Ab dieser Folge geht es hier um die gefährlichsten Schwachstellen in den
Geräten des IoT. Dabei orientiere ich mich an den
Top IoT Vulnerabilities
von OWASP. Auf Platz 1 steht dort das
"Insecure Web Interface".
Und in der Tat hat man den Eindruck, die Entwickler der Weboberflächen
für die IoT-Geräte hätten es darauf angelegt, alle
Schwachstellen, die man im Web vor 10 oder 15 Jahren gemacht hat, in ihren
Oberflächen zu wiederholen.
Ein der größten Gefahren im IoT geht von Default-Zugangsdaten
aus: Werden die bei der Installation nicht auf individuelle Werte
geändert, kann Schadsoftware mit den i.A. bekannten
Default-Zugangsdaten auf das IoT-Gerät zugreifen und es z.B. in ein
Botnet integrieren. Und das gilt für alle Zugangsdaten, egal ob
Telnet, Fernwartung, Weboberfläche, ... - einem Angreifer ist jeder
Weg Recht, Zugriff auf ein Gerät zu bekommen.
Seit dem 20. September gab es mehrere DDoS-Angriffe, die von erst einem,
dann mehreren Botnets aus IoT-Geräten ausgingen. Und deren Ziele und
Auswirkungen sich immer weiter steigerten.
Im
PHP Magazin 1.2017
ist ein Überblick über Angriffe auf SSL/TLS erschienen.
Dass SSL nicht mehr ausreichend sicher ist und durch TLS in einer
möglichst hohen Version ersetzt werden sollte ist seit längerem
bekannt. Aber selbst dann sind Angriffe auf HTTPS möglich, und das
ganz ohne TLS-Schwachstelle. Und zwar über das Web Proxy
Auto-Discovery Protokoll (WPAD, auch "autoproxy" genannt) und die davon
verwendeten Proxy Auto-Config (PAC) Dateien.
Am
November-Patchday
hat Microsoft wieder mehrere 0-Day-Schwachstellen behoben. Darunter auch
eine, die bereits ausgenutzt wird, um Code einzuschleusen.
Damit steht es beim "Wettstreit" um die meisten 0-Day-Exploits zwischen
Adobe und dem Rest der Welt wieder unentschieden:
Dieses Jahr
wurden 10 0-Day-Exploits entdeckt, 5 davon gehen auf das Konto des Flash
Players. Adobe hat zwar auch ein Security Bulletin für den
Flash Player
veröffentlicht, aber keine 0-Days zu melden. Die aktuelle
0-Day-Schwachstelle wurde ja bereits
Ende Oktober
außer der Reihe behoben.
Angriffe auf kabellose Tastaturen und Mäuse
habe ich bereits vorgestellt, nun gibt es einen Nachschlag. Gerhard
Klostermeier und Matthias Deeg von Syss haben sich ebenfalls der
kabellosen Tastaturen und Mäuse angenommen und dabei
festgestellt,
dass zwar die untersuchten Tastaturen ihre Kommunikation verschlüsseln und
authentifizieren, nicht aber die Mäuse. Die beiden Forscher haben ihre
Ergebnisse bereits auf einigen Sicherheitskonferenzen vorgestellt, so z.B.
auf der
Ruxcon 2016
(Präsentation als
PDF),
weitere folgen.