2014 wurden mit BadUSB und der angeblich beim Laden über USB den Strom spendenden Rechner mit Schadsoftware infizierenden E-Zigarette zwei neue kritische Angriffe auf/über USB gemeldet. Das schreit nach einem Überblick über die bisher bekannten Angriffe und Schwachstellen. Bitte sehr, hier ist er:
Hinweis:
Ich habe den Artikel im Laufe des Jahres 2015 ab und zu aktualisiert.
Ende des Hinweis
Der Poodle-Angriff auf SSL/TLS besteht bekanntlich aus zwei Schritten: Zuerst wird ein Downgrade auf SSL 3.0 erzwungen, dann eine Schwachstelle im Protokoll für einen Padding-Oracle-Angriff ausgenutzt. Weshalb der Angriff ja auch "Padding Oracle On Downgraded Legacy Encryption" oder eben kurz Poodle genannt wird. Die Schwachstelle konnte ganz einfach behoben werden, indem das sowieso veraltete SSLv3 nicht mehr verwendet wurde. Mit TLS 1.x stehen ja sichere Alternativen zur Verfügung. Dachte man zumindest.
Adam Langley hat nun herausgefunden, dass auch manche TLS-Implementierungen für den Padding-Oracle-Angriff anfällig sind. Besonders unangenehm dabei: Unter anderem sind die Load-Balancer der Hersteller F5 und A10 Networks betroffen, und die werden von etlichen großen Websites verwendet. Laut Ivan Ristic sind rund 10% aller Server von der neuen Schwachstelle betroffen.
In dieser Folge geht es ein (vorerst) letztes Mal um die Vorträge zu SCADA-Systemen und Industriesteuerungen auf den Sicherheitskonferenzen "Black Hat" und "Hack in the Box".
Den Anfang machten die Vorträge von den Konferenzen in den Jahren 2010/2011, 2011, 2012, im März, April und August 2013.
Den Vortrag von Lucas Apa und Carlos Mario Penagos auf der Black Hat USA 2013 über Schwachstellen in und Angriffen auf die drahtlose Kommunikation der Industriesteuerungen habe ich dann mehrere Folgen gewidmet, da ich auf diese Themen später noch mal zurückkommen werde.
Danach ging es dann um den letzten Vortrag zum Thema auf der Black Hat USA 2013 und dem einzigen Vortrag von der Black Hat Asia 2014. Die nächste Konferenz in 2014 war die "Hack in the Box" Amsterdam, und dann kam schon die vorerst letzte Konferenz in dieser Reihe an dieselbe, die Black Hat USA 2014, um die es auch in dieser Folge noch einmal geht.