Skip to content

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 7

Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization".

Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben. Ebenso erste Angriffe: Default-Zugangsdaten und schlechte (= unsichere) Passwörter sowie Brute-Force- und Wörterbuch-Angriffe, die durch verräterische Fehlermeldungen erleichtert werden können. Ein weiteres Problem sind ungeschützt übertragene Zugangsdaten und die unsichere Verwendung von HTTPS. Aber auch Funktionen rund um die Passwortverwaltung können zu einer Schwachstelle werden, z.B. unsicher gespeicherte Passwörter. Auch nicht ungefährlich ist die

Funktion zur Passwortänderung

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 7" vollständig lesen

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 6

Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization".

Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben. Ebenso erste Angriffe: Default-Zugangsdaten und schlechte (= unsichere) Passwörter sowie Brute-Force- und Wörterbuch-Angriffe, die durch verräterische Fehlermeldungen erleichtert werden können. Ein weiteres Problem sind ungeschützt übertragene Zugangsdaten und die unsichere Verwendung von HTTPS. Aber auch Funktionen rund um die Passwortverwaltung können zu einer Schwachstelle werden, z.B.

Unsicher gespeicherte Passwörter

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 6" vollständig lesen

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 5

Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization".

Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben. Ebenso erste Angriffe: Default-Zugangsdaten und schlechte (= unsichere) Passwörter sowie Brute-Force- und Wörterbuch-Angriffe, die durch verräterische Fehlermeldungen erleichtert werden können. Ein weiteres Problem sind ungeschützt übertragene Zugangsdaten. Dazu habe ich noch einen Punkt hinzuzufügen:

Unsichere Verwendung von HTTPS

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 5" vollständig lesen

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 4

Bei der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP sind wir beim Punkt 2 angekommen: "Insufficient Authentication/Authorization". Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben. Ebenso erste Angriffe: Default-Zugangsdaten und schlechte (= unsichere) Passwörter sowie Brute-Force- und Wörterbuch-Angriffe, die durch verräterische Fehlermeldungen erleichtert werden können. Das nächste Problem sind

Ungeschützt übertragene Zugangsdaten

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 4" vollständig lesen

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 3

Bei der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP sind wir beim Punkt 2 angekommen: "Insufficient Authentication/Authorization". Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben. Ebenso erste Angriffe: Default-Zugangsdaten und schlechte (= unsichere) Passwörter. Als nächstes kommt:

Der digitale Vorschlaghammer - Brute-Force- und Wörterbuch-Angriffe

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 3" vollständig lesen

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 2

Bei der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP sind wir beim Punkt 2 angekommen: "Insufficient Authentication/Authorization". Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben, jetzt gucken wir doch mal, wie man die Authentifizierung angreifen kann.

Authentifizierung: Schwachstellen und Angriffe

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 2" vollständig lesen

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 1

Bei der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP sind wir beim Punkt 2 angekommen: "Insufficient Authentication/Authorization".

Bei der Authentifizierung wird geprüft, ob der Benutzer (oder auch ein Server, Client, ...) der ist, der er zu sein vorgibt. Gibt es dabei eine Schwachstelle, kann sich ein Angreifer als jemand anderes ausgeben. Nach der Authentifizierung gibt es teilweise noch eine Autorisierung: Darf der Benutzer das, was er machen möchte, überhaupt? Eine Schwachstelle dabei führt dazu, dass der Benutzer etwas tun kann, das er eigentlich gar nicht tun darf. Z.B. als normaler, authentifizierter Benutzer eine eigentlich nur einem authentifizierten Administrator erlaubte Funktion nutzen. Oder auch Funktionen ohne eigentlich nötige Authentifizierung nutzen.

Ohne Authentifizierung keine Sicherheit

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 1" vollständig lesen

Die IoT Top 10, #1: Unsichere Weboberflächen, Teil 7

Die Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP geht weiter. Wir sind zwar immer noch bei Platz 1, dem "Insecure Web Interface", darin aber wenigstens beim dritten (und letzten) der von OWASP für die IoT-Weboberflächen für relevanten gehaltenen Punkte der OWASP Top 10 der Webschwachstellen: A8 - Cross-Site Request Forgery (CSRF).

Wie wird der CSRF-Request eingeschleust?

"Die IoT Top 10, #1: Unsichere Weboberflächen, Teil 7" vollständig lesen

Die IoT Top 10, #1: Unsichere Weboberflächen, Teil 6

Bei der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP sind wir immer noch bei Platz 1, dem "Insecure Web Interface". Aber wenigstens sind wir beim dritten (und letzten) der von OWASP für die IoT-Weboberflächen für relevanten gehaltenen Punkte der OWASP Top 10 der Webschwachstellen angekommen: A8 - Cross-Site Request Forgery (CSRF).

Beispiele für CSRF-Angriffe

"Die IoT Top 10, #1: Unsichere Weboberflächen, Teil 6" vollständig lesen

Die IoT Top 10, #1: Unsichere Weboberflächen, Teil 5

Die Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT geht weiter. In der Liste der Top IoT Vulnerabilities von OWASP sind wir immer noch bei Platz 1, dem "Insecure Web Interface". Aber wenigstens sind wir beim zweiten der von OWASP für die IoT-Weboberflächen für relevant gehaltenen Punkte der OWASP Top 10 der Webschwachstellen: A3 - Cross-Site Scripting (XSS).

OWASP Web Top 10 A3: Cross-Site Scripting (XSS)

"Die IoT Top 10, #1: Unsichere Weboberflächen, Teil 5" vollständig lesen

Die IoT Top 10, #1: Unsichere Weboberflächen, Teil 4

Die Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT zieht sich zugegebenermaßen etwas hin. Was daran liegt, dass auf der Liste der Top IoT Vulnerabilities von OWASP auf Platz 1 das "Insecure Web Interface" steht, und zur Sicherheit im Web gibt es bekanntlich eine eigene OWASP Top 10 Liste. Auch wenn OWASP davon nur einen Teil für die IoT-Weboberflächen für relevant hält gibt es da einiges zu beachten.

"Die IoT Top 10, #1: Unsichere Weboberflächen, Teil 4" vollständig lesen

Die IoT Top 10, #1: Unsichere Weboberflächen, Teil 3

Die Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT geht weiter. Auf der Liste mit den Top IoT Vulnerabilities von OWASP steht auf Platz 1 das "Insecure Web Interface". Die ersten dort aufgeführten Schwachstellen werden auf der Liste der OWASP Top 10 Webschwachstellen unter dem Punkt A1, Injection zusammengefasst. Einen Teil davon habe ich bereits behandelt: SQL Injection, LDAP Injection und XPath Injection sowie NoSQL Injection und OS Injection / OS Command Injection. In dieser Folge geht es um zwei weitere der noch fehlenden Schwachstellen bzw. Angriffe.

OWASP Web Top 10 A1: Injection

6. SMTP Injection

"Die IoT Top 10, #1: Unsichere Weboberflächen, Teil 3" vollständig lesen

Die IoT Top 10, #1: Unsichere Weboberflächen, Teil 2

Es geht weiter mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT. Auf der Liste der Top IoT Vulnerabilities von OWASP steht auf Platz 1 das "Insecure Web Interface". Die ersten dort aufgeführten Schwachstellen werden auf der Liste der OWASP Top 10 der Webschwachstellen unter dem Punkt A1, Injection zusammengefasst. Einen Teil davon habe ich bereits im ersten Teil behandelt: SQL Injection, LDAP Injection und XPath Injection. In dieser Folge geht es um die fehlenden Schwachstellen bzw. Angriffe.

OWASP Web Top 10 A1: Injection

"Die IoT Top 10, #1: Unsichere Weboberflächen, Teil 2" vollständig lesen

Die IoT Top 10, #1: Unsichere Weboberflächen, Teil 1

Ab dieser Folge geht es hier um die gefährlichsten Schwachstellen in den Geräten des IoT. Dabei orientiere ich mich an den Top IoT Vulnerabilities von OWASP. Auf Platz 1 steht dort das "Insecure Web Interface". Und in der Tat hat man den Eindruck, die Entwickler der Weboberflächen für die IoT-Geräte hätten es darauf angelegt, alle Schwachstellen, die man im Web vor 10 oder 15 Jahren gemacht hat, in ihren Oberflächen zu wiederholen.

Die Top 10 der Web-Schwachstellen in einem Punkt

"Die IoT Top 10, #1: Unsichere Weboberflächen, Teil 1" vollständig lesen

IoT-Sicherheit: Passwort ändern nicht vergessen!

Ein der größten Gefahren im IoT geht von Default-Zugangsdaten aus: Werden die bei der Installation nicht auf individuelle Werte geändert, kann Schadsoftware mit den i.A. bekannten Default-Zugangsdaten auf das IoT-Gerät zugreifen und es z.B. in ein Botnet integrieren. Und das gilt für alle Zugangsdaten, egal ob Telnet, Fernwartung, Weboberfläche, ... - einem Angreifer ist jeder Weg Recht, Zugriff auf ein Gerät zu bekommen.

Mirai: 62 Zugangsdaten reichen aus

"IoT-Sicherheit: Passwort ändern nicht vergessen!" vollständig lesen