Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

DSAG-Technologietage 2018
20.02.18 - 21.02.18
In Stuttgart

Sourcing von Application Management Services
21.02.18 - 21.02.18
In Frankfurt

Next Generation SharePoint
22.02.18 - 22.02.18
In München

Bei der Untersuchung der Alarmanlage Lupusec XT1 des Herstellers Lupus Electronics haben Mitarbeiter des Sicherheitsberatungsarms FOXMOLE der KeyIdentity GmbH mehrere kritische Schwachstellen entdeckt. Ein Statement von Dr. Amir Alsbih, COO von KeyIdentity.

So sind potenzielle Angreifer in der Lage, die Zugangsdaten des Anwenders mitzulesen, wenn er sich einloggt. Damit können die Angreifer sich im Nachgang als legitimen Anwender authentifizieren. Grund ist, dass die Informationen ohne Verschlüsselung übertragen werden. Darüber hinaus ist die Alarmanlage auch gegen Cross-Site-Request-Forgery-Angriffe ungeschützt. Angreifer können ein neues Passwort setzen, indem sie sie den Administrator der Alarmanlage auf eine bösartige Webseite locken.

Außerdem befindet sich in der Alarmanlage eine nicht dokumentierte Hintertür, über die ein Angreifer die Kontrolle über das System erlangen kann. Obwohl die Schwachstellen bereits vor einiger Zeit an den Hersteller gemeldet wurden, sind diese bis heute nicht behoben.  

„Alarmanlagen, die derart viele Sicherheitslücken aufweisen, wiegen den Anwender in falscher Sicherheit. Wenn Kriminelle sie überlisten wollen, haben sie ein leichtes Spiel. Hersteller stehen in der Pflicht, ihre Systeme gerade gegen die typischen Angriffsmethoden bestmöglich abzusichern. Das Open Web Application Security Project, das de facto die Standards für Anwendungssicherheit setzt, nennt die Cross Site Request Forgery in seiner Top 10 der größten Sicherheitsrisiken. Es ist bestürzend, dass die untersuchte Alarmanlage hiergegen so unzureichend geschützt ist und dass der Hersteller die ihm bekannten Sicherheitslücken bis heute nicht behoben hat.

Nicht weniger schwerwiegend sind die Versäumnisse bei der Verschlüsselung von Zugangsdaten. Wenn Nutzerpasswörter im Klartext übertragen werden, hilft auch das komplexeste Passwort nichts! Zugangsdaten müssen verschlüsselt verschickt und auf sicherem Weg (sicheres Hash-Verfahren, inklusive zufällige SALTs) gespeichert werden. Um für ein Höchstmaß an Sicherheit zu sorgen, ist es außerdem sinnvoll, nicht nur ein Passwort abzufragen, sondern möglichst mehrere Faktoren zur Überprüfung der Nutzeridentität heranzuziehen. Eine effektive Möglichkeit Systeme gegen unberechtigten Zugriff zu schützen, bieten etwa sogenannte One-Time-Push-Tokens. Dabei kann einem Nutzer parallel zur Eingabe des Passworts eine Meldung auf sein Smartphone gesendet werden, die er bestätigen muss. Klickt er nicht, wird der Zugang verwehrt, selbst wenn das Passwort korrekt war. Diese sogenannte Multi-Faktor-Authentifzierung trägt dazu bei, sicherheitskritische Systeme wie Alarmanlagen besser zu schützen.“

GRID LIST
Tb W190 H80 Crop Int 0baa84d5af7d1c50465c2654a099a257

Business Resilience - Die strategische Bedeutung in der Zukunft

Die Risikolandschaft für Unternehmen wandelt sich rapide. Risiken wie Cyber-Attacken,…
Akquisition

One Identity akquiriert Balabit

One Identity, aus dem Quest Software-Geschäft, Anbieter von Identity- und…
Tb W190 H80 Crop Int 012b6eb4c3c52524aa9c47fd50600b58

Wechsel in der Geschäftsführung von 1&1 Versatel

Walter Denk ist seit dem 1. Januar 2018 neuer Vorsitzender der Geschäftsführung von 1&1…
Tb W190 H80 Crop Int 2786af63badcfb6ff7c34b63193dc02a

Igel verstärkt Vertriebsteam in Deutschland auf zwei Positionen

Igel baut zu Beginn des neuen Jahres den Bereich Sales in Deutschland mit zwei neu…
Tb W190 H80 Crop Int 68f4a13f6e46f03f9842ca7573abdf9b

Maersk und IBM bilden Joint Venture für Blockchain

Maersk (MAERSKb.CO) und IBM (NYSE: IBM) gaben ihre Absicht bekannt, ein Joint Venture zu…
Tb W190 H80 Crop Int 64a540790d154967eecbedcafdcc467f

Frédéric Cremer steigt als COO bei Staramba ein

Frédéric Cremer, 41, verstärkt das Management des Virtual-Reality (VR)- Vorreiters…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security