Bei der Beschreibung der gefährlichsten Schwachstellen in den Geräten
des IoT gemäß den
Top IoT Vulnerabilities
von OWASP sind wir immer noch bei Platz 1, dem
"Insecure Web Interface".
Aber wenigstens sind wir beim dritten (und letzten) der von OWASP für die
IoT-Weboberflächen für relevanten gehaltenen Punkte der OWASP Top 10 der
Webschwachstellen angekommen:
A8 - Cross-Site Request Forgery (CSRF).
Die Beschreibung der gefährlichsten Schwachstellen in den Geräten
des IoT geht weiter. In der Liste der
Top IoT Vulnerabilities
von OWASP sind wir immer noch bei Platz 1, dem
"Insecure Web Interface".
Aber wenigstens sind wir beim zweiten der von OWASP für die
IoT-Weboberflächen für relevant gehaltenen Punkte der OWASP Top 10 der
Webschwachstellen:
A3 - Cross-Site Scripting (XSS).
Die Beschreibung der gefährlichsten Schwachstellen in den Geräten
des IoT zieht sich zugegebenermaßen etwas hin. Was daran liegt, dass
auf der Liste der
Top IoT Vulnerabilities
von OWASP auf Platz 1 das
"Insecure Web Interface"
steht, und zur Sicherheit im Web gibt es bekanntlich eine eigene OWASP Top
10 Liste. Auch wenn OWASP davon nur einen Teil für die
IoT-Weboberflächen für relevant hält gibt es da einiges zu
beachten.
Es gibt mal wieder einen 0-Day-Exploit. Und wie schon fünf von elf mal
in diesem Jahr
ist mal wieder der Flash Player Ziel der Angriffe. Damit geht mal wieder
die Hälfte aller 0-Day-Exploits aufs Konto des Flash Players (6/12).
Auch
2015
waren es 9 der 18 veröffentlichten 0-Day-Exploits.
Für was braucht man das Ding doch gleich noch? Bei mir ist der schon
ewig nicht mehr installiert, und bisher habe ich ihn nie vermisst. Da
drängt sich der Verdacht auf, dessen einziger wirklicher "Nutzen"
besteht darin, darüber Schädlinge zu verbreiten.
Im
Entwickler Magazin 1.17
ist ein Artikel über Angriffe auf das IoT und das aus kompromittierten
IoT-Geräten aufgebaute Botnet "Mirai" erschienen.
Sowohl Botnets als auch DDoS-Angriffe gibt es schon seit langem. Inzwischen
haben die Cyberkriminellen das IoT für sich entdeckt, und ihre daraus
aufgebauten Botnets für DDoS-Angriffe in bisher ungeahnten
Ausmaßen genutzt.
Wer den Inhalt eines Update-Pakets kontrolliert, hat damit auch die
Kontrolle über das zugehörige System bzw. Programm. Entweder
automatisch und sofort nach der Veröffentlichung des Updates, wenn die
automatisch installiert werden. Oder mit etwas Verzögerung, nachdem
der Benutzer oder Admin das Update installiert hat. Weshalb man Updates
und ihre Installation auch möglichst gut absichert. Und weshalb
Komponenten wie z.B. der Windows Server Update Services für Angreifer
ein besonders interessantes Ziel sind.
Es geht weiter mit der Beschreibung der gefährlichsten Schwachstellen in den
Geräten des IoT. Auf der Liste der
Top IoT Vulnerabilities
von OWASP steht auf Platz 1 das
"Insecure Web Interface".
Die ersten dort aufgeführten Schwachstellen werden auf der Liste der OWASP
Top 10 der Webschwachstellen unter dem Punkt
A1, Injection
zusammengefasst. Einen Teil davon habe ich bereits im
ersten Teil
behandelt: SQL Injection, LDAP Injection und XPath Injection. In dieser
Folge geht es um die fehlenden Schwachstellen bzw. Angriffe.
Zur Zeit laufen Angriffe mit einem
0-Day-Exploit
auf die Windows-Version des TorBrowsers, die auch gegen den ihm zu Grunde
liegenden Firefox funktionieren. Die Firefox-Entwickler
kennen
die
Schwachstelle
mit der CVE-ID
CVE-2016-9079
seit dem
29. November,
und inzwischen wurden Updates für
Firefox
und
TorBrowser
veröffentlicht.
Sie sollten die Updates schnellstmöglich installieren, bevor die
Cyberkriminellen anfangen, den Exploit im großen Maßstab
für Drive-by-Infektionen einzusetzen.