Bei der Beschreibung der gefährlichsten Schwachstellen in den Geräten
des IoT gemäß den
Top IoT Vulnerabilities
von OWASP sind wir beim Punkt 2 angekommen:
"Insufficient Authentication/Authorization".
Die verschiedenen Möglichkeiten zur
Authentifizierung
habe ich bereits beschrieben. Ebenso
erste Angriffe:
Default-Zugangsdaten und schlechte (= unsichere) Passwörter.
Als nächstes kommt:
Der digitale Vorschlaghammer - Brute-Force- und Wörterbuch-Angriffe
Bei der Beschreibung der gefährlichsten Schwachstellen in den Geräten
des IoT gemäß den
Top IoT Vulnerabilities
von OWASP sind wir beim Punkt 2 angekommen:
"Insufficient Authentication/Authorization".
Die verschiedenen Möglichkeiten zur
Authentifizierung
habe ich bereits beschrieben, jetzt gucken wir doch mal, wie man die
Authentifizierung angreifen kann.
Bei der Authentifizierung wird geprüft, ob der Benutzer (oder auch ein
Server, Client, ...) der ist, der er zu sein vorgibt. Gibt es dabei eine
Schwachstelle, kann sich ein Angreifer als jemand anderes ausgeben. Nach
der Authentifizierung gibt es teilweise noch eine Autorisierung: Darf der
Benutzer das, was er machen möchte, überhaupt? Eine
Schwachstelle dabei führt dazu, dass der Benutzer etwas tun kann, das
er eigentlich gar nicht tun darf. Z.B. als normaler, authentifizierter
Benutzer eine eigentlich nur einem authentifizierten Administrator erlaubte
Funktion nutzen. Oder auch Funktionen ohne eigentlich nötige
Authentifizierung nutzen.
Das Jahr fängt sehr ruhig an: Microsoft hat nur
4 Security Bulletins
veröffentlicht, von denen eins auch noch für den in IE und Edge
integrierten Flash Player ist. Und die drei übrigen Bulletins
enthalten nur jeweils eine CVE-ID. Dahinter verbergen sich in zwei
Fällen zwar zuvor schon bekannte Schwachstellen, aber die sind weder
kritisch, noch werden sie bereits ausgenutzt.
Adobe hat in seinen
zwei Bulletins
(für
Acrobat und Reader
sowie den
Flash Player)
zwar wieder jede Menge meist kritischer Schwachstellen gemeldet, aber
keine davon ist zuvor bekannt gewesen oder ausgenutzt worden.
Im
PHP Magazin 2.2017
ist ein Überblick über Schwachstellen in und Angriffe auf
SSL/TLS erschienen.
Das SSL nicht mehr ausreichend sicher ist und durch TLS in einer
möglichst hohen Version ersetzt werden sollte ist seit längerem
bekannt. Wie dringend das ist, wird auf den Sicherheitskonferenzen immer
wieder verdeutlicht. Denn es gibt kaum eine, auf der nicht ein neuer oder
zumindest verbesserter Angriff auf SSL/TLS vorgestellt wird.
Im
windows.developer 2.17
ist ein Artikel über neue Angriffe auf Webbrowser und Webclient erschienen.
Auf fast jeder Sicherheitskonferenz, auf der es thematisch passt, gibt es
eigentlich jedes Mal Vorträge zu neuen und/oder verbesserten Angriffen
auf Webclient, Webanwendung, Webserver oder Webbrowser. Was kein Wunder
ist, denn alles, was ein „Web“ vorne stehen hat, hat zwei
große Nachteile: Die Angreifer es können i.A. leicht erreichen,
und es gibt dort sowohl Möglichkeiten zum Einschleusen von Code als
auch interessante Informationen auszuspähen
Die Beschreibung der gefährlichsten Schwachstellen in den Geräten
des IoT gemäß den
Top IoT Vulnerabilities
von OWASP geht weiter. Wir sind zwar immer noch bei Platz 1, dem
"Insecure Web Interface",
darin aber wenigstens beim dritten (und letzten) der von OWASP für die
IoT-Weboberflächen für relevanten gehaltenen Punkte der OWASP Top 10 der
Webschwachstellen:
A8 - Cross-Site Request Forgery (CSRF).