Skip to content

Drucksache: Entwickler Magazin 4.17 - Die (Un-)Sicherheit elektronischer Schlösser

Im Entwickler Magazin 4.17 ist ein Artikel über die (Un-)Sicherheit elektronischer Schlösser erschienen. Eine Leseprobe finden Sie auf entwickler.de!

Was passiert, wenn man ein mechanisches Schloss durch ein elektronisches Schloss ersetzt? Es ergeben sich neue Schwachstellen und damit Angriffsmöglichkeiten. Und was passiert, wenn man das Schloss auch aus der Entfernung öffnen kann? Dann kann es auch aus der Entfernung angegriffen werden. Und wenn man es ans Internet anschließt, sogar von überall auf der Welt aus.

"Drucksache: Entwickler Magazin 4.17 - Die (Un-)Sicherheit elektronischer Schlösser" vollständig lesen

Drucksache: Windows Developer 7.17 - Post-Quanten-Kryptographie

Im windows.developer 7.17 ist ein Artikel über Post-Quanten-Kryptographie erschienen.

Die Quantencomputer stecken noch nicht mal in den Kinderschuhen, die rutschen noch im Stampelanzug durch die Gegend, wenn sie sich überhaupt schon groß bewegen. Trotzdem müssen sie schon jetzt bei der Entwicklung bzw. Auswahl neuer Krypto-Verfahren berücksichtigt werden. Denn wenn sie erst mal Realität sind, ist die Sicherheit einiger aktueller Verfahren Geschichte.

"Drucksache: Windows Developer 7.17 - Post-Quanten-Kryptographie" vollständig lesen

WannaCry - Das ist alles wirklich zum Heulen!

Seit voriger Woche macht die Ransomware WannaCry das Internet unsicher. Und der Name WannaCry ist Programm! Denn eigentlich ist das alles zum Heulen: Die von der Ransomware ausgenutzten Schwachstellen wurden bereits vor zwei Monaten gepatcht. Opfer von WnnaCry wurden deshalb nur ungepatche oder veraltete Systeme. Doch leider gibt es davon allem Anschein nach noch sehr viele. Zur Verbreitung nutzt WannaCry einige Schwachstellen in SMBv1 aus, die Microsoft am März-Patchday behoben hat. Das zugehörige Security-Bulletin ist MS17-010.

Weiterlesen auf entwickler.de!

Drucksache: Windows Developer 6.17 - Wie kontert man Social Engineering?

Im windows.developer 6.17 ist ein Artikel über Social-Engineering-Angriffe (Scams, Phishing und Spear-Phishing) erschienen. Kann man diese Angriffe technisch bekämpfen, oder sind die potentiellen Opfer darauf angewiesen, sie eigenständig zu erkennen?

Eine Leseprobe des Artikels gibt es auf entwickler.de!

"Drucksache: Windows Developer 6.17 - Wie kontert man Social Engineering?" vollständig lesen

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 18

Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization".

Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben. Ebenso erste Angriffe: Default-Zugangsdaten und schlechte (= unsichere) Passwörter sowie Brute-Force- und Wörterbuch-Angriffe, die durch verräterische Fehlermeldungen erleichtert werden können. Ein weiteres Problem sind ungeschützt übertragene Zugangsdaten und die unsichere Verwendung von HTTPS. Aber auch Funktionen rund um die Passwortverwaltung können zu einer Schwachstelle werden, z.B. unsicher gespeicherte Passwörter. Auch nicht ungefährlich ist die Funktion zur Passwortänderung. Und auch der Passwort-Reset oder eine unsichere "Recovery"-, "Remember me"- oder "User Impersonation"-Funktion können zur Gefahr werden. Genauso wie eine fehlerhafte Passwortprüfung oder nicht eindeutige Benutzernamen. Die können auch entstehen, wenn es Missverständnisse gibt. Ein weiteres Problem sind vorhersagbare Benutzernamen und Passwörter. Aber selbst die sichersten Zugangsdaten sind gefährdet, wenn es keine sichere Datenübertragung gibt.

Neben all diesen möglichen Schwachstellen und Angriffen gilt es dann nur noch, einige typische Implementierungs- Fehler zu vermeiden. Und das gleiche gilt natürlich für

Logikfehler

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 18" vollständig lesen

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 17

Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization".

Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben. Ebenso erste Angriffe: Default-Zugangsdaten und schlechte (= unsichere) Passwörter sowie Brute-Force- und Wörterbuch-Angriffe, die durch verräterische Fehlermeldungen erleichtert werden können. Ein weiteres Problem sind ungeschützt übertragene Zugangsdaten und die unsichere Verwendung von HTTPS. Aber auch Funktionen rund um die Passwortverwaltung können zu einer Schwachstelle werden, z.B. unsicher gespeicherte Passwörter. Auch nicht ungefährlich ist die Funktion zur Passwortänderung. Und auch der Passwort-Reset oder eine unsichere "Recovery"-, "Remember me"- oder "User Impersonation"-Funktion können zur Gefahr werden. Genauso wie eine fehlerhafte Passwortprüfung oder nicht eindeutige Benutzernamen. Die können auch entstehen, wenn es Missverständnisse gibt. Ein weiteres Problem sind vorhersagbare Benutzernamen und Passwörter. Aber selbst die sichersten Zugangsdaten sind gefährdet, wenn es keine sichere Datenübertragung gibt.

Neben all diesen möglichen Schwachstellen und Angriffen gilt es dann nur noch, einige typische Implementierungs- und Logikfehler zu vermeiden. Und mit denen geht es nun weiter:

Schritt für Schritt für Schritt...

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 17" vollständig lesen

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 16

Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization".

Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben. Ebenso erste Angriffe: Default-Zugangsdaten und schlechte (= unsichere) Passwörter sowie Brute-Force- und Wörterbuch-Angriffe, die durch verräterische Fehlermeldungen erleichtert werden können. Ein weiteres Problem sind ungeschützt übertragene Zugangsdaten und die unsichere Verwendung von HTTPS. Aber auch Funktionen rund um die Passwortverwaltung können zu einer Schwachstelle werden, z.B. unsicher gespeicherte Passwörter. Auch nicht ungefährlich ist die Funktion zur Passwortänderung. Und auch der Passwort-Reset oder eine unsichere "Recovery"-, "Remember me"- oder "User Impersonation"-Funktion können zur Gefahr werden. Genauso wie eine fehlerhafte Passwortprüfung oder nicht eindeutige Benutzernamen. Die können auch entstehen, wenn es Missverständnisse gibt. Ein weiteres Problem sind vorhersagbare Benutzernamen und Passwörter. Aber selbst die sichersten Zugangsdaten sind gefährdet, wenn es keine sichere Datenübertragung gibt.

Neben all diesen möglichen Schwachstellen und Angriffen gilt es dann nur noch, einige typische

Implementierungs- und Logikfehler

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 16" vollständig lesen

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 15

Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization".

Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben. Ebenso erste Angriffe: Default-Zugangsdaten und schlechte (= unsichere) Passwörter sowie Brute-Force- und Wörterbuch-Angriffe, die durch verräterische Fehlermeldungen erleichtert werden können. Ein weiteres Problem sind ungeschützt übertragene Zugangsdaten und die unsichere Verwendung von HTTPS. Aber auch Funktionen rund um die Passwortverwaltung können zu einer Schwachstelle werden, z.B. unsicher gespeicherte Passwörter. Auch nicht ungefährlich ist die Funktion zur Passwortänderung. Und auch der Passwort-Reset oder eine unsichere "Recovery"-, "Remember me"- oder "User Impersonation"-Funktion können zur Gefahr werden. Genauso wie eine fehlerhafte Passwortprüfung oder nicht eindeutige Benutzernamen. Die können auch entstehen, wenn es Missverständnisse gibt. Ein weiteres Problem sind vorhersagbare Benutzernamen und Passwörter. Aber selbst die sichersten Zugangsdaten sind gefährdet, wenn es keine

Sichere Datenübertragung

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 15" vollständig lesen