MQTT im Industrial IoT / IIoT-Umfeld: Die häufigsten Sicherheitsprobleme

By Rafael Fedler Sep 01, 2020
Seit einiger Zeit erhält NSIDE mehr und mehr Anfragen für Sicherheitstests für Lösungen, die auf MQTT aufbauen oder MQTT-Komponenten an zentraler Stelle einsetzen. Dies ist auch nicht erstaunlich: MQTT ist ein IoT-Protokoll. Da IoT immer mehr an Bedeutung gewinnt und es mehr Produkte und Lösungen für den IoT-Sektor gibt, spielt auch MQTT eine immer größer werdende Rolle. Daher möchten wir in diesem Artikel einen groben Überblick über MQTT-Sicherheit geben. Wie so viele Themen der IT-Sicherheit könnte man auch über die Sicherheit von MQTT eine mehrseitige Abhandlung schreiben. Da dies den Rahmen sprengen würde, beschränken wir uns an dieser Stelle auf eine sehr grobe Einführung. Kurze Einführung: Was ist MQTT? MQTT ist zwar ein Protokoll auf Anwendungsebene, konzeptionell handelt es sich…
mehr lesen

2-Faktor-Authentifizierung (2FA): Perfekte Sicherheit – oder Alles voller Sicherheitslücken?

By Rafael Fedler Jun 23, 2020
In den letzten Jahren machen Unternehmen vermehrt ihre internen digitalen Dienste, also Dienste für Mitarbeiter wie z.B. E-Mail-Zugang, Intranet, Netzwerkdateifreigaben, virtuelle Desktop-Arbeitsplätze (RDP und VDI) nicht nur von innerhalb des Unternehmens, sondern auch von außerhalb zugreifbar. Dies soll es den Mitarbeitern ermöglichen, auch von unterwegs (Roadwarrior) oder von zu Hause (Home Office) auf diese Dienste zuzugreifen. Die Home-Office-Welle, die dem Ausbruch von Corona/CoViD-19 folgte, hat diesen Trend noch weiter bestärkt und beschleunigt. Um Zugriff auf diese internen Dienste zu gewähren, schützen Unternehmen diese mit verschiedenen Methoden: Zugriff aus dem Internet, nur mit Nutzername und Passwort - oft handelt es sich hierbei um das interne Nutzerpasswort, zum Beispiel aus dem Windows Active Directory Zugriff per VPN - entweder per Nutzername und…
mehr lesen

IT-Sicherheits-Überprüfungen – welche gibt es und welche ist die Richtige für mich?

By Rafael Fedler Mai 07, 2020
Im Bereich IT-Sicherheit gibt es viele verschiedene Test-Arten. Dies kann für Unternehmen, die sich gegen Hacker-Angriffe und andere Sicherheitsrisiken absichern wollen, mitunter verwirrend sein. Daher möchten wir von der NSIDE Ihnen in diesem Blog-Post einen Überblick über die verschiedenen IT-Sicherheits-Tests, die es gibt, bieten. Ferner gehen wir auf die Fragen ein, wer welche Tests durchführen sollte, und wofür. Grob gibt es drei größere Klassen an Überprüfungen, die sich wiederum weiter aufteilen. Diese drei großen Testklassen sind Scans, Tests und Audits. Scans Scans sind vollautomatische Sicherheitsüberprüfungen. Sie prüfen - auf Grund ihrer Automatisierung - fast immer nur auf technische Sicherheitsprobleme: das Vorhandensein gewisser technischer Sicherheitsmaßnahmen oder Schwachstellen. Ihr Vorteil ist, dass sie sehr effizient sind - aber auch weniger effektiv als…
mehr lesen

Purple Team statt Red Team: Effizientes Maximieren der eigenen Verteidigungsstärke

By Rafael Fedler Mrz 23, 2020
In der offensiven IT-Sicherheit gibt es verschiedene Test-Typen: Neben den altbekannten Penetrationstests und Red Team Assessments etablieren sich seit einiger Zeit auch Purple Team Assessments. Bevor wir Purple Team Assessments vorstellen können, gehen wir nochmal kurz auf Red Team Assessments ein. Wiederholung: Penetrationstests und Red Team Assessments Sie kennen wahrscheinlich Penetrationstests: Dies sind technische Sicherheitsüberprüfungen auf einzelne Systeme, Anwendungen oder Netzwerke. Bei Red Team Assessments handelt es sich hingegen um vollumfängliche (d.h. nicht nur technische) und realistische Angriffssimulationen gegen Unternehmen als Ganze mit allen Mitteln der Kunst. Bei Red Team Assessments findet und schließt man Wege, die ein professioneller Angreifer nutzen würde, um verschiedene hochschädliche Aktionen gegen das Zielunternehmen durchzuführen. Hierzu gehören beispielsweise: das Stehlen von wichtigem geistigem Eigentum (wie…
mehr lesen

Hacker im Home Office in Zeiten von Corona (CoViD-19)

By Rafael Fedler Mrz 23, 2020
Dieser Tage überhäufen sich die Social Media Posts wegen Corona-Virus (CoViD-19 bzw. SARS-CoV-2) und Home Office. Wir bei der NSIDE haben uns gedacht: Da machen wir doch mit! Der Unterschied zu den vielen anderen Posts: Wir betrachten Home Office-Settings nicht aus Firmen- und Verteidiger-, sondern aus Angreifersicht. Die Ausgangslage Sie haben Ihre Mitarbeiter ins Home Office geschickt. Dort sitzen die Kollegen nun mit ihren Arbeitslaptops oder, im schlimmeren Fall, mit ihren Privatgeräten (privater PC oder Laptop, Smartphone oder Tablet) und greifen von daheim auf sensibelste Unternehmensdaten zu. Und da fängt der Spaß für die Angreifer schon an. Angriffe daheim Wenn Ihre Mitarbeiter von daheim auf Ihre Unternehmensressourcen zugreifen, haben Sie potentiell mehrere Probleme. Wenn Sie zum Beispiel nicht den gesamten…
mehr lesen

Android Apps: From Simple Vulnerabilities to Permanent Malware Infection

By Rafael Fedler Mrz 31, 2016
Introduction Many people underestimate the possibilities a remote attacker has who managed to exploit a remote code execution vulnerability on Android devices. On Windows systems, it is widely accepted that a vulnerability in one software can lead to the compromise of other software and, ultimately, to the infection of the whole system. The same is, in fact, also possible for Android, even though many people believe the attacker would be confined to the vulnerable app's context (in the Android file system and UID/GID sandboxing sense). In this blog post we will show how a vulnerability in one single app can lead to the permanent (and virtually irreversible) infection of an Android device with malware. To this end we will walk…
mehr lesen

Burp and TCP Connection Reuse / TCP Streaming

By Rafael Fedler Jun 19, 2015
Recently we were working on an engagement to test a fat client using a web service and ran into a problem with Burp. Surprisingly enough, there was not a single resource on the Internet to help us out. Hoping that others dealing with the same issue won't lose their sanity like we almost did, I am writing this blog post now ;) We were trying to test a web application, or rather a client application (a binary!) communicating with a web service built on top of an HTTP REST API, with Burp as a transparent/invisible proxy in between. For some completely unknown reason, when Burp was between the client software and the server, the client application just refused to log…
mehr lesen