Auch in dieser Folge geht es weiter um die Vorträge zu SCADA-Systemen und
Industriesteuerungen auf den Sicherheitskonferenzen "Black Hat" und "Hack
in the Box".
Nach den Konferenzen in den Jahren
2010/2011,
2011,
2012,
im
März,
April
und dem ersten Vortrag aus dem
August 2013
gab es mehrere Folgen zu den von Lucas Apa und Carlos Mario Penagos auf der
Black Hat USA 2013vorgestellten Schwachstellen in und Angriffen auf die
drahtlose Kommunikation der Industriesteuerungen:
Im
ersten Teil
ging es unter anderen um die Anforderungen an die Schlüsselverteilung
und die verschiedenen Arten von Schlüsseln, im
zweiten Teil
um die vom restlichen System unabhängige Verschlüsselung der
Kommunikation durch die verwendeten Funk-Module und im
dritten Teil
um die Schlüsselverteilung von ZigBee. Nach diesen Vorbereitungen ging es
im
vierten
und
fünften Teil
um die Schwachstellen und Angriffe. Wie schon erwähnt habe ich diesen
Themenkomplex ausführlicher behandelt, weil ich später noch mal darauf
zurückkommen will.
In der
vorherigen Folge
ging es dann um den letzten Vortrag zum Thema auf der Black Hat USA 2013,
und damit sind wir im Jahr 2014 angekommen:
Auch in dieser Folge geht es weiter um die Vorträge zu SCADA-Systemen und
Industriesteuerungen auf den Sicherheitskonferenzen "Black Hat" und "Hack
in the Box".
Nach den Konferenzen in den Jahren
2010/2011,
2011,
2012,
im
März,
April
und dem ersten Vortrag aus dem
August 2013
gab es mehrere Folgen zu den von Lucas Apa und Carlos Mario Penagos auf der
Black Hat USA 2013 vorgestellten Schwachstellen in und Angriffen auf die
drahtlose Kommunikation der Industriesteuerungen:
Im
ersten Teil
ging es unter anderen um die Anforderungen an die Schlüsselverteilung
und die verschiedenen Arten von Schlüsseln, im
zweiten Teil
um die vom restlichen System unabhängige Verschlüsselung der
Kommunikation durch die verwendeten Funk-Module und im
dritten Teil
um die Schlüsselverteilung von ZigBee. Nach diesen Vorbereitungen ging es
im
vierten
und
fünften Teil
um die Schwachstellen in und Angriffe auf die Geräte dreier
Hersteller. Wie schon erwähnt habe ich diesen Themenkomplex
ausführlicher behandelt, weil ich später noch mal darauf
zurückkommen will. Aber jetzt geht es erst mal weiter mit den
Vorträgen zu SCADA-Systemen und Industriesteuerungen.
Heute gibt es mal wieder Kommentare zu neuen Entwicklungen bei
altbekannten Problemen. Los geht es mit einem nicht besonders alten
Problem, den
aus der iCloud geklauten
Promi-Nacktfotos:
Die iCloud wurde nicht angegriffen, nur ihre Nutzer!
Im
PHP Magazin 6.2014
ist ein Artikel über die Sicherheit der Grafikfunktionen von HTML5
erschienen.
Durch Timing-Angriffe lässt sich die Same Origin Policy unterlaufen,
es können sowohl die History als auch Websites anderer Domains
ausgespäht werden. So kann zum Beispiel im Quelltext einer anderen
Website gezielt nach CSRF-Token oder ähnlichen für einen
Angreifer interessanten Informationen gesucht werden.
Beim Canvas-Fingerprinting wird ausgenutzt, dass sich beim Rendern eines
vorgegebenen Texts vom Browser abhängige minimale Unterschiede
ergeben, aus denen sich ein Fingerprint des Browsers errechnen lässt.
Und daran kann dann der Benutzer (wieder)erkannt werden.
Und hier noch die Links und Literaturverweise aus dem Artikel:
Auch in dieser Folge geht es weiter um die Vorträge zu SCADA-Systemen und
Industriesteuerungen auf den Sicherheitskonferenzen "Black Hat" und "Hack
in the Box".
Nach den Konferenzen in den Jahren
2010/2011,
2011,
2012,
im
März,
April
und dem ersten Vortrag aus dem
August 2013
geht es weiter um Vorträge aus dem Jahr 2013. Genauer: Um den von Lucas
Apa und Carlos Mario Penagos auf der Black Hat USA 2013 gehaltenen
Vortrag, im dem sie Angriffe auf die drahtlose Kommunikation der
Industriesteuerungen vorgestellt haben.
Im
ersten Teil
ging es unter anderen um die Anforderungen an die Schlüsselverteilung
und die verschiedenen Arten von Schlüsseln, im
zweiten Teil
um die vom restlichen System unabhängige Verschlüsselung der
Kommunikation durch die verwendeten Funk-Module und im
dritten Teil
um die Schlüsselverteilung von ZigBee. Nach diesen Vorbereitungen ging es
in der
vorherigen Folge
um die ersten Schwachstellen in Industriesteuerungen. Und damit geht es
diesmal auch weiter.
Microsoft hat am heutigen September-Patchday mal wieder eine
0-Day-Schwachstelle gepatcht: Die
Schwachstelle
mit der CVE-ID
CVE-2013-7331
aus dem Security Bulletin
MS14-052
für den Internet Explorer ist bereits seit Februar bekannt und wird im
Rahmen gezielter Angriffe
ausgenutzt.
Zum Glück nicht, um Code auszuführen, sondern um den Schwanz
einzukneifen, wenn über diese Schwachstelle das EMET entdeckt wird.
Im
windows.developer 10.2014
ist ein Artikel über das Enhanced Mitigation Experience Toolkit (EMET)
erschienen.
Es gibt eine ganze Reihe so genannter Mitigations, mit denen
die Ausnutzung von Schwachstellen erschwert werden kann. Eigentlich ist es
Aufgabe der Entwickler, diese Mitigations in ihren Programmen zu nutzen.
Tun sie das nicht, kann man mit Microsofts EMET nachhelfen.
Es geht immer noch um Vorträge zu SCADA-Systemen und
Industriesteuerungen auf den Sicherheitskonferenzen "Black Hat" und "Hack
in the Box".
Nach den Konferenzen in den Jahren
2010/2011,
2011,
2012,
im
März,
April
und dem ersten Vortrag aus dem
August 2013
geht es weiter um Vorträge aus dem Jahr 2013. Genauer: Um die von Lucas
Apa und Carlos Mario Penagos auf der Black Hat USA 2013 vorgestellten
Probleme mit der drahtlosen Kommunikation der Industriesteuerungen.
Im
ersten Teil
ging es unter anderen um die Anforderungen an die Schlüsselverteilung
und die verschiedenen Arten von Schlüsseln, im
zweiten Teil
um die vom restlichen System unabhängige Verschlüsselung der
Kommunikation durch die verwendeten Funk-Module und im
dritten Teil
um die Schlüsselverteilung von ZigBee. Nach diesen Vorbereitungen geht es
nun um die von Lucas Apa und Carlos Mario Penagos gefundenen
Schwachstellen.