Skip to content

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 2

Bei der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP sind wir beim Punkt 2 angekommen: "Insufficient Authentication/Authorization". Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben, jetzt gucken wir doch mal, wie man die Authentifizierung angreifen kann.

Authentifizierung: Schwachstellen und Angriffe

Die meisten Schwachstellen in bzw. Angriffe auf die Authentifizierung betreffen alle in der vorherigen Folge genannten Mechanismen. Im Folgenden werde ich sie am Beispiel von Benutzername und Passwort, die über HTML-Formulare eingegeben werden, beschreiben. Das gleiche gilt natürlich auch für Benutzername und Passwort, die in die Dialogbox der HTTP-Basic-Authentication eingegeben werden. Oder wo auch immer. Auf die Unterschiede bei den anderen Mechanismen weise ich ggf. hin.

Und weil die Schwachstellen und Angriffe nicht nur die Weboberflächen der IoT-Geräte betreffen sondern alle Webanwendungen, werde ich im Folgenden auch immer allgemein von Webanwendungen schreiben und ggf. auf Besonderheiten im IoT hinweisen. Dann kann ich diesen Text nämlich auch als Link-Ziel verwenden, wenn es mal wieder Angriffe auf unzureichend gesicherte Webanwendungen gibt.

Designfehler

Schwachstellen auf Grund von Designfehlern betreffen die Authentifizierung häufiger als alle anderen Bereiche der Webanwendungen. Selbst im einfachsten Fall "HTML-Formular für Benutzername und Passwort" gibt es eine ganze Reihe von Möglichkeiten, Fehler zu machen.

Default-Zugangsdaten

Bei der Installation bzw. Konfiguration nicht geänderte Default-Zugangsdaten sind schlecht. Noch schlechter sind gar nicht änderbare Default-Zugangsdaten. Und von denen sind die Weboberflächen der IoT-Geräte sehr viel häufiger betroffen als Webanwendungen. Dazu kommen dann noch nicht änderbare Default-Zugangsdaten für andere Zugänge zum Gerät wie SSH oder Telnet.

Wie schlimm es da aussieht, habe ich ja schon am Beispiel der SOHO-Router gezeigt. Bei anderen Geräte wie z.B. Kameras sieht es auch nicht viel besser aus. Schon Default-Zugangsdaten, deren Änderung nicht im Rahmen der Konfiguration erzwungen wird, sind quasi eine Einladung an alle Cyberkriminellen der Welt, mit dem betroffenen Gerät zu tun und zu lassen was sie wollen. Aber wenigstens haben aufmerksame Benutzer die Möglichkeit, die Zugangsdaten zu ändern. Dass viele es nicht machen, steht auf einem anderen Blatt. Ist eine Änderung nicht möglich, kann man das Gerät eigentlich nur noch entsorgen. Es sei denn, man möchte, dass das Gerät unbedingt Mitglied eines IoT-Botnets wird.

Die Korrektur dieser Schwachstelle ist für die Entwickler ganz einfach: Erstens müssen alle Default-Zugangsdaten änderbar sein und zweitens muss bei der Installation der Webanwendung bzw. der ersten Inbetriebnahme und Konfiguration des IoT-Geräts das Setzen eines sicheren Passworts erzwungen werden.

Benutzer haben es da schwerer: Sie sind darauf angewiesen, dass sich die Default-Zugangsdaten ändern lassen. Funktioniert das, ist das wunderbar. Sind die Default-Zugangsdaten aber nicht änderbar, kann das Gerät eigentlich nur noch entsorgt werden. Oder reklamiert. Auf keinen Fall sollte man es mit dem Internet verbinden. Das Problem dabei: Manchmal lässt sich das Passwort zwar ändern, die Default-Zugangsdaten funktionieren aber trotzdem noch. Oder es gibt zusätzlich zu den dokumentierten weitere undokumentierte (aber im Internet meist leicht zu findende) Zugangsdaten.

Schlechte Passwörter

Viele Webanwendungen stellen gar keine oder nur unzureichende Anforderungen an die verwendeten Passwörter. Das führt dazu, das Passwörter oft viel zu kurz sind (wenn sie nicht sogar komplett leer gelassen werden können), normale Wörter oder der Benutzername als Passwort verwendet werden oder auch wie schon erwähnt ein vorgegebener Default-Wert nicht ersetzt wird. Benutzern ist die Sicherheit der Passwörter meist ziemlich egal, denen ist es wichtiger, sie sich leicht merken zu können. Wenn die Webanwendung keine sicheren Passwörter erzwingt, wird ein großer Teil der Benutzer keine wählen und dadurch ihre Benutzerkonten angreifbar machen.

Dabei ist die Durchsetzung sicherer Passwörter die einzige Sicherheitsmaßnahme, die auf dem Client stattfinden kann. Jeder Entwickler eine Webanwendung oder IoT-Weboberfläche sollte also entsprechende Regeln aufstellen und ihre Einhaltung erzwingen.

Als Benutzer sollten Sie bei der Installation und auch bei jeder späteren Änderung der Zugangsdaten ein sicheres Passwort wählen.

In der nächsten Folge geht es um weitere Schwachstellen in und Angriffe auf die Authentifizierung.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 3

Vorschau anzeigen
Bei der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP sind wir beim Punkt 2 angekommen: "Insufficient Authentication/Authorization". Die verschiedenen Mög

Dipl.-Inform. Carsten Eilers am : Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 4

Vorschau anzeigen
Bei der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP sind wir beim Punkt 2 angekommen: "Insufficient Authentication/Authorization". Die verschiedenen Mög

Dipl.-Inform. Carsten Eilers am : Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 5

Vorschau anzeigen
Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization". Die ve

Dipl.-Inform. Carsten Eilers am : Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 6

Vorschau anzeigen
Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization". Die ve

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

Dipl.-Inform. Carsten Eilers am : Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 14

Vorschau anzeigen
Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization". Die ve

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

Dipl.-Inform. Carsten Eilers am : Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 18

Vorschau anzeigen
Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization". Die ve

Dipl.-Inform. Carsten Eilers am : Die IoT Top 10, #6: Unsichere Cloud-Interfaces

Vorschau anzeigen
Bei der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP sind wir bei Punkt 6 angekommen: "Insecure Cloud Interface". Oder auf deutsch: Unsichere Cloud-Int

Dipl.-Inform. Carsten Eilers am : Die IoT Top 10, #7: Mobile Cloud-Interfaces

Vorschau anzeigen
Bei der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP sind wir bei Punkt 7 angekommen: "Insecure Mobile Interface". Oder auf deutsch: Unsichere Mobile-I