Bei der Beschreibung der gefährlichsten Schwachstellen in den Geräten
des IoT gemäß den
Top IoT Vulnerabilities
von OWASP sind wir beim Punkt 2 angekommen:
"Insufficient Authentication/Authorization".
Die verschiedenen Möglichkeiten zur
Authentifizierung
habe ich bereits beschrieben. Ebenso
erste Angriffe:
Default-Zugangsdaten und schlechte (= unsichere) Passwörter.
Als nächstes kommt:
Der digitale Vorschlaghammer - Brute-Force- und Wörterbuch-Angriffe
Bei der Beschreibung der gefährlichsten Schwachstellen in den Geräten
des IoT gemäß den
Top IoT Vulnerabilities
von OWASP sind wir beim Punkt 2 angekommen:
"Insufficient Authentication/Authorization".
Die verschiedenen Möglichkeiten zur
Authentifizierung
habe ich bereits beschrieben, jetzt gucken wir doch mal, wie man die
Authentifizierung angreifen kann.
Bei der Authentifizierung wird geprüft, ob der Benutzer (oder auch ein
Server, Client, ...) der ist, der er zu sein vorgibt. Gibt es dabei eine
Schwachstelle, kann sich ein Angreifer als jemand anderes ausgeben. Nach
der Authentifizierung gibt es teilweise noch eine Autorisierung: Darf der
Benutzer das, was er machen möchte, überhaupt? Eine
Schwachstelle dabei führt dazu, dass der Benutzer etwas tun kann, das
er eigentlich gar nicht tun darf. Z.B. als normaler, authentifizierter
Benutzer eine eigentlich nur einem authentifizierten Administrator erlaubte
Funktion nutzen. Oder auch Funktionen ohne eigentlich nötige
Authentifizierung nutzen.
Die Beschreibung der gefährlichsten Schwachstellen in den Geräten
des IoT gemäß den
Top IoT Vulnerabilities
von OWASP geht weiter. Wir sind zwar immer noch bei Platz 1, dem
"Insecure Web Interface",
darin aber wenigstens beim dritten (und letzten) der von OWASP für die
IoT-Weboberflächen für relevanten gehaltenen Punkte der OWASP Top 10 der
Webschwachstellen:
A8 - Cross-Site Request Forgery (CSRF).