Skip to content

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 4

Bei der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP sind wir beim Punkt 2 angekommen: "Insufficient Authentication/Authorization". Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben. Ebenso erste Angriffe: Default-Zugangsdaten und schlechte (= unsichere) Passwörter sowie Brute-Force- und Wörterbuch-Angriffe, die durch verräterische Fehlermeldungen erleichtert werden können. Das nächste Problem sind

Ungeschützt übertragene Zugangsdaten

Werden die Zugangsdaten über eine ungeschützte HTTP-Verbindung übertragen, können sie dabei u.U. von einem Angreifer gelesen werden. Je nachdem, von wo der Benutzer auf das IoT-Gerät oder allgemein die Webanwendung zugreift, gibt es unterschiedliche Möglichkeiten für eine Beobachtung der Daten:

  • im lokalen Netz des Benutzers
  • beim ISP des Benutzers
  • während der Übertragung über das Internet (bzw. auf dem Internet-Backbone)
  • beim ISP des IoT-Geräts oder der Webanwendung
  • im lokalen Netz des IoT-Geräts oder der Webanwendung

So lange sich Benutzer und IoT-Gerät im eigenen lokalen Netz befinden erscheint das Risiko ziemlich gering, aber auch dort könnte es z.B. einen kompromittierten Rechner geben, über den ein Angreifer den Netzwerkverkehr belauscht. Und viele IoT-Geräte sind erst dann wirklich nützlich, wenn man über das Internet auf sie zugreift. Weshalb ich im folgenden auch von diesem Fall ausgehe.

Lange Wege, viele Lauscher

Meist durchlaufen die Daten, insbesondere also die Zugangsdaten, nach der Eingabe durch den Benutzer mehrere Netze, bevor sie beim IoT-Gerät oder der Webanwendung ankommen:

  • Ausgehend vom Rechner des Benutzers wandern die Daten
  • durch dessen lokales Netz
  • in das seines Zugangsproviders,
  • weiter über den Internet-Backbone
  • in das Netz des Zugangsproviders des IoT-Geräts oder der Webanwendung,
  • dann in deren lokales Netz bis
  • zum IoT-Gerät oder dem Server der Webanwendung.

Auf jedem beteiligten Rechner, Router, ... können sie dabei beobachtet werden. Und angesichts der Möglichkeit, eine Verbindung durch Hijacking über einen anderen Rechner umzuleiten ist das nicht mal auf die direkt beteiligten Komponenten beschränkt. Und seit den Enthüllungen von Edward Snowden wissen wir ja, dass zumindest die Geheimdienste fleißig Netzwerkverbindungen belauschen und sammeln, was sie an Daten unter die virtuellen Finger bekommen.

HTTPS unsicher verwendet

Selbst wenn die Anmeldung über das verschlüsselte HTTPS statt des unverschlüsselten HTTP erfolgt, gibt es noch mehrere Stellen, an denen die Zugangsdaten ungeschützt sein können:

  • GET-Parameter werden im Query-String übertragen und in der Browser-History des Benutzers und ggf. auch in Bookmarks gespeichert. Auch wenn die auf einem anderen Rechner, z.B. in der Cloud, gespeichert werden. Gelingt einem Angreifer ein Einbruch in eines dieser Systeme, kann er die so gespeicherten Daten lesen.
  • Werden die Zugangsdaten in Cookies auf dem Client gespeichert, sind sie ebenfalls gefährdet:
    • Die Cookies können auf dem Client ausgespäht und danach vom Angreifer zur Anmeldung bei der Webanwendung verwendet werden. Das kann zum einen indirekt über XSS geschehen, zum anderen kann ein Angreifer, der auf den Client-Rechner z.B. über eine Backdoor zugreifen kann, die Cookies auch direkt lesen.
    • Während einer HTTPS-Sitzung gesetzte Cookies, deren 'Secure'-Flag nicht gesetzt ist, können z.B. bei der Nutzung eines ungeschützten WLAN ausgespäht werden.

Ein weiteres Problem bei der Verwendung von HTTPS ist die Frage nach dem richtigen Zeitpunkt für den Wechsel vom ungeschützten HTTP zum geschützte HTTPS. Oft wird die Seite für die Anmeldung über HTTP geladen und erst beim Versenden der Zugangsdaten zu HTTPS gewechselt. Dies ist aber unsicher, schon die Anmelde-Seite muss über HTTPS geladen werden. Nur so kann der Benutzer sicher sein, das er die richtige Seite verwendet und die eingegebenen Daten auch wirklich an den gewünschten Server geschickt werden. Ansonsten könnte ein Angreifer im Rahmen eines Man-in-the-Middle-Angriffs die Anmelde-Seite so manipulieren, das die Zugangsdaten an seinen Server und/oder unverschlüsselt geschickt werden.

Auch in der nächsten Folge geht es weiter um die (Un-)Sicherheit der Authentifizierung.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 5

Vorschau anzeigen
Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization". Die ve

Dipl.-Inform. Carsten Eilers am : Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 6

Vorschau anzeigen
Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization". Die ve

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

Dipl.-Inform. Carsten Eilers am : Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 18

Vorschau anzeigen
Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization". Die ve

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!