Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 2
Bei der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP sind wir beim Punkt 2 angekommen: "Insufficient Authentication/Authorization". Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben, jetzt gucken wir doch mal, wie man die Authentifizierung angreifen kann.
Authentifizierung: Schwachstellen und Angriffe
Die meisten Schwachstellen in bzw. Angriffe auf die Authentifizierung betreffen alle in der vorherigen Folge genannten Mechanismen. Im Folgenden werde ich sie am Beispiel von Benutzername und Passwort, die über HTML-Formulare eingegeben werden, beschreiben. Das gleiche gilt natürlich auch für Benutzername und Passwort, die in die Dialogbox der HTTP-Basic-Authentication eingegeben werden. Oder wo auch immer. Auf die Unterschiede bei den anderen Mechanismen weise ich ggf. hin.
Und weil die Schwachstellen und Angriffe nicht nur die Weboberflächen der IoT-Geräte betreffen sondern alle Webanwendungen, werde ich im Folgenden auch immer allgemein von Webanwendungen schreiben und ggf. auf Besonderheiten im IoT hinweisen. Dann kann ich diesen Text nämlich auch als Link-Ziel verwenden, wenn es mal wieder Angriffe auf unzureichend gesicherte Webanwendungen gibt.
Designfehler
Schwachstellen auf Grund von Designfehlern betreffen die Authentifizierung häufiger als alle anderen Bereiche der Webanwendungen. Selbst im einfachsten Fall "HTML-Formular für Benutzername und Passwort" gibt es eine ganze Reihe von Möglichkeiten, Fehler zu machen.
Default-Zugangsdaten
Bei der Installation bzw. Konfiguration nicht geänderte Default-Zugangsdaten sind schlecht. Noch schlechter sind gar nicht änderbare Default-Zugangsdaten. Und von denen sind die Weboberflächen der IoT-Geräte sehr viel häufiger betroffen als Webanwendungen. Dazu kommen dann noch nicht änderbare Default-Zugangsdaten für andere Zugänge zum Gerät wie SSH oder Telnet.
Wie schlimm es da aussieht, habe ich ja schon am Beispiel der SOHO-Router gezeigt. Bei anderen Geräte wie z.B. Kameras sieht es auch nicht viel besser aus. Schon Default-Zugangsdaten, deren Änderung nicht im Rahmen der Konfiguration erzwungen wird, sind quasi eine Einladung an alle Cyberkriminellen der Welt, mit dem betroffenen Gerät zu tun und zu lassen was sie wollen. Aber wenigstens haben aufmerksame Benutzer die Möglichkeit, die Zugangsdaten zu ändern. Dass viele es nicht machen, steht auf einem anderen Blatt. Ist eine Änderung nicht möglich, kann man das Gerät eigentlich nur noch entsorgen. Es sei denn, man möchte, dass das Gerät unbedingt Mitglied eines IoT-Botnets wird.
Die Korrektur dieser Schwachstelle ist für die Entwickler ganz einfach: Erstens müssen alle Default-Zugangsdaten änderbar sein und zweitens muss bei der Installation der Webanwendung bzw. der ersten Inbetriebnahme und Konfiguration des IoT-Geräts das Setzen eines sicheren Passworts erzwungen werden.
Benutzer haben es da schwerer: Sie sind darauf angewiesen, dass sich die Default-Zugangsdaten ändern lassen. Funktioniert das, ist das wunderbar. Sind die Default-Zugangsdaten aber nicht änderbar, kann das Gerät eigentlich nur noch entsorgt werden. Oder reklamiert. Auf keinen Fall sollte man es mit dem Internet verbinden. Das Problem dabei: Manchmal lässt sich das Passwort zwar ändern, die Default-Zugangsdaten funktionieren aber trotzdem noch. Oder es gibt zusätzlich zu den dokumentierten weitere undokumentierte (aber im Internet meist leicht zu findende) Zugangsdaten.
Schlechte Passwörter
Viele Webanwendungen stellen gar keine oder nur unzureichende Anforderungen an die verwendeten Passwörter. Das führt dazu, das Passwörter oft viel zu kurz sind (wenn sie nicht sogar komplett leer gelassen werden können), normale Wörter oder der Benutzername als Passwort verwendet werden oder auch wie schon erwähnt ein vorgegebener Default-Wert nicht ersetzt wird. Benutzern ist die Sicherheit der Passwörter meist ziemlich egal, denen ist es wichtiger, sie sich leicht merken zu können. Wenn die Webanwendung keine sicheren Passwörter erzwingt, wird ein großer Teil der Benutzer keine wählen und dadurch ihre Benutzerkonten angreifbar machen.
Dabei ist die Durchsetzung sicherer Passwörter die einzige Sicherheitsmaßnahme, die auf dem Client stattfinden kann. Jeder Entwickler eine Webanwendung oder IoT-Weboberfläche sollte also entsprechende Regeln aufstellen und ihre Einhaltung erzwingen.
Als Benutzer sollten Sie bei der Installation und auch bei jeder späteren Änderung der Zugangsdaten ein sicheres Passwort wählen.
In der nächsten Folge geht es um weitere Schwachstellen in und Angriffe auf die Authentifizierung.
Trackbacks
Dipl.-Inform. Carsten Eilers am : Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 3
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 4
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 5
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 6
Vorschau anzeigen
www.ceilers-news.de am : PingBack
Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.www.ceilers-news.de am : PingBack
Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.www.ceilers-news.de am : PingBack
Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.www.ceilers-news.de am : PingBack
Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.www.ceilers-news.de am : PingBack
Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.www.ceilers-news.de am : PingBack
Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.www.ceilers-news.de am : PingBack
Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.www.ceilers-news.de am : PingBack
Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.Dipl.-Inform. Carsten Eilers am : Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 14
Vorschau anzeigen
www.ceilers-news.de am : PingBack
Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.www.ceilers-news.de am : PingBack
Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.www.ceilers-news.de am : PingBack
Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.www.ceilers-news.de am : PingBack
Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.Dipl.-Inform. Carsten Eilers am : Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 18
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Die IoT Top 10, #6: Unsichere Cloud-Interfaces
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Die IoT Top 10, #7: Mobile Cloud-Interfaces
Vorschau anzeigen