine Verfügbarkeit ab dem 3. August, 2013

• .RADIO.AM & .RADIO.FM Go Live: 3. August 2013
• Domains werden nach dem First-Come-First-Served Prinzip vergeben
• Erlaubte Zeichen: Minimum 3, Maximal 63, Buchstaben, Nummern, und  Zeichen (“-”) – Zeichen am Anfang der Domain oder unmittelbar vor der Domainendung sind nicht erlaubt
• Mögliche Laufzeit: 1 – 10 Jahre
• Die Berechnung der Go Live Gebühren startet am 29. Juli 2013

WICHTIG –  Berechnung der Vorbestellungen

TROPIAIT wird die DEPOSITS für die Sunrise-Phase ab dem 28. Mai 2013 reservieren. Am 01. Juli 2013 folgt die Reservierung der DEPOSITS für die Landsrush-Phase und am 29. Juli 2013 die der Go Live Vorbestellungen. Die so genannten DEPOSITS reservieren auf Ihrem Account lediglich die anfallenden Gebühren für den Fall, dass Ihre Vorregistrierungen erfolgreich sind. DEPOSITS werden automatisch zurück erstattet, wenn Ihre Vorregistrierungen nicht erfolgreich waren, oder bis 48 Stunden vor der Übermittlung an das Zentralregister wieder aus dem System gelöscht wurden.Bitte beachten Sie, dass Löschungen innerhalb der 48 Stunden unmittelbar vor der Übermittlung nicht erlaubt sind.

Für GoLive Anträge, welche nicht erfolgreich übermittelt wurden oder bis 48 Stunden vor der Übermittlung an das Zentralregister wieder aus dem System gelöscht wurden, erhalten Sie automatisch eine Gutschrift der Gebühren.

Go-Live Vorbestellungen per API – Schnittstelle

command = AddDomainApplication
class = RADIOAM_SUNRISE | RADIOAM_LANDRUSH | RADIOAM_GOLIVE |
            RADIOFM_SUNRISE | RADIOFM_LANDRUSH | RADIOFM_GOLIVE
domain = example.radio.fm
period = 0Y | 1Y | 2Y | 3Y | 4Y | 5Y | 6Y | 7Y | 8Y | 9Y | 10Y
ownercontact0 = (CONTACT) 
admincontact0 = (CONTACT) 
techcontact0 = (CONTACT) 
billingcontact0 = (CONTACT) 
nameserver0 = (NAMESERVER) 
nameserver1 = (NAMESERVER) 
nameserver2 = (NAMESERVER)

zusätzlich erforderlicher Parameter (nur für Landrush A Vorbestellungen):

x-ipr-pvrc = (Vor-Validierungs-Code (von der Regierung ausgestelltes 'Call Sign'))

zusätzlich erforderliche Parameter (nur für Sunrise-Vorbestellungen):

x-ipr-pvrc = (Vor-Validierungs-Code (SMD Validierung))

oder

x-ipr-name = (Trademark)
x-ipr-number = (Registrierungsnummer)
x-ipr-regdat
 e = (Registrierungsdatum YYYY-MM-DD)
x-ipr-cclocality = (Jurisdiktion (WIPO ST.3))
x-ipr-entitlement = OWNER | CO-OWNER | ASSIGNEE
x-ipr-rights-owner-name = (Rechteinhaber)
x-ipr-rights-owner-street = (Strasse)
x-ipr-rights-owner-city = (Stadt)
x-ipr-rights-owner-state = (Bundesland / Provinz)
x-ipr-rights-owner-postal-code = (Postleitzahl)
x-ipr-rights-owner-country= (ISO 3166 Länderkürzel)

Vorbestellungen per Control Panel

Übermitteln Sie Ihre Vorbestellungen ganz einfach über das ControlPanel unterhalb: Produktverwaltung > Vorbestellungen. Editieren können Sie Ihre vorbestellten Domains bis 48 Stunden vor der Übermittlung.

* Die angegebenen Preise sind Brutto-Preise und beinhalten 19% deutsche Mehrwertsteuer.

---

Preisreduzierung

Preisreduzierung für .AM Domains
Ab sofort gelten für .AM Domains neue Preise.

Preisänderung für .RO Domains
Ab sofort gelten neue Preise für die Registrierung von .RO Domains (inklusive com.ro, nom.ro und org.ro). Wie Sie sehen, wurden die Verlängerungsgebühren erheblich reduziert. Daher empfehlen wir, Ihre .RO Domains jetzt zu verlängern. Gleichzeitig haben wir auch das Transferverfahren angepasst. Transfers sind nun völlig kostenlos, sofern der Transfer erfolgreich abgeschlossen wurde.

---

Wartungsarbeiten am 2. Juni 2013

TropiaIT wird am 2. Juni 2013 Wartungsarbeiten an seinen Domain-Systemen durchführen.

Übersicht:

Start: 02. Juni 2013 03:00:00 UTC
Ende: 02. Juni 2013 03:45:00 UTC
Erwartete Ausfallzeit: < 15 Minuten

Während der Wartungsarbeiten werden unsere Systeme für voraussichtlich maximal 15 Minuten nicht verfügbar sein. Dabei werden alle Verbindungen zur API geschlossen und es können keine neuen Verbindungen aufgebaut werden. Benutzer des Control Panels sind ebenfalls von diesen Wartungsarbeiten betroffen und können keine Operationen durchführen. Dies betrifft sowohl das Produktivsystem als auch das OT&E System. Unsere Internetseite wird erreichbar bleiben.

Bitte kontaktieren Sie uns, wenn Sie Fragen zu unseren Wartungsarbeiten haben.

Vielen Dank für Ihr Verständnis.

---

Registry / Registrar Ankündigungen

Änderungen bei den Registrierungsrichtlinien für .SE Domains

Als ein Registrar für .SE (Schwedische top-level Domain – verwaltet durch die Internet Infrastructure Foundation) Registrar, möchten wir Sie über bevorstehende Änderungen der .SE Registrierungsrichtlinien informieren. Diese treten am 3. Juni 2013 in Kraft und beinhalten im wesentlichen folgende Änderungen:

Wesentliche Änderungen:

• Neue Formulierungen bei der Dispute Prozedur (Paragraph 7)
• Änderungen im Umgang mit persönlichen Daten (Paragraph 9) und deren Veröffentlichung, beispielsweise im WHOIS
• Änderungen, die dem .SE Zentralregister erlauben, Domains zu deaktivieren oder zu löschen, sofern es sich um eine Firma handelt, die nicht mehr existiert oder aufgelöst wurde, oder es sich um eine natürliche Person handelt, die verstorben ist.
• Weiterhin wurden sprachliche Anpassungen vorgenommen

Die neuen Registrierungsrichtlinien treten am 3. Juni 2013 in Kraft und gelten für alle registrierten .SE Domains. Um alle Änderungen zu sehen, besuchen Sie bitte ab dem 3. Mai 2013 die Internetseite www.iis.se/english/register.

Erinnerung: DNS.BE – Start von IDN.BE – 11. Juni 2013 – Jetzt vorregistrieren!

Ab dem 11. Juni startet DNS.be mit der Einführung von neuen IDN Sonderzeichen unterhalb der Domainendung .be. In folgender Tabelle finden Sie alle neuen Zeichen aufgelistet. Unterstützt werden alle Zeichen mit Akzent für die Sprachen, Holländisch, Französisch, Schwedisch Dänisch und Finnisch.

IDN Zeichen

ß*	à	á	â	ã	ó	ô	þ	ü	ú	ð
æ	å	ï	ç	è	õ	ö	ÿ	ý	ò	ä
œ	ê	ë	ì	í	ø	ù	î	û	ñ	é

Der Preis einer .BE IDN Domain ist gleich der einer regulären .BE Domain (ohne IDN Schreibweise). Die Vorbestellungen werden nach dem First-Come-First-Served Prinzip vergeben. Start: Montag, den 15. April 2013 um 10:00 Uhr UTC.

TropiaiT wird die DEPOSITS für die Go-Live Phase am 5. April 2013 reservieren. Diese DEPOSITS sichern auf Ihrem Account lediglich die anfallenden Gebühren für den Fall, dass alle Ihre Vorregistrierungen erfolgreich sind. DEPOSITS werden automatisch zurück erstattet, wenn Ihre Vorregistrierungen nicht erfolgreich waren, oder bis 48 Stunden vor der Übermittlung an das Zentralregister wieder aus dem System gelöscht wurden.Bitte beachten Sie, daß Löschungen innerhalb der 48 Stunden unmittelbar vor der Übermittlung nicht erlaubt sind.

Für Go-Live-Anträge, welche nicht erfolgreich übermittelt wurden oder bis 48 Stunden vor der Übermittlung an das Zentralregister wieder aus dem System gelöscht wurden, erhalten Sie automatisch eine Gutschrift der Gebühren.

Änderungen beim Zeitfenster von CentralNIC Restores
CentralNIC hat kürzlich Änderungen am Zeitfenster der Restores vorgenommen. Wir haben unser System entsprechend angepasst:

• Deletion Restorable Period: Reduziert vom 45 Tagen auf 30 Tage
• Deletion Hold Period: Steigt von 0 Tagen auf 5 Tage

.NET Preiserhöhung – 1. Juli 2013

VeriSign hat angekündigt, dass die Preise für .NET Domains am 1. Juli 2013 erhöht werden.

• .NET Preis: Erhöhung um 0.51 USD pro Domain/Jahr.

.ORG Preiserhöhung – 1. Juli 2013

PIR hat angekündigt, dass die Preise für .ORG Domains am 1. Juli 2013 erhöht werden.

• .ORG Preis: Erhöhung um 0.55 USD pro Domain/Jahr.

.NAME Preiserhöhung – 1. August 2013

VeriSign hat angekündigt, dass die Preise für .NAME Domains am 1. August 2013 erhöht werden.

• .NAME Second-Level Domains (beispiel.name): Erhöhung um 0.60 USD pro Domain/Jahr.
• .NAME Third-Level Domains (john.doe.name): Erhöhung um 0.77 USD pro Domain/Jahr
• .NAME Email Weiterleitung: Erhöhung um 1.20 USD pro Email Adresse

.BIZ Preiserhöhung – 1. September 2013

NeuStar hat angekündigt, dass die Preise für .BIZ Domains ab dem 1. September 2013 erhöht werden.

• .BIZ Preis: Erhöhung um 0.78 USD pro Domain/Jahr.

.INFO Preiserhöhung – 1. September 2013

Afilias hat angekündigt, dass die Preise für .INFO Domains ebenfalls ab dem 1. September 2013 erhöht werden.

• .INFO Preis: Erhöhung um 0.74 USD pro Domain/Jahr.

Bitte beachten Sie, dass es sich hierbei um eine Preiserhöhung seitens des Zentralregisters handelt. TropiaIT wird lediglich die Erhöhung des Zentralregisters an seine Kunden weitergeben.

---

Neue und andauernde Promos

.ASIA April – Mai 2013 SUPER PROMO – Letzter Monat!

Da die letzte TropiaIT .ASIA Promo im vergangenen Jahr so erfolgreiche war, freuen wir uns nun Ihnen mitzuteilen, dass die .ASIA Promo zurück ist! Diese Promo hilft der Registry ihren Marktanteil weiter auszubauen und zu stärken. Zu einem sehr günstigen Preis, können Sie ab dem 1. April 2013 wieder .ASIA Domains registrieren.

• Promo Start: 1. April 2013, 10:00 UTC
• Promo Ende: 31. Mai 2013, 10:00 UTC
• .ASIA Promo Preis: 5.11* (netto: 4.29) EUR/Domain im ersten Jahr
• Promo gilt für 1-Jahres Neuregistrierungen
• Gilt NICHT für Transfers und Verlängerungen
• Gilt für ASCII und IDN.ASIA Domains

.IN – 2013 Promo – NEU

• Promo Start: 1. April 2013, 10:00 UTC
• Promo Ende: 31. Dezember 2013, 10:00 UTC
• Promo Preis für .IN Domains (Second- und Third-Level .IN Domains): 8.52* (netto: 7.16) EUR pro Domain/Jahr
• Promo gilt für 1-Jahres Neuregistrierungen
• Gilt NICHT für Transfers und Verlängerungen

.EU – Promo – NEU

• Promo Start: 1. April 2013, 10:00 UTC
• Promo Ende: 31. Mai 2013, 10:00 UTC
• Promo Preis für .EU Domains: 5.36* (netto: 4.50) EUR pro Domain/im ersten Jahr
• Promo gilt für 1-Jahres Neuregistrierungen
• Gilt NICHT für Transfers und Verlängerungen

.ME – PROMO - VERLÄNGERT

• Promo Ende: 30. Juni 2013, 10:00 UTC
• Promo Preis: 11.78* (netto: 9.90) EUR pro Domain/Jahr
• Promo gilt für 1-Jahres Neuregistrierungen
• Gilt NICHT für Transfers und Verlängerungen

Die Verwendung von Domainnamen, die als Bestandteil der URL einen Namen (z.B. einer natürlichen oder juristischen Person) verwenden, kann dann ein Problem darstellen, wenn es dadurch zu einer sog. Zuordnungsverwirrung kommt. Dies ist immer dann der Fall, wenn sich aus dem Domainnamen nicht ergibt, dass hinter der Domain nicht der wirkliche Namensinhaber, sondern ein unbeteiligter Dritter (ohne Namensrecht) steht.

Kommt es zu so einer „Zuordnungsverwirrung“, hat der geschädigte Namensinhaber die Möglichkeit, den Rechtsweg zu beschreiten und die Verwendung des Namens zu untersagen. Das KG Berlin hatte sich nun in einer aktuellen Entscheidung mit der Frage auseinanderzusetzen, wie weit ein solches gerichtliches Verbot für die Untersagung eines bestimmten Namens auf einer Webseite reicht.

Was ist passiert?

Ein Verein warb unter einer bestimmten Internet-Domain damit, Hunde, die in Spanien ausgesetzt worden sind, nach Deutschland zu vermitteln. Daneben rief er auf dieser Webseite auch zu Spenden für Hundeasyle auf.

Ein Gläubiger, der unter demselben Namen agierte, wie er sich im Domainnamen befand, vollzog ebenfalls die Vermittlung von Hunden mit Hilfe von Spenden. Er sah sich durch den Internetauftritt des Vereins in seinen Namensrechten verletzt und beschritt daher den Rechtsweg. Er machte eine Zuordnungsverwirrung vor dem LG Berlin geltend, woraufhin dieses dem Verein gerichtlich untersagte, den konkreten Domainnamen für derartige Werbezwecke zu verwenden.

Der Verein benannte sich in der Folge um und verwendete die ursprüngliche Domain dazu, einen Hinweis auf die erzwungene Namensumbenennung  zu geben und einen Link zu seinem neuen Internetauftritt unter neuem Domain-Namen zu setzen.

Der in der früheren Entscheidung obsiegende Namensinhaber wurde darauf aufmerksam und wollte daraufhin das Unterlassungsurteil vollstrecken und den Verein haftbar machen, da er in dem Hinweis auf die Namens-Umbenennung sowie die Verlinkung auf den neuen Internetauftritt einen Verstoß gegen das landgerichtliche Unterlassungsgebot sah. Der Verein sah darin hingegen keinen Verstoß und wehrte sich gegen das Vollstreckungsbegehren.

Entscheidung des Gerichts

Schließlich hatte das KG Berlin Ende Februar 2013 den Rechtsstreit zu entscheiden (Beschluss vom 26.02.2013 – Az.: 5 W 16/13). Nach Ansicht der Berliner Richter hat der Verein mit seinem Internetauftritt nicht gegen das landgerichtliche Verbot zur Namensverwendung verstoßen.

Zwar wurde der Internetauftritt des Vereins unter dem untersagten Namen weiter betrieben. Allein darin sahen die Richter jedoch keinen Verstoß gegen das Namensverbot. Denn auf der nunmehr betriebenen Webseite fand sich gerade keine Werbung mehr „für die Vermittlung von Hunden nach Deutschland oder Aufrufe zu Spenden für Hundeasyle“. Gerade dies war jedoch gemäß dem Tenor der landgerichtlichen Entscheidung der Kern des ursprünglichen Verbots.

Lediglich der Hinweis auf die Umbenennung und der Link zum neuen Internetauftritt führt zu keinem Verstoß, da dies gerade nicht vom ursprünglichen Verbot erfasst ist. Dies gilt selbst dann, wenn unter der neuen Internetseite weitergehende Informationen für die Vermittlung von Hunden und einen Spendenaufruf vorliegen, da kein generelles Namensverbot vorlag, sondern sich lediglich auf eine konkrete Webseite beschränkte.

Den Kommentar im Volltext finden Sie unter http://www.kanzlei.biz/nc/news-urteile/22-04-2013-kg-berlin-5-w-16-13-kommentar.html

Rechtsanwalt Hagen Hild, Fachanwalt Gewerblicher Rechtsschutz, Fachanwalt IT-Recht  www.kanzlei.biz

Sichere Passwörter im Internet verwenden!”]Immer wieder höre ich, dass Accounts jeglicher Art “gehackt” wurden. Sei es bei verschiedenen Portalen im Internet oder bei E-Mail Postfächern. Das beste Beispiel zeigt nun wieder die Bruteforce-Attacke der letzten Tage auf die WordPress Installationen. Aus diesem Anlass will ich hier nun einmal die Angriffsmöglichkeiten aufzählen. Denn wenn ich meinen Feind (ich nenne ihn ab nun Cracker – böswilliger Hacker) kenne, kann ich mich besser vor ihm schützen.

Lokale Attacke

Dies ist die simpelste Version ein Passwort zu knacken. Der Cracker ist ein Bekannter des Angegriffenen. Er besucht ihn und sieht, was auf den Zettelchen, die am oder um den PC sind, draufsteht. Oder der Cracker schaut dem Angegriffenen beim Login über die Schulter (dies kann auch in einem Internet-Café geschehen). Man mag es kaum glauben und diese Form der Attacke als hirnrissig ansehen, aber die
meisten Hacks auf Firmennetze geschehen intern, ergo auf diese Weise!

Server-Attacke

Der Cracker nutzt eine Sicherheitslücke des Webservers, um sich Zugang zu dessen administrativen Bereichen zu beschaffen. Dies wird “exploiten” (engl. ausnutzen) genannt.

Zu bedenken wäre hierbei, dass, wenn ein Cracker den Webserver (Chatserver, Mailserver, …) knackt, er bestimmt besseres zu tun hat, als einen pisseligen Account zu hacken. Damit ist diese Form mehr als unwahrscheinlich und kann getrost ad acta geführt werden.

Trojaner-Attacke

Der Cracker versendet an den Angegriffenen eine Mail die einen Trojaner beinhaltet. Sollte dieser nun den Mailanhang blauäugig starten, nistet sich der Trojaner auf dessen System ein. Der Cracker hat nun Zugriff auf das System des Angegriffenen, sobald dieser ins Internet geht. Trojaner beinhalten meist auch so genannte Keylogger, ein kleines Unterprogramm, das Tastendrücke speichert (in denen findet sich ja dann auch das Passwort).

Social Engineering-Attacke

Menschen sind von Natur aus faul. Auch bei der Wahl Ihrer Passwörter sind sie nicht sehr kreativ, sondern wählen meist Sachen, die ihnen nahe sind. Sei es der Name des Dackels, der Freundin, oder das geliebte Auto. Der Cracker verwickelt den Angegriffenen in einen Gespräch, in dem er sich sehr interessiert zeigt (besonders wirksam, wenn man sich als das andere Geschlecht ausgibt). Natürlich freut sich der Angegriffene über soviel Interesse und taut immer weiter auf. Es geht immer mehr ins Detail. Da wird von Hund gesprochen und plötzlich kommt die Frage “Oh, das ist ja toll. Ich liebe Hunde. Wie heißt der denn?”. Die gegebenen Antworten werden aufgeschrieben, oder sogar ein ganzer Mitschnitt vom Gespräch gemacht. Die Antworten werden dann später als Passwörter ausprobiert.

Fazit: Man sollte niemals Sachen, Personen, oder was auch immer aus seiner näheren Umgebung als Passwort wählen. Oder jedenfalls nicht in der reinen Form (dazu später). Bei Gesprächen sollte man immer auf der Hut sein und nicht zu schnell zu viel erzählen von sich.

Fakemail-Attacke

Der Cracker sendet eine E-Mail mit einem gefälschten Header (Mailkopf). Dies bedeutet, die Absenderadresse der Mail ist nicht die echte. Als Beispiel bekommt der Angegriffene eine Mail von meine@adresse.de in der steht “Hallo XYZ, aufgrund einer böswilligen Hackerattacke gestern Nacht gegen unseren Server kam unsere Datenbank durcheinander. Um Deinen Account komplett wiederherzustellen benötigen wir Dein Passwort. Ich bitte Dich hiermit, diesen uns zu melden. Viel Spaß noch auf unserem Board. BlaXioN” (Mein Beispiel ist nicht sehr ausgefeilt, aber ich hoffe, Ihr versteht, was ich meine). Worauf viele nicht achten, man kann bei einer Mail eine andere “Replyadresse” einstellen. Also die Antwortadresse zu einer Mail kann eine andere sein, als die Absenderadresse. Der Cracker registriert sich zum Beispiel vorher die Mailadresse meine123@adresse.de und stellt diese als Replyadresse ein. Der Angegriffene bekommt die Mail, sieht den Absender der echt erscheint und klickt auf “Antworten”. Er übersieht dann meist, dass die Antwort nun an eine andere Adresse geht und sendet sein Passwort als Mail zurück.

Fazit: Kein echter Anbieter jeglicher Art oder Community, indem User unterwegs sind jeglicher art, würde jemals Passwörter per Mail erfragen. Niemals kann ein Datensatz durch den Versand eines Passworts gerettet werden. Wenn auf Antworten geklickt wird, genau auf die Adresse achten, an die geantwortet wird. Ist sie eine andere, solltet Ihr hellhörig werden. Außerdem würde ein echter Crash auch bestimmt auf den Pages des Anbieters groß gemeldet werden (muss aber nicht immer sein).

Dictionary-Attacke

Wie oben schon erwähnt, wählen Menschen meist Passwörter, die sie sich leicht merken können. Im Netz sind so genannte Dictionaries (Wörterbücher) zu finden, in denen ein Großteil der häufigsten Passwörter einer Sprache drinsteht. Es gibt sogar Dictionaries für Arabisch oder Suaheli (kein Scherz). Diese Dateien sind reine Textdateien, in denen die Wörter einfach untereinander stehen und sind meist mehrere Megabyte groß. Ihr könnt Euch demnach ausrechnen, wieviele tausend Wörter oder Kombinationen sie beinhalten. Der Cracker nimmt ein kleines Programm, was die Wörter in dem ausgewählten Dictionary einzeln ausliest und als Passwort probiert. Das Programm arbeitet selbstständig alle Möglichkeiten in der Datei durch und meldet beim erfolgreichen Login das Passwort.

Fazit: Keine Wörter benutzen, die in Wörterbüchern vorkommen oder zu simple Kombinationen (1234, abc123, sweetheart, angel, …).

Bruteforce-Attacke

Sollte die Dictionary-Attacke zu keinem Erfolg geführt haben, kann der Cracker auch zu einer so genannten Bruteforce-Attacke (engl. rohe Gewalt) greifen. Bei dieser Angriffsform testet ein Programm einfach alle Buchstaben-Zahlen-Kombinationen aus, die möglich sind. Es fängt bei einer Stelle an und ”zählt” einfach hoch. Damit dies schneller vonstatten geht, versuchen solche Programme (wie auch meist der Dictionary-Attacker) gleich 10-50 Mal auf einmal einzuloggen. Das beschleunigt den Ablauf. Wenn eine Kombination dann die richtige ist, wird sie gemeldet.

Fazit: Die Anzahl der Möglichkeiten ist leicht zu errechnen. Wir gehen davon aus, dass der Beispielsserver a-z, A-Z und 0-9 als Eingabe beim Passwort akzeptiert. Das würden 62 verschiedene Möglichkeiten für ein einstelliges Passwort ergeben. Bei zwei Stellen wäre es 62², bei drei Stellen schon 62³ usw. Es wird meist vorgeschlagen, dass das Passwort nicht weniger als 8 Stellen haben sollte. Je länger, desto sicherer!

Sicherheitsabfrage

Einige Anbieter geben Ihren Kunden die Möglichkeit, beim Vergessen Ihres Passworts, mittels beantworten einer Sicherheitsfrage einzuloggen. Hier sind viele Leute unachtsam und wählen eine sehr einfach erratbare Sicherheitsfrage (“Was ist meine Lieblingsfarbe?” “Wie heißt meine Mutter?” “Welche Automarke fahre ich?”). Der Cracker geht demnach zur Sicherheitsfrage und versucht diese zu erraten.

Fazit: Das beste Passwort ist wertlos, wenn die Sicherheitsfrage binnen einiger Versuche herausgefunden werden kann.

1 Passwort für alles

Dies ist keine richtige Attacke, sondern beruht eher auf der Gemütlichkeit vieler Menschen. Wer will sich schon zich verschiedene Passwörter merken? Also wird sich ein Passwort ausgedacht und dieses überall, wo man sich anmeldet, verwendet. Eines solltet Ihr immer bedenken, der Admin einer Site kann Eure Passwörter einsehen (ist ja auch klar, denn es ist seine Datenbank). Bei großen Websites von Gesellschaften ergeben sich dadurch wohl kaum Probleme. Aber was geschieht, wenn derjenige sich nun bei einem kleinen Forum eines Users anmeldet, oder einem kleinen privaten Chat und dort auch dasselbe Passwort benutzt? Der Admin dort ist kein Angestellter einer großen Gesellschaft, sondern einfach nur ein Freak. Doch Admin ist Admin. Er kann die Passwörter der User seiner Site natürlich einsehen, sofern diese nicht verschlüsselt werden.

Fazit: Ich bin dazu übergegangen, ein Passwort für Websites zu nutzen, wo mir Sicherheit nicht so wichtig ist und andere Passwörter für Sites, bei denen Sicherheit an erster Stelle steht (zum Beispiel E-Mail).

Resümee:

Wenn Ihr nun das obige durchgegangen seid und versteht, erkennt Ihr auch, den Weg, den man einschlagen muss, um eine Sicherheit für seinen Account bekommt. Ich will noch einmal die Punkte hier aufzählen:

1. Keine Zettelchen mit Passwörtern an oder um den PC herumliegen lassen.
2. Bei Eingabe des Passwortes darauf achten, dass niemand zusieht.
3. Mailanhänge nicht blauäugig starten. Lieber immer erst mit Virenscanner prüfen!
4. Keine Passwörter nutzen von Sachen oder Personen des näheren Umkreises.
5. Bei Gesprächen nicht zuviel des guten erzählen. *g*
6. Mails auf Echtheit prüfen und niemals Passwörter per Mail senden.
7. Keine Passwörter wählen, die in Wörterbüchern drinstehen können.
8. Keine kurzen Passwörter wählen.
9. Die Sicherheitsfrage nicht simpel gestalten.
10. Nicht bloß ein Passwort für alles haben, sondern differenzieren.

Zu guter letzt gebe ich Euch noch einige Tipps, wie ich sichere Passwörter genieren würde. Wir nehmen dazu einen langen Satz “Schneewittchen geht zu den 7 Zwergen auf den 7 Bergen.” Nun picken wir einfach nur die Anfangsbuchstaben der einzelnen Wörter heraus (Zahlen bleiben Zahlen). Dies ergibt dann “Sgzd7Zad7B”. Für Menschen, die unsere Eselsbrücke nicht kennen, ist unser Passwort nun ein Buchstaben-/Zahlen-Wirrwarr. Für uns jedoch leicht zu merken. Netterweise sind hier nun auch Zahlen im Passwort enthalten und auch Großbuchstaben (viele schreiben Ihr Passwort einfach nur in Kleinbuchstaben).

Ein anderer Weg zum Beispiel wäre es, in einem Satz (oder Wort) die Vokale (oder Konsonanten) durch Zahlen zu ersetzen. Beispiel: Aus “IchliebemeinAuto” wird “1chl23b4m56n78t9″ (Ob wir nun nur eine Ziffer nehmen, oder hochzählen/herunterzählen, bleibt uns selber überlassen). Auch wäre es denkbar, einfach Wörter umzudrehen. Aus “Automobile” wird “elibomotuA”. Dies kann auch in einem Satz geschehen.

Mit solch einfachen Tricks erzeugen wir ein schwer knackbares Passwort, das wir uns aber recht simpel merken können. Gar nicht so schwer, wenn man den Weg kennt, oder? Ich hoffe ich konnte damit einigen helfen, sichere Passwörter zu nutzen.

Sehr geehrte Kunden,

Uns wurde berichtet, das derzeit verstärkt Angriffe gegen WordPress Installationen durchgeführt werden.

Was bedeutet dies für Sie als Kunde mit WordPress?
Bei diesen Angriffen handelt es sich dabei um automatisierte Brute Force Attacken gegen die Login-Seiten von WordPress gefahren. Das Ziel ist: Die Übernahme der gehosteten WordPress Installation.

Bei einem Brute Force Angriff versucht der Angreifer mittels automatisierten Scripten gängige Login-Kombinationen aus Benutzernamen und Passwort mit der Hoffnung das aus den vielen Versuchen schon ein richtiger Treffer dabei sein wird. Diese vielen Login-Versuche bergen damit zwei Risiken: Erstens besteht die Gefahr, dass doch eine richtige Benutzernamen / Passwort Kombination dabei ist. Zweitens erzeugen die vielen Versuche eine hohe Systemlast, die gerade Shared Hosting Systeme schon unter Druck bringen kann.

Wie kann mich dagegen wehren?
Sie sollten auf Ihrer WordPress Installation ein .htaccess (sog. Passwortschutz) hinterlegen. Damit die Angreifer auf Ihren Admin-Bereich keinen Zugriff erst bekommen können. Auch sind Regelmäßige Passwort Änderungen auch ein Vorteil, gerade dann wenn man zu kurze und einfache Passwort Strukturen verwendet wie z.b. Namen, Orte oder Geburtsdaten.

Was machen Sie als Provider dagegen?
Wir haben uns jetzt die Aufgabe gemacht, das wir entsprechend alle unsere Server (ausgenommen Rootserver, V-Server und Colocation Kunden) direkt nach WordPress Installationen suchen und kontrollieren ob Sie ein .htaccess auf Ihren “wp-admin” Ordner besitzen. Ist dies nicht der Fall, werden wir auf den Ordner die Rechte auf 0 setzen um die Sicherheit Ihrer Daten zu gewährleisten. Zeit gleich dieses Artikels geht morgen auch eine Information an alle Kunden per E-Mail raus, damit alle Kunden darüber Informiert sind. Die Ordner Rechte von 0 kann jeder Kunde der hiermit betroffen ist, seine Rechte mit einen FTP Programm wieder direkt auf 755 / 0755 umstellen um wieder Zugriff auf den Ordner zu bekommen. Sollten Sie dies tun, vergessen Sie bitte nicht ein .htaccess zu hinterlegen.

Die Information haben wir soeben von der WebHostList.de erfahren.

Wir bedanken uns ganz herzlichst und wünschen Ihnen weiterhin viel Erfolg mit Ihren Produkt.

Sehr geehrte Kunde,

Aufgrund von Performance Problemen werden wir heute Nacht eine Ungeplante Wartung in Angriff nehmen um die Performance wieder vollständig herstellen zu können. Aktuell müssen wir den RAID-VERBUND komplett neu Synchronisieren, so das wir das eben heute Nacht mit voller Leistung durchziehen werden. Daher wird es heute Nacht dazu kommen, das wir kurz alles Offline nehmen werden.

Wir bitten diese Unannehmlichkeiten zu entschuldigen.

Mit freundlichen Grüßen,
Cliff Dölling