Inhalte überspringen »
Alle Topthemen
Donnerstag, 5. November 2009
About Security #229: Schwachstellen-Suche: Authentifizierung - Daten übertragen
Wie werden Zugangsdaten sicher übertragen? Für die Richtung vom
Benutzer zur Webanwendung nimmt man dafür SSL/TLS - aber was ist mit
der Übertragung der von der Webanwendung während der
Registrierung erzeugten Daten? Die müssen an den Benutzer
übermittelt werden, und das, ohne dass Unbefugte sie dabei zu sehen
bekommen.
In einem Intranet ist die sichere …
Donnerstag, 29. Oktober 2009
About Security #228: Schwachstellen-Suche: Authentifizierung - Vorhersagbares
Manche Webanwendungen erzeugen bei der Registrierung vorhersagbare
Benutzernamen und/oder Passwörter. Während die Gefahr eines
vorhersagbaren Passworts offensichtlich ist, ist ein vorhersagbarer
Benutzername zumindest auf den ersten Blick nicht gefährlich. Aber das
ist zumindest zum Teil ein Irrtum.
Vorhersagbare Benutzernamen
Manche Webanwendungen, bei denen die Benutzer ihren Benutzernamen nicht
selbst auswählen können, erzeugen …
Donnerstag, 22. Oktober 2009
About Security #227: Schwachstellen-Suche: Authentifizierung - "Doppelte Benutzer"
Wie jedem klar sein dürfte und es auch schon in About Security
#226
beschrieben wurde, können mehrfach vergebene Benutzernamen zu
unerwarteten Reaktionen der Webanwendung führen. Darum müssen
Webanwendungen (sowie alle anderen Programme und Systeme, die Benutzernamen
verwenden) bei der Registrierung gewählte Benutzernamen daraufhin
prüfen, ob sie schon vorhanden sind oder nicht. Außer dem Fall
der absichtlich …
Donnerstag, 15. Oktober 2009
About Security #226: Schwachstellen-Suche: Authentifizierung - "Halbe Passwörter"
Schwachstellen im Bereich der Authentifizierung müssen nicht
automatisch sofort dazu führen, dass ein Angreifer sich ohne
Zugangsdaten zu kennen, anmelden kann. Viele Schwachstellen erleichtern
"nur" andere Angriffe, sollten aber trotzdem nicht auf die leichte Schulter
genommen werden. Wie z.B. die unvollständige Prüfung der
Zugangsdaten.
Gute Passwörter
Gute Passwörter sind mindestens 8 Zeichen lang, …
Mittwoch, 14. Oktober 2009
Patchday - Microsoft stopft 33 Schwachstellen, Adobe 29
Am Oktober-Patchday hat Microsoft wie
angekündigt
8 als kritisch und 5 als wichtig eingestufte Security Bulletins
veröffentlicht,
mit denen insgesamt 33 Schwachstellen behoben werden. Ursprünglich waren
34 Schwachstellen angekündigt worden, eine wurde jedoch doppelt gezählt,
da sie in zwei Security Bulletins vorkommt. Trotzdem ist dieser Patchday
einsame Spitze: Mehr Security Bulletins …
Donnerstag, 8. Oktober 2009
About Security #225: Schwachstellen-Suche: Authentifizierung - "User Impersonation"
Manche Webanwendungen stellen privilegierten Benutzern eine "User
Impersonation"-Funktion zur Verfügung, mit der sie die Identität
eines anderen Benutzers annehmen können, um dann Aktionen in dessen
Benutzerkontext auszuführen. Das kann z.B beim Nachvollziehen der
Benutzeraktionen durch den Helpdesk oder bei der Untersuchung aufgetretener
Probleme durch den Administrator hilfreich sein, kann aber, wenn die
Funktion ungeschickt implementiert ist oder …
Mittwoch, 30. September 2009
About Security #224: Schwachstellen-Suche: Authentifizierung - "Remember me"
Manchmal muss ein Angreifer gar nicht die Login-Funktion angreifen, um sich
Zugriff zu einer Webanwendung zu verschaffen. Stattdessen nutzt er die
"Remember me"-Option vieler Webanwendungen.
"Remember me"
Viele Webanwendungen bieten dem Benutzer die Möglichkeit, ohne Eingabe
von Benutzername und Passwort Zugriff auf die Webanwendung zu erlangen,
wenn er sie von einem bestimmten …
Donnerstag, 24. September 2009
About Security #223: Schwachstellen-Suche: Authentifizierung - Passwort-Reset (2)
In About Security
#222
wurden unsichere Möglichkeiten beschrieben, um dem Benutzer ein neues
Passwort zukommen zu lassen oder ihm ohne Passwort Zugriff auf die
Webanwendung zu gewähren.
Unsicherer geht immer
Diese Möglichkeiten, bei denen ein Benutzer nach dem Bestehen des
Challenge-Response-Verfahrens mehr oder weniger sofort Zugriff auf die
Webanwendung erhält, werden noch …
Donnerstag, 17. September 2009
About Security #222: Schwachstellen-Suche: Authentifizierung - Passwort-Reset
Eine Webanwendung bietet ihren Benutzern mindestens zwei Möglichkeiten,
ihr Passwort zu ändern (oder sollte sie zumindest bieten): Zum einen
die in About Security
#221
untersuchte Funktion zur Passwortänderung, zum anderen die Funktion,
mit der ein vergessenes Passwort zurück gesetzt, bzw. mit
der ein neues Passwort angefordert werden kann.
Vergessenes Passwort
Funktionen, mit …
Donnerstag, 10. September 2009
About Security #221: Schwachstellen-Suche: Authentifizierung – Passwort ändern
Die in About Security
#218,
#219
und
#220
beschriebenen Schwachstellen erfordern entweder eine weitere Schwachstelle,
über die der Angreifer in ein lokales Netz oder einen Server
eindringen kann, oder können nur von einem Angreifer ausgenutzt
werden, der sich zwischen Webanwendung und Benutzer befindet. Für den
Angreifer einfacher auszunutzen sind Schwachstellen, über die er die
Zugangsdaten anderer Benutzer …
Mittwoch, 9. September 2009
Microsofts Patchday: 8 Schwachstellen behoben, eine neu entdeckt
Am September-Patchday hat Microsoft wie angekündigt fünf jeweils als
kritisch eingestufte Security-Bulletins veröffentlicht, mit denen insgesamt 8
Schwachstellen behoben werden. Nur eine davon war zuvor bekannt.
Außerdem wurde das im August veröffentlichte Bulletin MS09-037 aktualisiert und eine neue Schwachstelle im
SMB2.0-Kerneltreiber veröffentlicht, die evtl. die Ausführung
beliebigen Codes erlaubt.
MS09-045 - Eine Schwachstelle in …
Montag, 7. September 2009
KW 37/09 - Standpunkt Sicherheit
Der Umgang mit E-Mails durch die CDU in Geldern liefert reichlich Stoff
für diesen Standpunkt Sicherheit.
Politiker auf der einen Seite, das Internet auf der anderen. Das kann man
drehen und wenden wie man will, fast immer kommt was merkwürdiges
dabei heraus. Was erwartet man, wenn irgendwo eine E-Mail-Adresse
angegeben wird? Also ich …
Donnerstag, 3. September 2009
About Security #220: Schwachstellen-Suche: Authentifizierung - Unsichere Kryptographie
Der unsichere Einsatz eigentlich sicherer Kryptographie-Algorithmen ist das Thema
dieser Folge.
Verschlüsseln, nicht kodieren!
Kodierung und Verschlüsselung werden manchmal als gleichwertig
angesehen - mit fatalen Folgen für die Sicherheit. Wird statt eines
erwiesenermaßen sicheren Kryptographie-Algorithmus nur ein gar nicht
für den Schutz der Daten vorgesehener Kodierungs-Algorithmus wie z.B.
die in About Security
#219 …
Donnerstag, 27. August 2009
About Security #219: Schwachstellen-Suche: Authentifizierung - Verschlüsselung
In About Security
#218
wurden beschrieben, wie die bei der Authentifizierung übertragenen
Daten ermittelt werden. Werden dabei keine Zugangsdaten als Klartext
beobachtet, müssen alle kodierten Daten daraufhin untersucht werden,
ob sie sich dekodieren oder entschlüsseln lassen und dabei die
gesuchten Zugangsdaten preisgeben.
Werden die Daten über HTTPS übertragen, sind sie durch die dabei
verwendeten …
Donnerstag, 20. August 2009
About Security #218: Schwachstellen-Suche: Authentifizierung - Die Übertragung
In About Security
#217
wurden die Stellen aufgeführt, an denen ungeschützt
übertragene Zugangsdaten von einem Dritten beobachtet werden
können. Selbst wenn man davon ausgeht, dass nur vertrauenswürdige
Personen zum Zugriff auf die beteiligten Komponenten autorisiert sind,
besteht immer noch die Möglichkeit, dass sich ein Angreifer Zugriff
darauf verschafft hat.
Hijacking
Wie in About …
Dienstag, 18. August 2009
Blaster - Ein Wurm gegen windowsupdate.com
Der Computerwurm
W32.Blaster
(auch
W32.Lovsan
oder MSBlast genannt) feierte am Sonntag ein Jubiläum: Am 16.
August 2003 sollte er einen DDoS-Angriffe auf Microsofts damaligen
Update-Server "windowsupdate.com" starten.
Ausgangspunkt: Eine RPC-Schwachstelle
Genau wie beim jetzt aktuellen Wurm
Conficker/Downadup
war auch bei Blaster eine Schwachstelle in der RPC-Implementierung von
Windows 2000 und …
Donnerstag, 13. August 2009
About Security #217: Schwachstellen-Suche: Authentifizierung - Ein Angriff
In About Security
#216
wurde u.a. beschrieben, wie ein Angreifer an eine Liste gültiger
Benutzernamen gelangt. Auf diese Namen kann dann ein Brute-Force-Angriff
zum Ermitteln der zugehörigen Passwörter durchgeführt
werden.
Letzte Vorbereitungen
Bevor der Brute-Force-Angriff gestartet wird, muss noch ein Unterschied
zwischen einem fehlgeschlagenen und einem erfolgreichen Login-Versuch
ermittelt werden, anhand dessen danach …
Mittwoch, 12. August 2009
Patchday: Microsoft behebt 19 Schwachstellen
Am August-Patchday hat Microsoft wie angekündigt
fünf kritische und vier wichtige Security-Bulletins
veröffentlicht.
Insgesamt werden damit 19 Schwachstellen behoben, von denen offiziell nur 2
zuvor bekannt waren.
Fünf kritische Bulletins
Im folgenden wird die Reihenfolge verwendet, in der Microsoft die Bulletins
selbst aufgeführt hat.
MS09-043
- Microsoft Office Web Components …
Donnerstag, 6. August 2009
About Security #216: Schwachstellen-Suche: Authentifizierung – Namen finden
In About Security
#214
und
#215
wurden einige mögliche Schwachstellen in der Authentifizierung
beschrieben. Im folgenden geht es um die Ausnutzung dieser Schwachstellen,
wobei davon ausgegangen wird, das die Authentifizierung durch Eingabe eines
Benutzernamens und des dazu gehörigen Passworts erfolgt.
Anmelde-Sperre erkennen
Eine Sperre, die nach eine bestimmten Anzahl fehlgeschlagener
Anmeldeversuche …
Donnerstag, 30. Juli 2009
About Security #215: Schwachstellen-Suche: Authentifizierung – Brute Force
In About Security
#214
wurde u.a. beschrieben, wie bzw. wieso es zur Wahl schlechter, d.h.
unsicherer Passwörter kommt. Wie kann ein Angreifer eine solche
Designschwäche ausnutzen?
Schwache Passwortregeln erkennen
Am einfachsten hat es ein Angreifer, wenn die Regeln für das Bilden
von Passwörtern auf der Website angegeben sind. Gibt es …
