Welche Schwachstellen kennen und beheben?
Sensible Daten stehen wegen Falschkonfiguration zum Download bereit. Verschlüsselte Verbindungen sind nicht zwingend sicher. Consumer Electronic, netzgebundene Speicher und Hausautomationssysteme sind direkt im Internet mit wenig oder gar ohne Sicherheitsmassnahmen ansprechbar. Dies sind einige der Problematiken, welcher der diesjährige Swiss Vulnerability Report aufdeckt.
Zum vierten Mal veröffentlicht die First Security Technology AG (FST) den Swiss Vulnerability Report (SVR). Der jährliche Report, um mehr über die Sicherheit der Schweizer Internet-Landschaft zu erfahren. Die FST ist der Schweizer Hersteller von IT-Schwachstellen-Analysesystemen.
Die Meldungen von gehackten Unternehmungen nehmen drastisch zu und scheinen noch nicht den Höhepunkt erreicht zu haben. Keine Branche ist sicher davor und vermeintlich gut geschützte Unternehmungen trifft es genauso wie kleinere Unternehmungen, welche denken bei ihnen sei nichts zu holen. Für den erfolgreichen Einbruch in IT Systeme und Datenmissbrauch nutzen Cyberkriminelle, wie auch Geheimdienste, Schwachstellen aus. Bei Schwachstellen kommt den Meisten zuerst die der Software Hersteller in den Sinn. Falschkonfigurationen von IT Systemen, zum Beispiel durch keine oder Standard Passwörter oder das Anbieten von Diensten, denen man sich nicht bewusst ist, kommt öfters vor als zuerst vermutet.
Herausforderung Passwörter
Angebotene Dienste und Daten sind meist mit Benutzernamen und Passwörter geschützt. Wenn diese Dienste keine Schwachstellen anbieten, um die Autorisierung zu umgehen, ist es maximal so sicher wie das gewählte Passwort. Bei FTP wurde geprüft, bei wie vielen ein Login ohne Passwort möglich ist. Bei über 2‘600, dies entspricht 4,2%, ist dies möglich und die meisten bieten dies ungewollt an, da sie ihre Systeme nicht richtig konfigurierten. Bei geschätzt über 10% dieser Systeme liegen sensitive Daten wie Backups, Kundendaten, interne Dokumente bis hin zu der Steuererklärung. Ebenfalls verbreitet sich Malware über solche ungeschützte Dateiablagen indem es sich dort speichert und auf das Öffnen wartet.
Die üblichen Verdächtigen sind Web und E-Mail
Die Web Services sind die weitaus am Meisten angebotenen Dienste. Gut zugenommen hat dieses Jahr die Anzahl von HTTPS Diensten. Die verschlüsselte Variante findet sich über 225‘000 mal im Schweizer Internet. Dagegen hat die unverschlüsselte Variante auf unter 180‘000 abgenommen. Ein klarer Trend, um Verbindungen über das Internet durch Verschlüsselung sicherer zu gestalten. Das Sicherheitsbewusstsein hat auch bei den Datenbanken Einzug gehalten. Viel weniger Datenbanken sind heute direkt aus dem Internet erreichbar
Verschlüsselung ist nicht gleich Verschlüsselung
Die letzten zwei Jahre haben gezeigt, dass in SSL- und TLS-Verschlüsselungen einige Schwachstellen mit teils gravierenden Auswirkungen vorhanden sind. Immer noch sind 78‘000 Server auf Poodle und 25‘000 auf Freak anfällig. Bei über 26‘000 Diensten ist der Private Key mittels dem Angriff Drown auslesbar. Durch das zusätzliche Messen der Mehrfachverwendung derselben Zertifikate auf verschiedenen Diensten und Servern wird schnell klar, dass durch ausnutzen von Drown die Schlüssel zur Verfügung stehen, um im Augenblick als unknackbar bezeichnete Verschlüsselungen zu entschlüsseln.
Consumer Elektronik usw. auch bei Firmen im Einsatz
Die Sichtbarkeit von Consumer Electronic und NAS hat um einiges zugenommen. Diese Systeme wurden meist nicht mit Bezug auf Sicherheit entwickelt. Solche Geräte wie z.B. Smart TVs findet man immer öfters in Firmen und bietet ein Einfallstor, wenn diese direkt aus dem Internet ansprechbar sind. Ähnlich ist es bei den Hausautomationssystemen. Viele dieser sind sichtbar und zu wenig geschützt.
Pressemeldung First Security Technology, Chur
