2014 wurden mit
BadUSB
und der angeblich beim
Laden über USB
den Strom spendenden Rechner mit Schadsoftware infizierenden E-Zigarette
zwei neue kritische Angriffe auf/über USB gemeldet. Das schreit nach
einem Überblick über die bisher bekannten Angriffe und
Schwachstellen. Bitte sehr, hier ist er:
Hinweis:
Ich habe den Artikel im Laufe des Jahres 2015 ab und zu aktualisiert.
Ende des Hinweis
Der
Poodle-Angriff
auf SSL/TLS besteht bekanntlich aus zwei Schritten: Zuerst wird ein
Downgrade auf SSL 3.0 erzwungen, dann eine Schwachstelle im Protokoll
für einen Padding-Oracle-Angriff ausgenutzt. Weshalb der Angriff ja
auch "Padding Oracle On Downgraded Legacy Encryption" oder eben
kurz Poodle genannt wird. Die Schwachstelle konnte ganz einfach behoben
werden, indem das sowieso veraltete SSLv3 nicht mehr verwendet wurde. Mit
TLS 1.x stehen ja sichere Alternativen zur Verfügung. Dachte man
zumindest.
Adam Langley hat nun
herausgefunden,
dass auch manche TLS-Implementierungen für den Padding-Oracle-Angriff
anfällig sind. Besonders unangenehm dabei: Unter anderem sind die
Load-Balancer der Hersteller F5 und A10 Networks betroffen, und die werden
von etlichen großen Websites verwendet. Laut Ivan Ristic sind rund 10%
aller Server von der neuen Schwachstelle
betroffen.
In dieser Folge geht es ein (vorerst) letztes Mal um die Vorträge
zu SCADA-Systemen und Industriesteuerungen auf den Sicherheitskonferenzen
"Black Hat" und "Hack in the Box".
Den Vortrag von Lucas Apa und Carlos Mario Penagos auf der
Black Hat USA 2013 über Schwachstellen in und Angriffen auf die
drahtlose Kommunikation der Industriesteuerungen habe
ichdannmehrereFolgengewidmet,
da ich auf diese Themen später noch mal zurückkommen werde.
Danach ging es dann um den letzten Vortrag zum Thema auf der
Black Hat USA 2013
und dem einzigen Vortrag von der
Black Hat Asia 2014.
Die nächste Konferenz in 2014 war die
"Hack in the Box" Amsterdam,
und dann kam schon die vorerst letzte Konferenz in dieser Reihe an
dieselbe, die Black Hat USA 2014, um die es auch in dieser Folge noch
einmal geht.