Skip to content

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 7

Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization".

Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben. Ebenso erste Angriffe: Default-Zugangsdaten und schlechte (= unsichere) Passwörter sowie Brute-Force- und Wörterbuch-Angriffe, die durch verräterische Fehlermeldungen erleichtert werden können. Ein weiteres Problem sind ungeschützt übertragene Zugangsdaten und die unsichere Verwendung von HTTPS. Aber auch Funktionen rund um die Passwortverwaltung können zu einer Schwachstelle werden, z.B. unsicher gespeicherte Passwörter. Auch nicht ungefährlich ist die

Funktion zur Passwortänderung

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 7" vollständig lesen

Microsoft patcht selbst verschuldete 0-Day-Schwachstellen im Flash Player

Nach der Absage des Februar-Patchdays hatte Microsoft ein Problem: Die von Adobe am gleichen Tag im Flash Player behobenen kritischen Schwachstellen blieben dadurch im in IE und Edge integrierten Flash Player offen. Im Grunde gab es nun also 0-Day-Schwachstellen, und davon reichlich: Die Schwachstellen waren durch die Veröffentlichung von Adobes Updates bekannt, es gab aber keinen Patch.

"Microsoft patcht selbst verschuldete 0-Day-Schwachstellen im Flash Player" vollständig lesen

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 6

Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization".

Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben. Ebenso erste Angriffe: Default-Zugangsdaten und schlechte (= unsichere) Passwörter sowie Brute-Force- und Wörterbuch-Angriffe, die durch verräterische Fehlermeldungen erleichtert werden können. Ein weiteres Problem sind ungeschützt übertragene Zugangsdaten und die unsichere Verwendung von HTTPS. Aber auch Funktionen rund um die Passwortverwaltung können zu einer Schwachstelle werden, z.B.

Unsicher gespeicherte Passwörter

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 6" vollständig lesen

Ein Patchday ohne 0-Days - und ohne Microsoft-Patches

Das es mal einen Patchday ohne die Preisgabe von 0-Day-Exploits bzw. laufenden Angriffen gibt, kam ja schon vor. Aber am Februar-Patchday hat nicht nur Adobe nur Bulletins zu bisher unbekannten Schwachstellen veröffentlicht (zu Flash Player, Adobe Digital Editions und Adobe Campaign), nein: Microsoft hat gleich gar keine Updates veröffentlicht!

Was ist da denn schief gelaufen?

"Ein Patchday ohne 0-Days - und ohne Microsoft-Patches" vollständig lesen

Drucksache: Entwickler Magazin 2.17 - Autos - so angreifbar wie nie

Im Entwickler Magazin 2.17 ist ein Artikel über Angriffe auf die IT-Systeme in Autos erschienen. Eine Leseprobe finden Sie auf entwickler.de!

Ich gebe es zu: Die Überschrift "Autos - so angreifbar wie nie" ist etwas unfair, es war ja auch noch nie so viel IT drin wie heute. Und wenn es um IT geht, dann ist nur eines sicher: Dass sie unsicher ist. Nicht immer, aber fast immer. Und das auch, wenn sie in Autos steckt. Seit einigen Jahren zeigen die Forscher auf den Sicherheitskonferenzen immer wieder neue Angriffe, so auch 2016. Und zusätzlich wurden neue Tools vorgestellt.

"Drucksache: Entwickler Magazin 2.17 - Autos - so angreifbar wie nie" vollständig lesen

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 5

Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization".

Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben. Ebenso erste Angriffe: Default-Zugangsdaten und schlechte (= unsichere) Passwörter sowie Brute-Force- und Wörterbuch-Angriffe, die durch verräterische Fehlermeldungen erleichtert werden können. Ein weiteres Problem sind ungeschützt übertragene Zugangsdaten. Dazu habe ich noch einen Punkt hinzuzufügen:

Unsichere Verwendung von HTTPS

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 5" vollständig lesen

Drucksache: Windows Developer 3.17 - Websecurity 2016: Angriffe auf Webserver

Im windows.developer 3.17 ist ein Artikel über neue Angriffe auf Webserver erschienen.

Auf fast jeder Sicherheitskonferenz, auf der es thematisch passt, gibt es eigentlich jedes Mal Vorträge zu neuen und/oder verbesserten Angriffen auf Webclient, Webanwendung, Webserver oder Webbrowser. Im Windows Developer 2.17 ging es um Angriffe auf Webbrowser und Webclient, nun ist der Server dran.

"Drucksache: Windows Developer 3.17 - Websecurity 2016: Angriffe auf Webserver" vollständig lesen

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 4

Bei der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP sind wir beim Punkt 2 angekommen: "Insufficient Authentication/Authorization". Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben. Ebenso erste Angriffe: Default-Zugangsdaten und schlechte (= unsichere) Passwörter sowie Brute-Force- und Wörterbuch-Angriffe, die durch verräterische Fehlermeldungen erleichtert werden können. Das nächste Problem sind

Ungeschützt übertragene Zugangsdaten

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 4" vollständig lesen

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 3

Bei der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP sind wir beim Punkt 2 angekommen: "Insufficient Authentication/Authorization". Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben. Ebenso erste Angriffe: Default-Zugangsdaten und schlechte (= unsichere) Passwörter. Als nächstes kommt:

Der digitale Vorschlaghammer - Brute-Force- und Wörterbuch-Angriffe

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 3" vollständig lesen

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 2

Bei der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP sind wir beim Punkt 2 angekommen: "Insufficient Authentication/Authorization". Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben, jetzt gucken wir doch mal, wie man die Authentifizierung angreifen kann.

Authentifizierung: Schwachstellen und Angriffe

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 2" vollständig lesen

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 1

Bei der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP sind wir beim Punkt 2 angekommen: "Insufficient Authentication/Authorization".

Bei der Authentifizierung wird geprüft, ob der Benutzer (oder auch ein Server, Client, ...) der ist, der er zu sein vorgibt. Gibt es dabei eine Schwachstelle, kann sich ein Angreifer als jemand anderes ausgeben. Nach der Authentifizierung gibt es teilweise noch eine Autorisierung: Darf der Benutzer das, was er machen möchte, überhaupt? Eine Schwachstelle dabei führt dazu, dass der Benutzer etwas tun kann, das er eigentlich gar nicht tun darf. Z.B. als normaler, authentifizierter Benutzer eine eigentlich nur einem authentifizierten Administrator erlaubte Funktion nutzen. Oder auch Funktionen ohne eigentlich nötige Authentifizierung nutzen.

Ohne Authentifizierung keine Sicherheit

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 1" vollständig lesen

Januar-Patchday 2017: 2 unkritische 0-Day-Schwachstellen, keine Exploits

Das Jahr fängt sehr ruhig an: Microsoft hat nur 4 Security Bulletins veröffentlicht, von denen eins auch noch für den in IE und Edge integrierten Flash Player ist. Und die drei übrigen Bulletins enthalten nur jeweils eine CVE-ID. Dahinter verbergen sich in zwei Fällen zwar zuvor schon bekannte Schwachstellen, aber die sind weder kritisch, noch werden sie bereits ausgenutzt.

Adobe hat in seinen zwei Bulletins (für Acrobat und Reader sowie den Flash Player) zwar wieder jede Menge meist kritischer Schwachstellen gemeldet, aber keine davon ist zuvor bekannt gewesen oder ausgenutzt worden.

Privilegieneskalation in Edge

"Januar-Patchday 2017: 2 unkritische 0-Day-Schwachstellen, keine Exploits" vollständig lesen

Drucksache: PHP Magazin 2.17 - SSL&TLS: Protokolle unter Dauerbeschuss

Im PHP Magazin 2.2017 ist ein Überblick über Schwachstellen in und Angriffe auf SSL/TLS erschienen.

Das SSL nicht mehr ausreichend sicher ist und durch TLS in einer möglichst hohen Version ersetzt werden sollte ist seit längerem bekannt. Wie dringend das ist, wird auf den Sicherheitskonferenzen immer wieder verdeutlicht. Denn es gibt kaum eine, auf der nicht ein neuer oder zumindest verbesserter Angriff auf SSL/TLS vorgestellt wird.

"Drucksache: PHP Magazin 2.17 - SSL&TLS: Protokolle unter Dauerbeschuss" vollständig lesen