Skip to content

Die IoT Top 10, #6: Unsichere Cloud-Interfaces

Bei der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP sind wir bei Punkt 6 angekommen: "Insecure Cloud Interface". Oder auf deutsch:

Unsichere Cloud-Interfaces

Viele IoT-Geräte lassen sich erst dann wirklich nutzen, wenn sie mit einem zentralen Server kommunizieren können. Server sind zur Zeit etwas aus der Mode geraten, deshalb nennt man die jetzt "Cloud". Aber wie schon bei Raider und Twix gilt: Außer dem Namen ändert sich nichts. Denn egal ob Server oder "Cloud", es muss ein Interface geben, über das das IoT-Gerät mit seinem Gegenüber kommuniziert. Unsicher wird das Ganze, wenn z.B. die Authentifizierung unsicher ist oder die Übertragung vertraulicher Daten unverschlüsselt erfolgt. Dementsprechend überschneidet sich der aktuelle Punkt 6 der IoT-Top-10 zum Teil mit den Punkten

Unsichere Cloud-Interfaces erkennen

Im Grunde muss auf alle oben schon aufgeführten Schwachstellen geachtet werden. OWASP listet in der Beschreibung von Punkt 6 die folgenden Punkte auf, auf die geachtet werden muss:

  • Prüfen Sie, ob der Default-Benutzername und das Default-Passwort beim ersten Einrichten des Geräts geändert werden können (was ich für das Default-Passwort zu einem "müssen!" verschärfen würde).
  • Prüfen Sie, ob ein bestimmter Benutzeraccount nach 3-5 fehlgeschlagenen Login-Versuchen blockiert wird (was ich für gefährlich halte, denn so lässt sich wunderbar ein DoS auslösen, wenn es keine Möglichkeit gibt, die Sperre wieder aufzuheben - der Angreifer muss dann nur alle Benutzeraccounts der Reihe nach lahm legen und die Benutzer sind draußen).
  • Prüfen Sie, ob gültige Benutzernamen z.B. über die Passwort-Recovery-Funktion oder neue Benutzer-Seiten ermittelt werden können.
  • Prüfen Sie, ob es in Cloud-basierten Webinterfaces XSS-, CSRF- oder SQL-Injection-Schwachstellen gibt.
  • Prüfen Sie alle Cloud-Interfaces (sowohl das API als auch Cloud-basierte Weboberflächen) auf mögliche Schwachstellen.

Anforderungen an ein sicheres Cloud-Interface

OWASP listet die folgenden Punkte auf, auf die geachtet werden muss, damit ein Cloud-Interface sicher ist:

  • Default-Passwörter und idealerweise auch Default-Benutzernamen können beim ersten Einrichten geändert werden (wobei ich für die Passwörter wieder ein "müssen!" verlangen würde).
  • Gültige Benutzernamen können nicht über Funktionen wie den Passwort-Reset etc. ermittelt werden.
  • Nach 3-5 fehlgeschlagenen Login-Versuche sollte das betreffende Benutzerkonto gesperrt werden (aber passen Sie auf, dass Sie sich dadurch keine DoS-Schwachstelle einhandeln, s.o.).
  • Die Cloud-basierte Weboberfläche darf keine Schwachstellen wie XSS, SQL Injection oder CSRF enthalten.
  • Credentials dürfen nicht als Klartext übertragen oder anderweitig ausgespäht werden können.
  • Wenn möglich, sollte eine Zwei-Faktor-Authentifizierung verwendet werden.
  • Abnormale Requests sollten erkannt und protokolliert oder blockiert werden.

Soviel zum "Insecure Cloud Interface". In der nächsten Folge geht es um Punkt 7 der IoT-Top-10: "Insecure Mobile Interface" also ein unsicheres Mobile-Interface.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Die IoT Top 10, #7: Mobile Cloud-Interfaces

Vorschau anzeigen
Bei der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP sind wir bei Punkt 7 angekommen: "Insecure Mobile Interface". Oder auf deutsch: Unsichere Mobile-I