Die IoT Top 10, #3: Unsichere Netzwerk-Dienste
Bei der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP sind wir bei Punkt 3 angekommen: "Insecure Network Services". Oder auf deutsch:
Unsichere Netzwerk-Dienste
"Die IoT Top 10, #3: Unsichere Netzwerk-Dienste" vollständig lesenWannaCry - Das ist alles wirklich zum Heulen!
Seit voriger Woche macht die Ransomware WannaCry das Internet unsicher. Und der Name WannaCry ist Programm! Denn eigentlich ist das alles zum Heulen: Die von der Ransomware ausgenutzten Schwachstellen wurden bereits vor zwei Monaten gepatcht. Opfer von WnnaCry wurden deshalb nur ungepatche oder veraltete Systeme. Doch leider gibt es davon allem Anschein nach noch sehr viele. Zur Verbreitung nutzt WannaCry einige Schwachstellen in SMBv1 aus, die Microsoft am März-Patchday behoben hat. Das zugehörige Security-Bulletin ist MS17-010.
Weiterlesen auf entwickler.de!
Drucksache: PHP Magazin 4.17 - Risiko IPv6
Im PHP Magazin 4.2017 ist ein Überblick über Schwachstellen in und Angriffe auf IPv6 erschienen.
"Drucksache: PHP Magazin 4.17 - Risiko IPv6" vollständig lesenDrucksache: Windows Developer 6.17 - Wie kontert man Social Engineering?
Im windows.developer 6.17 ist ein Artikel über Social-Engineering-Angriffe (Scams, Phishing und Spear-Phishing) erschienen. Kann man diese Angriffe technisch bekämpfen, oder sind die potentiellen Opfer darauf angewiesen, sie eigenständig zu erkennen?
Eine Leseprobe des Artikels gibt es auf entwickler.de!
"Drucksache: Windows Developer 6.17 - Wie kontert man Social Engineering?" vollständig lesenDie IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 18
Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization".
Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben. Ebenso erste Angriffe: Default-Zugangsdaten und schlechte (= unsichere) Passwörter sowie Brute-Force- und Wörterbuch-Angriffe, die durch verräterische Fehlermeldungen erleichtert werden können. Ein weiteres Problem sind ungeschützt übertragene Zugangsdaten und die unsichere Verwendung von HTTPS. Aber auch Funktionen rund um die Passwortverwaltung können zu einer Schwachstelle werden, z.B. unsicher gespeicherte Passwörter. Auch nicht ungefährlich ist die Funktion zur Passwortänderung. Und auch der Passwort-Reset oder eine unsichere "Recovery"-, "Remember me"- oder "User Impersonation"-Funktion können zur Gefahr werden. Genauso wie eine fehlerhafte Passwortprüfung oder nicht eindeutige Benutzernamen. Die können auch entstehen, wenn es Missverständnisse gibt. Ein weiteres Problem sind vorhersagbare Benutzernamen und Passwörter. Aber selbst die sichersten Zugangsdaten sind gefährdet, wenn es keine sichere Datenübertragung gibt.
Neben all diesen möglichen Schwachstellen und Angriffen gilt es dann nur noch, einige typische Implementierungs- Fehler zu vermeiden. Und das gleiche gilt natürlich für
Logikfehler
"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 18" vollständig lesenDie IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 17
Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization".
Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben. Ebenso erste Angriffe: Default-Zugangsdaten und schlechte (= unsichere) Passwörter sowie Brute-Force- und Wörterbuch-Angriffe, die durch verräterische Fehlermeldungen erleichtert werden können. Ein weiteres Problem sind ungeschützt übertragene Zugangsdaten und die unsichere Verwendung von HTTPS. Aber auch Funktionen rund um die Passwortverwaltung können zu einer Schwachstelle werden, z.B. unsicher gespeicherte Passwörter. Auch nicht ungefährlich ist die Funktion zur Passwortänderung. Und auch der Passwort-Reset oder eine unsichere "Recovery"-, "Remember me"- oder "User Impersonation"-Funktion können zur Gefahr werden. Genauso wie eine fehlerhafte Passwortprüfung oder nicht eindeutige Benutzernamen. Die können auch entstehen, wenn es Missverständnisse gibt. Ein weiteres Problem sind vorhersagbare Benutzernamen und Passwörter. Aber selbst die sichersten Zugangsdaten sind gefährdet, wenn es keine sichere Datenübertragung gibt.
Neben all diesen möglichen Schwachstellen und Angriffen gilt es dann nur noch, einige typische Implementierungs- und Logikfehler zu vermeiden. Und mit denen geht es nun weiter: