Skip to content

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 1

Bei der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP sind wir beim Punkt 2 angekommen: "Insufficient Authentication/Authorization".

Bei der Authentifizierung wird geprüft, ob der Benutzer (oder auch ein Server, Client, ...) der ist, der er zu sein vorgibt. Gibt es dabei eine Schwachstelle, kann sich ein Angreifer als jemand anderes ausgeben. Nach der Authentifizierung gibt es teilweise noch eine Autorisierung: Darf der Benutzer das, was er machen möchte, überhaupt? Eine Schwachstelle dabei führt dazu, dass der Benutzer etwas tun kann, das er eigentlich gar nicht tun darf. Z.B. als normaler, authentifizierter Benutzer eine eigentlich nur einem authentifizierten Administrator erlaubte Funktion nutzen. Oder auch Funktionen ohne eigentlich nötige Authentifizierung nutzen.

Ohne Authentifizierung keine Sicherheit

Die Authentifizierung der Benutzer ist für die meisten IoT-Geräte eine Grundvoraussetzung für die folgende Nutzung oder Administration, entsprechend sind Angriffe darauf ebenso häufig wie gefährlich. Denn meist bedeutet dass, das ein Angreifer mit dem IoT-Gerät machen kann, was er will. Was eigentlich nie im Interesse des legitimen Benutzers ist.

Im folgenden werde ich meist die Authentifizierung über die Weboberfläche beschreiben, da die meisten IoT-Geräte darüber konfiguriert werden. Das gleiche gilt aber entsprechend auch für jede andere Authentifizierung, z.B. über telnet, ssh, ftp oder was auch immer.

Im Prinzip ist eine Authentifizierung sehr einfach: Der Benutzer gibt z.B. seinen Benutzernamen und sein Passwort, und das System prüft, ob die Eingaben korrekt sind. Sind sie korrekt, ist der Benutzer der, der er zu sein behauptet, und er erhält Zugriff. Ansonsten ist er es nicht und muss draußen bleiben.

Leider ist das ganze nicht so einfach, wie es sich anhört. Ein Dritter könnte z.B. die Zugangsdaten belauscht oder anderweitig ausgespäht haben und sich damit später als der entsprechende Benutzer anmelden. Oder er könnte die Zugangsdaten während der Übertragung abfangen und das Passwort ändern, so das der eigentlich zum Zugriff befugte Benutzer vom System nicht erkannt wird.

Authentifizierungsmechanismen

Es gibt eine ganze Reihe von Möglichkeiten, eine Authentifizierung durchzuführen:

  • Masken zur Eingabe von Benutzername und Passwort, z.B. als HTML-Formular auf einer Webseite oder als Eingabefelder in einem Programm.
  • Multi-Faktor-Mechanismen wie z.B. die Kombination eines Passworts mit einem physikalischen Token oder einer App auf einem Smartphone im Rahmen einer Zwei-Faktor-Authentifizierung
  • Client-SSL-Zertifikate und/oder Smartcards
  • HTTP-Basic- und -Digest-Authentication für Webserver
  • Betriebssystemeigene Authentifizierungssysteme auf Grundlage von NTLM oder Kerberos
  • Authentifizierungsdienste von Drittherstellern

(HTML-)Formulare

Die häufigste Authentifizierungsmethode für Webanwendungen wie eben die Weboberflächen der IoT-Geräte sind HTML-Formulare zur Eingabe von Benutzername und Passwort, die dann zur Prüfung an die Webanwendung gesendet werden. In sicherheitskritischen Bereichen wie z.B. beim Onlinebanking kommen weitere Schritte wie die Eingabe einer weiteren PIN oder TAN dazu, die aber ebenfalls über ein HTML-Formular eingegeben werden.

Eine weitere Steigerung sind dann Multi-Faktor-Mechanismen, die ein physikalisches Token erfordern. Das kann z.B. das Handy zum Empfang von mTANs oder ein Security-Token oder eine Smartphone-App zum Erzeugen von One-Time-Passcodes sein. Die dann i.A. ebenfalls über ein HTML-Formular eingegeben werden.

Das Problem ist dabei die Übertragung der Daten: Werden sie unverschlüsselt übertragen, kann ein MitM sie ausspähen und sich damit gegenüber dem Server bzw. IoT-Gerät als der betreffende Benutzer ausgeben. Weshalb die Übertragung immer über HTTPS oder allgemein eine verschlüsselte Verbindung erfolgen muss.

SSL-Zertifikate

Einige Webanwendungen verwenden Client-seitige SSL-Zertifikate oder in Smartcards implementierte kryptographische Verfahren, die zwar relativ sicher, dafür aber auch aufwendig zu verteilen und zu administrieren sind. Dementsprechend werden sie i.A. nur in besonders sicherheitskritischen Fällen eingesetzt. Für die Weboberflächen der IoT-Geräte sind sie meist "eine Nummer zu gross". Im Rahmen von SSH kann sich jedoch der Client statt mit einem Passwort mittels Public-Key-Authentifizierung mit einem privaten Schlüssel, dessen öffentlicher Schlüssel auf dem Server bzw. in diesem Fall IoT-Gerät hinterlegt ist, authentifizieren, was die Sicherheit deutlich erhöht.

HTTP-Authentifizierung

Die HTTP-basierten Authentifizierungsmechanismen (egal ob basic, digest oder Windows-basiert) werden im Rahmen von Webanwendungen meist nur noch in Intranets verwendet, um internen Benutzern den Zugriff auf Webbasierte Anwendungen mit ihren normalen Netzwerk- oder Domain-Zugangsdaten zu ermöglichen.

Die Weboberflächen der IoT-Geräte nutzen aber teilweise die HTTP-Basic-Authentication, bei der sich der Benutzer in einer Dialogbox des Webbrowsers mit Benutzername und Passwort anmeldet, bevor die erste Seite vom IoT-Gerät geladen wird.

Authentifizierungs- und Autorisierungsdienste

Authentifizierungs- und Autorisierungsdienste von Drittherstellern wie OpenID bzw. OAuth übertragen die Authentifizierung bzw. Autorisierung an einen (zweckmäßigerweise vertrauenswürdigen) Dritten. Sie gewinnen bei Webanwendungen zunehmend an Bedeutung, für IoT-Geräte sind sie jedoch unüblich.

Ab der nächsten Folge betrachten wir Schwachstellen in und Angriffe auf die Authentifizierung.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 2

Vorschau anzeigen
Bei der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP sind wir beim Punkt 2 angekommen: "Insufficient Authentication/Authorization". Die verschiedenen Mög

Dipl.-Inform. Carsten Eilers am : Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 3

Vorschau anzeigen
Bei der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP sind wir beim Punkt 2 angekommen: "Insufficient Authentication/Authorization". Die verschiedenen Mög

Dipl.-Inform. Carsten Eilers am : Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 4

Vorschau anzeigen
Bei der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP sind wir beim Punkt 2 angekommen: "Insufficient Authentication/Authorization". Die verschiedenen Mög

Dipl.-Inform. Carsten Eilers am : Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 5

Vorschau anzeigen
Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization". Die ve

Dipl.-Inform. Carsten Eilers am : Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 6

Vorschau anzeigen
Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization". Die ve

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!