Skip to content

Die IoT Top 10, #1: Unsichere Weboberflächen, Teil 1

Ab dieser Folge geht es hier um die gefährlichsten Schwachstellen in den Geräten des IoT. Dabei orientiere ich mich an den Top IoT Vulnerabilities von OWASP. Auf Platz 1 steht dort das "Insecure Web Interface". Und in der Tat hat man den Eindruck, die Entwickler der Weboberflächen für die IoT-Geräte hätten es darauf angelegt, alle Schwachstellen, die man im Web vor 10 oder 15 Jahren gemacht hat, in ihren Oberflächen zu wiederholen.

Die Top 10 der Web-Schwachstellen in einem Punkt

"Die IoT Top 10, #1: Unsichere Weboberflächen, Teil 1" vollständig lesen

IoT-Sicherheit: Passwort ändern nicht vergessen!

Ein der größten Gefahren im IoT geht von Default-Zugangsdaten aus: Werden die bei der Installation nicht auf individuelle Werte geändert, kann Schadsoftware mit den i.A. bekannten Default-Zugangsdaten auf das IoT-Gerät zugreifen und es z.B. in ein Botnet integrieren. Und das gilt für alle Zugangsdaten, egal ob Telnet, Fernwartung, Weboberfläche, ... - einem Angreifer ist jeder Weg Recht, Zugriff auf ein Gerät zu bekommen.

Mirai: 62 Zugangsdaten reichen aus

"IoT-Sicherheit: Passwort ändern nicht vergessen!" vollständig lesen

Drucksache: PHP Magazin 1.17 - Mit Proxy und Proxykonfiguration gegen HTTPS

Im PHP Magazin 1.2017 ist ein Überblick über Angriffe auf SSL/TLS erschienen.

Dass SSL nicht mehr ausreichend sicher ist und durch TLS in einer möglichst hohen Version ersetzt werden sollte ist seit längerem bekannt. Aber selbst dann sind Angriffe auf HTTPS möglich, und das ganz ohne TLS-Schwachstelle. Und zwar über das Web Proxy Auto-Discovery Protokoll (WPAD, auch "autoproxy" genannt) und die davon verwendeten Proxy Auto-Config (PAC) Dateien.

"Drucksache: PHP Magazin 1.17 - Mit Proxy und Proxykonfiguration gegen HTTPS" vollständig lesen

November-Patchday: Wieder mal ein 0-Day-Exploit für Windows unterwegs

Am November-Patchday hat Microsoft wieder mehrere 0-Day-Schwachstellen behoben. Darunter auch eine, die bereits ausgenutzt wird, um Code einzuschleusen.

Damit steht es beim "Wettstreit" um die meisten 0-Day-Exploits zwischen Adobe und dem Rest der Welt wieder unentschieden: Dieses Jahr wurden 10 0-Day-Exploits entdeckt, 5 davon gehen auf das Konto des Flash Players. Adobe hat zwar auch ein Security Bulletin für den Flash Player veröffentlicht, aber keine 0-Days zu melden. Die aktuelle 0-Day-Schwachstelle wurde ja bereits Ende Oktober außer der Reihe behoben.

Remote Code Execution in der Font-Library

"November-Patchday: Wieder mal ein 0-Day-Exploit für Windows unterwegs" vollständig lesen

USB-Sicherheit 2016: Noch mal Angriffe auf kabellose Mäuse

Angriffe auf kabellose Tastaturen und Mäuse habe ich bereits vorgestellt, nun gibt es einen Nachschlag. Gerhard Klostermeier und Matthias Deeg von Syss haben sich ebenfalls der kabellosen Tastaturen und Mäuse angenommen und dabei festgestellt, dass zwar die untersuchten Tastaturen ihre Kommunikation verschlüsseln und authentifizieren, nicht aber die Mäuse. Die beiden Forscher haben ihre Ergebnisse bereits auf einigen Sicherheitskonferenzen vorgestellt, so z.B. auf der Ruxcon 2016 (Präsentation als PDF), weitere folgen.

(Fast) nichts Neues

"USB-Sicherheit 2016: Noch mal Angriffe auf kabellose Mäuse" vollständig lesen