Coders Conquer Security: Share & Learn Series - Sensitive Data Exposure
Die Offenlegung sensibler Daten war in den letzten Jahren für einige der bekanntesten und folgenreichsten Datenschutzverletzungen verantwortlich, wie z. B. die katastrophale Verletzung bei Marriott, bei der über 300 Millionen Kundendaten gestohlen wurden, und weitere 150 Millionen, als Equifax angegriffen wurde. Es ist ein mittleres Maß an Raffinesse erforderlich und manchmal auch eine spezielle Ausrüstung auf Seiten des Angreifers, aber in vielen Fällen ist es für einen Hacker nicht übermäßig schwer, es durchzuziehen, und es gibt Tools, um einige der Angriffsfunktionen zu automatisieren.
Die Offenlegung sensibler Daten tritt immer dann auf, wenn Informationen, die nur für eine autorisierte Ansicht bestimmt sind, in einem unverschlüsselten, ungeschützten oder schwach geschützten Zustand einer unbefugten Person zugänglich gemacht werden. Meistens handelt es sich dabei um Daten, die Hacker stehlen wollen, wie z. B. Kreditkartennummern, Benutzeridentifikationen, Geschäftsgeheimnisse und persönliche Informationen, die durch Gesetze und Branchenvorschriften geschützt sein könnten.
Hacker können sensible Informationen stehlen, wenn sie unverschlüsselt gespeichert sind oder indem sie indirekt das Verschlüsselungsschema angreifen. Anstatt zu versuchen, starke Verschlüsselung direkt zu entschlüsseln, stehlen sie stattdessen Kryptoschlüssel oder greifen Daten an, wenn sie in einen unverschlüsselten Zustand versetzt werden, z. B. wenn sie für den Transport vorbereitet werden.
In dieser Folge lernen wir:
- Wie Angreifer die Offenlegung sensibler Daten auslösen können
- Warum die Offenlegung sensibler Daten so gefährlich ist
- Techniken, die diese Sicherheitslücke beheben können.
Wie nutzen Angreifer die Offenlegung sensibler Daten aus?
Die Offenlegung sensibler Daten geschieht normalerweise, wenn Websites keine starke Ende-zu-Ende-Verschlüsselung zum Schutz der Daten verwenden oder wenn es ausnutzbare Schwachstellen im Schutzschema gibt. Es kann auch passieren, wenn die verwendete Verschlüsselung besonders schwach oder veraltet ist.
Hacker werden oft versuchen, Wege zu finden, um die Verschlüsselung zu umgehen, wenn sie nicht überall eingesetzt wird. Wenn beispielsweise eine Benutzeridentitätsdatenbank Informationen in einem verschlüsselten Zustand speichert, diese aber automatisch entschlüsselt, wenn sie abgerufen werden, könnte ein Hacker einen der bereits in diesen Blogs behandelten Angriffe wie SQL- oder XML-Injection nutzen, um die Datenbank anzuweisen, den Entschlüsselungsprozess durchzuführen. Dann wären die Daten für den Hacker entschlüsselt, ohne dass er zusätzlichen Aufwand betreiben müsste. Warum sollte man versuchen, eine Stahltür aufzubrechen, wenn man einfach den Schlüssel stehlen kann?
Schwache Verschlüsselung ist ebenfalls ein Problem. Wenn zum Beispiel Kreditkarten mit einem veralteten Verschlüsselungsschema gespeichert werden, könnte es ein Problem sein, wenn ein Hacker in der Lage ist, etwas wie eine lokale Dateieinschlussschwachstelle zu nutzen, um die gesamte Datenbank auf seinen Computer zu ziehen. Wenn die erfassten Daten mit einer starken Verschlüsselung wie AES-256 Bit geschützt wurden, wäre es viel schwieriger, sie zu knacken, wenn sie in den Besitz eines Hackers gelangen. Wenn jedoch eine schwächere oder veraltete Verschlüsselung verwendet wird, wie z. B. der ältere DES-Standard, dann kann ein Hacker mit spezieller Ausrüstung, wie z. B. einem Rack mit Grafikverarbeitungseinheiten (GPUs), diese einsetzen, um die Verschlüsselung in relativ kurzer Zeit zu knacken.
Warum ist die Offenlegung sensibler Daten gefährlich?
Die Offenlegung sensibler Daten ist gefährlich, weil dadurch unbefugte Benutzer geschützte Informationen sehen können. Wenn die Daten nicht wichtig wären, würden sie nicht geschützt werden, so dass jede Verletzung dieses Schutzes zu Problemen führen wird. Das ist keine Situation, mit der sich ein Unternehmen konfrontiert sehen möchte.
Wie viel Ärger eine Enthüllung sensibler Daten verursachen kann, hängt von der Art der Daten ab, die enthüllt werden. Wenn Benutzer- oder Kennwortdaten gestohlen werden, könnten diese für weitere Angriffe auf das System verwendet werden. Die Offenlegung persönlicher Daten könnte Benutzer sekundären Angriffen wie Identitätsdiebstahl oder Phishing aussetzen. Unternehmen könnten sich sogar durch hohe Geldstrafen und behördliche Maßnahmen gefährdet sehen, wenn die offengelegten Daten durch Gesetze wie den Health Insurance Portability and Accountability Act (HIPAA) in den USA oder die General Data Protection Regulation (GDPR) in Europa gesetzlich geschützt sind.
Eliminierung der Gefährdung sensibler Daten
Die Verhinderung der Offenlegung sensibler Daten beginnt mit der Sicherstellung einer starken, aktuellen und durchgängigen Verschlüsselung sensibler Daten in einem Unternehmen. Dies umfasst sowohl Daten im Ruhezustand als auch während der Übertragung. Es reicht nicht aus, sensible Daten zu verschlüsseln, während sie im Speicher liegen. Wenn sie vor der Verwendung oder vor dem Transport unverschlüsselt sind, können sie durch einen sekundären Angriff, der einen Server dazu bringt, sie zu entschlüsseln, offengelegt werden.
Daten im Transit sollten immer mit Transport Layer Security (TLS) geschützt werden, um eine Aufdeckung durch Man-in-the-Middle- oder andere Angriffe auf bewegte Daten zu verhindern. Und sensible Daten sollten niemals irgendwo im Netzwerk zwischengespeichert werden. Sensible Daten sollten entweder mit starker Verschlüsselung im Speicher liegen oder mit TLS-Schutz gesendet werden, damit Angreifer keine Schwachstellen ausnutzen können.
Machen Sie schließlich eine Bestandsaufnahme der Arten von sensiblen Daten, die von Ihrer Organisation geschützt werden. Wenn es für Ihre Organisation keinen Grund gibt, solche Daten zu speichern, dann entsorgen Sie sie. Warum sollten Sie sich potentiellem Ärger aussetzen, ohne einen möglichen Nutzen zu haben? Daten, die nicht von einer Organisation verwaltet werden, können auch nicht von ihr gestohlen werden.
Weitere Informationen zum Umgang mit sensiblen Daten
Als weitere Lektüre können Sie einen Blick darauf werfen, was OWASP über die Exposition sensibler Daten sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Secure Code Warrior Plattform testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Sensible Daten liegen immer dann vor, wenn Informationen, die nur für eine autorisierte Ansicht bestimmt sind, in unverschlüsseltem, ungeschütztem oder schwach geschütztem Zustand einer nicht autorisierten Person zugänglich gemacht werden.
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Die Offenlegung sensibler Daten war in den letzten Jahren für einige der bekanntesten und folgenreichsten Datenschutzverletzungen verantwortlich, wie z. B. die katastrophale Verletzung bei Marriott, bei der über 300 Millionen Kundendaten gestohlen wurden, und weitere 150 Millionen, als Equifax angegriffen wurde. Es ist ein mittleres Maß an Raffinesse erforderlich und manchmal auch eine spezielle Ausrüstung auf Seiten des Angreifers, aber in vielen Fällen ist es für einen Hacker nicht übermäßig schwer, es durchzuziehen, und es gibt Tools, um einige der Angriffsfunktionen zu automatisieren.
Die Offenlegung sensibler Daten tritt immer dann auf, wenn Informationen, die nur für eine autorisierte Ansicht bestimmt sind, in einem unverschlüsselten, ungeschützten oder schwach geschützten Zustand einer unbefugten Person zugänglich gemacht werden. Meistens handelt es sich dabei um Daten, die Hacker stehlen wollen, wie z. B. Kreditkartennummern, Benutzeridentifikationen, Geschäftsgeheimnisse und persönliche Informationen, die durch Gesetze und Branchenvorschriften geschützt sein könnten.
Hacker können sensible Informationen stehlen, wenn sie unverschlüsselt gespeichert sind oder indem sie indirekt das Verschlüsselungsschema angreifen. Anstatt zu versuchen, starke Verschlüsselung direkt zu entschlüsseln, stehlen sie stattdessen Kryptoschlüssel oder greifen Daten an, wenn sie in einen unverschlüsselten Zustand versetzt werden, z. B. wenn sie für den Transport vorbereitet werden.
In dieser Folge lernen wir:
- Wie Angreifer die Offenlegung sensibler Daten auslösen können
- Warum die Offenlegung sensibler Daten so gefährlich ist
- Techniken, die diese Sicherheitslücke beheben können.
Wie nutzen Angreifer die Offenlegung sensibler Daten aus?
Die Offenlegung sensibler Daten geschieht normalerweise, wenn Websites keine starke Ende-zu-Ende-Verschlüsselung zum Schutz der Daten verwenden oder wenn es ausnutzbare Schwachstellen im Schutzschema gibt. Es kann auch passieren, wenn die verwendete Verschlüsselung besonders schwach oder veraltet ist.
Hacker werden oft versuchen, Wege zu finden, um die Verschlüsselung zu umgehen, wenn sie nicht überall eingesetzt wird. Wenn beispielsweise eine Benutzeridentitätsdatenbank Informationen in einem verschlüsselten Zustand speichert, diese aber automatisch entschlüsselt, wenn sie abgerufen werden, könnte ein Hacker einen der bereits in diesen Blogs behandelten Angriffe wie SQL- oder XML-Injection nutzen, um die Datenbank anzuweisen, den Entschlüsselungsprozess durchzuführen. Dann wären die Daten für den Hacker entschlüsselt, ohne dass er zusätzlichen Aufwand betreiben müsste. Warum sollte man versuchen, eine Stahltür aufzubrechen, wenn man einfach den Schlüssel stehlen kann?
Schwache Verschlüsselung ist ebenfalls ein Problem. Wenn zum Beispiel Kreditkarten mit einem veralteten Verschlüsselungsschema gespeichert werden, könnte es ein Problem sein, wenn ein Hacker in der Lage ist, etwas wie eine lokale Dateieinschlussschwachstelle zu nutzen, um die gesamte Datenbank auf seinen Computer zu ziehen. Wenn die erfassten Daten mit einer starken Verschlüsselung wie AES-256 Bit geschützt wurden, wäre es viel schwieriger, sie zu knacken, wenn sie in den Besitz eines Hackers gelangen. Wenn jedoch eine schwächere oder veraltete Verschlüsselung verwendet wird, wie z. B. der ältere DES-Standard, dann kann ein Hacker mit spezieller Ausrüstung, wie z. B. einem Rack mit Grafikverarbeitungseinheiten (GPUs), diese einsetzen, um die Verschlüsselung in relativ kurzer Zeit zu knacken.
Warum ist die Offenlegung sensibler Daten gefährlich?
Die Offenlegung sensibler Daten ist gefährlich, weil dadurch unbefugte Benutzer geschützte Informationen sehen können. Wenn die Daten nicht wichtig wären, würden sie nicht geschützt werden, so dass jede Verletzung dieses Schutzes zu Problemen führen wird. Das ist keine Situation, mit der sich ein Unternehmen konfrontiert sehen möchte.
Wie viel Ärger eine Enthüllung sensibler Daten verursachen kann, hängt von der Art der Daten ab, die enthüllt werden. Wenn Benutzer- oder Kennwortdaten gestohlen werden, könnten diese für weitere Angriffe auf das System verwendet werden. Die Offenlegung persönlicher Daten könnte Benutzer sekundären Angriffen wie Identitätsdiebstahl oder Phishing aussetzen. Unternehmen könnten sich sogar durch hohe Geldstrafen und behördliche Maßnahmen gefährdet sehen, wenn die offengelegten Daten durch Gesetze wie den Health Insurance Portability and Accountability Act (HIPAA) in den USA oder die General Data Protection Regulation (GDPR) in Europa gesetzlich geschützt sind.
Eliminierung der Gefährdung sensibler Daten
Die Verhinderung der Offenlegung sensibler Daten beginnt mit der Sicherstellung einer starken, aktuellen und durchgängigen Verschlüsselung sensibler Daten in einem Unternehmen. Dies umfasst sowohl Daten im Ruhezustand als auch während der Übertragung. Es reicht nicht aus, sensible Daten zu verschlüsseln, während sie im Speicher liegen. Wenn sie vor der Verwendung oder vor dem Transport unverschlüsselt sind, können sie durch einen sekundären Angriff, der einen Server dazu bringt, sie zu entschlüsseln, offengelegt werden.
Daten im Transit sollten immer mit Transport Layer Security (TLS) geschützt werden, um eine Aufdeckung durch Man-in-the-Middle- oder andere Angriffe auf bewegte Daten zu verhindern. Und sensible Daten sollten niemals irgendwo im Netzwerk zwischengespeichert werden. Sensible Daten sollten entweder mit starker Verschlüsselung im Speicher liegen oder mit TLS-Schutz gesendet werden, damit Angreifer keine Schwachstellen ausnutzen können.
Machen Sie schließlich eine Bestandsaufnahme der Arten von sensiblen Daten, die von Ihrer Organisation geschützt werden. Wenn es für Ihre Organisation keinen Grund gibt, solche Daten zu speichern, dann entsorgen Sie sie. Warum sollten Sie sich potentiellem Ärger aussetzen, ohne einen möglichen Nutzen zu haben? Daten, die nicht von einer Organisation verwaltet werden, können auch nicht von ihr gestohlen werden.
Weitere Informationen zum Umgang mit sensiblen Daten
Als weitere Lektüre können Sie einen Blick darauf werfen, was OWASP über die Exposition sensibler Daten sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Secure Code Warrior Plattform testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Die Offenlegung sensibler Daten war in den letzten Jahren für einige der bekanntesten und folgenreichsten Datenschutzverletzungen verantwortlich, wie z. B. die katastrophale Verletzung bei Marriott, bei der über 300 Millionen Kundendaten gestohlen wurden, und weitere 150 Millionen, als Equifax angegriffen wurde. Es ist ein mittleres Maß an Raffinesse erforderlich und manchmal auch eine spezielle Ausrüstung auf Seiten des Angreifers, aber in vielen Fällen ist es für einen Hacker nicht übermäßig schwer, es durchzuziehen, und es gibt Tools, um einige der Angriffsfunktionen zu automatisieren.
Die Offenlegung sensibler Daten tritt immer dann auf, wenn Informationen, die nur für eine autorisierte Ansicht bestimmt sind, in einem unverschlüsselten, ungeschützten oder schwach geschützten Zustand einer unbefugten Person zugänglich gemacht werden. Meistens handelt es sich dabei um Daten, die Hacker stehlen wollen, wie z. B. Kreditkartennummern, Benutzeridentifikationen, Geschäftsgeheimnisse und persönliche Informationen, die durch Gesetze und Branchenvorschriften geschützt sein könnten.
Hacker können sensible Informationen stehlen, wenn sie unverschlüsselt gespeichert sind oder indem sie indirekt das Verschlüsselungsschema angreifen. Anstatt zu versuchen, starke Verschlüsselung direkt zu entschlüsseln, stehlen sie stattdessen Kryptoschlüssel oder greifen Daten an, wenn sie in einen unverschlüsselten Zustand versetzt werden, z. B. wenn sie für den Transport vorbereitet werden.
In dieser Folge lernen wir:
- Wie Angreifer die Offenlegung sensibler Daten auslösen können
- Warum die Offenlegung sensibler Daten so gefährlich ist
- Techniken, die diese Sicherheitslücke beheben können.
Wie nutzen Angreifer die Offenlegung sensibler Daten aus?
Die Offenlegung sensibler Daten geschieht normalerweise, wenn Websites keine starke Ende-zu-Ende-Verschlüsselung zum Schutz der Daten verwenden oder wenn es ausnutzbare Schwachstellen im Schutzschema gibt. Es kann auch passieren, wenn die verwendete Verschlüsselung besonders schwach oder veraltet ist.
Hacker werden oft versuchen, Wege zu finden, um die Verschlüsselung zu umgehen, wenn sie nicht überall eingesetzt wird. Wenn beispielsweise eine Benutzeridentitätsdatenbank Informationen in einem verschlüsselten Zustand speichert, diese aber automatisch entschlüsselt, wenn sie abgerufen werden, könnte ein Hacker einen der bereits in diesen Blogs behandelten Angriffe wie SQL- oder XML-Injection nutzen, um die Datenbank anzuweisen, den Entschlüsselungsprozess durchzuführen. Dann wären die Daten für den Hacker entschlüsselt, ohne dass er zusätzlichen Aufwand betreiben müsste. Warum sollte man versuchen, eine Stahltür aufzubrechen, wenn man einfach den Schlüssel stehlen kann?
Schwache Verschlüsselung ist ebenfalls ein Problem. Wenn zum Beispiel Kreditkarten mit einem veralteten Verschlüsselungsschema gespeichert werden, könnte es ein Problem sein, wenn ein Hacker in der Lage ist, etwas wie eine lokale Dateieinschlussschwachstelle zu nutzen, um die gesamte Datenbank auf seinen Computer zu ziehen. Wenn die erfassten Daten mit einer starken Verschlüsselung wie AES-256 Bit geschützt wurden, wäre es viel schwieriger, sie zu knacken, wenn sie in den Besitz eines Hackers gelangen. Wenn jedoch eine schwächere oder veraltete Verschlüsselung verwendet wird, wie z. B. der ältere DES-Standard, dann kann ein Hacker mit spezieller Ausrüstung, wie z. B. einem Rack mit Grafikverarbeitungseinheiten (GPUs), diese einsetzen, um die Verschlüsselung in relativ kurzer Zeit zu knacken.
Warum ist die Offenlegung sensibler Daten gefährlich?
Die Offenlegung sensibler Daten ist gefährlich, weil dadurch unbefugte Benutzer geschützte Informationen sehen können. Wenn die Daten nicht wichtig wären, würden sie nicht geschützt werden, so dass jede Verletzung dieses Schutzes zu Problemen führen wird. Das ist keine Situation, mit der sich ein Unternehmen konfrontiert sehen möchte.
Wie viel Ärger eine Enthüllung sensibler Daten verursachen kann, hängt von der Art der Daten ab, die enthüllt werden. Wenn Benutzer- oder Kennwortdaten gestohlen werden, könnten diese für weitere Angriffe auf das System verwendet werden. Die Offenlegung persönlicher Daten könnte Benutzer sekundären Angriffen wie Identitätsdiebstahl oder Phishing aussetzen. Unternehmen könnten sich sogar durch hohe Geldstrafen und behördliche Maßnahmen gefährdet sehen, wenn die offengelegten Daten durch Gesetze wie den Health Insurance Portability and Accountability Act (HIPAA) in den USA oder die General Data Protection Regulation (GDPR) in Europa gesetzlich geschützt sind.
Eliminierung der Gefährdung sensibler Daten
Die Verhinderung der Offenlegung sensibler Daten beginnt mit der Sicherstellung einer starken, aktuellen und durchgängigen Verschlüsselung sensibler Daten in einem Unternehmen. Dies umfasst sowohl Daten im Ruhezustand als auch während der Übertragung. Es reicht nicht aus, sensible Daten zu verschlüsseln, während sie im Speicher liegen. Wenn sie vor der Verwendung oder vor dem Transport unverschlüsselt sind, können sie durch einen sekundären Angriff, der einen Server dazu bringt, sie zu entschlüsseln, offengelegt werden.
Daten im Transit sollten immer mit Transport Layer Security (TLS) geschützt werden, um eine Aufdeckung durch Man-in-the-Middle- oder andere Angriffe auf bewegte Daten zu verhindern. Und sensible Daten sollten niemals irgendwo im Netzwerk zwischengespeichert werden. Sensible Daten sollten entweder mit starker Verschlüsselung im Speicher liegen oder mit TLS-Schutz gesendet werden, damit Angreifer keine Schwachstellen ausnutzen können.
Machen Sie schließlich eine Bestandsaufnahme der Arten von sensiblen Daten, die von Ihrer Organisation geschützt werden. Wenn es für Ihre Organisation keinen Grund gibt, solche Daten zu speichern, dann entsorgen Sie sie. Warum sollten Sie sich potentiellem Ärger aussetzen, ohne einen möglichen Nutzen zu haben? Daten, die nicht von einer Organisation verwaltet werden, können auch nicht von ihr gestohlen werden.
Weitere Informationen zum Umgang mit sensiblen Daten
Als weitere Lektüre können Sie einen Blick darauf werfen, was OWASP über die Exposition sensibler Daten sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Secure Code Warrior Plattform testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchen
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Die Offenlegung sensibler Daten war in den letzten Jahren für einige der bekanntesten und folgenreichsten Datenschutzverletzungen verantwortlich, wie z. B. die katastrophale Verletzung bei Marriott, bei der über 300 Millionen Kundendaten gestohlen wurden, und weitere 150 Millionen, als Equifax angegriffen wurde. Es ist ein mittleres Maß an Raffinesse erforderlich und manchmal auch eine spezielle Ausrüstung auf Seiten des Angreifers, aber in vielen Fällen ist es für einen Hacker nicht übermäßig schwer, es durchzuziehen, und es gibt Tools, um einige der Angriffsfunktionen zu automatisieren.
Die Offenlegung sensibler Daten tritt immer dann auf, wenn Informationen, die nur für eine autorisierte Ansicht bestimmt sind, in einem unverschlüsselten, ungeschützten oder schwach geschützten Zustand einer unbefugten Person zugänglich gemacht werden. Meistens handelt es sich dabei um Daten, die Hacker stehlen wollen, wie z. B. Kreditkartennummern, Benutzeridentifikationen, Geschäftsgeheimnisse und persönliche Informationen, die durch Gesetze und Branchenvorschriften geschützt sein könnten.
Hacker können sensible Informationen stehlen, wenn sie unverschlüsselt gespeichert sind oder indem sie indirekt das Verschlüsselungsschema angreifen. Anstatt zu versuchen, starke Verschlüsselung direkt zu entschlüsseln, stehlen sie stattdessen Kryptoschlüssel oder greifen Daten an, wenn sie in einen unverschlüsselten Zustand versetzt werden, z. B. wenn sie für den Transport vorbereitet werden.
In dieser Folge lernen wir:
- Wie Angreifer die Offenlegung sensibler Daten auslösen können
- Warum die Offenlegung sensibler Daten so gefährlich ist
- Techniken, die diese Sicherheitslücke beheben können.
Wie nutzen Angreifer die Offenlegung sensibler Daten aus?
Die Offenlegung sensibler Daten geschieht normalerweise, wenn Websites keine starke Ende-zu-Ende-Verschlüsselung zum Schutz der Daten verwenden oder wenn es ausnutzbare Schwachstellen im Schutzschema gibt. Es kann auch passieren, wenn die verwendete Verschlüsselung besonders schwach oder veraltet ist.
Hacker werden oft versuchen, Wege zu finden, um die Verschlüsselung zu umgehen, wenn sie nicht überall eingesetzt wird. Wenn beispielsweise eine Benutzeridentitätsdatenbank Informationen in einem verschlüsselten Zustand speichert, diese aber automatisch entschlüsselt, wenn sie abgerufen werden, könnte ein Hacker einen der bereits in diesen Blogs behandelten Angriffe wie SQL- oder XML-Injection nutzen, um die Datenbank anzuweisen, den Entschlüsselungsprozess durchzuführen. Dann wären die Daten für den Hacker entschlüsselt, ohne dass er zusätzlichen Aufwand betreiben müsste. Warum sollte man versuchen, eine Stahltür aufzubrechen, wenn man einfach den Schlüssel stehlen kann?
Schwache Verschlüsselung ist ebenfalls ein Problem. Wenn zum Beispiel Kreditkarten mit einem veralteten Verschlüsselungsschema gespeichert werden, könnte es ein Problem sein, wenn ein Hacker in der Lage ist, etwas wie eine lokale Dateieinschlussschwachstelle zu nutzen, um die gesamte Datenbank auf seinen Computer zu ziehen. Wenn die erfassten Daten mit einer starken Verschlüsselung wie AES-256 Bit geschützt wurden, wäre es viel schwieriger, sie zu knacken, wenn sie in den Besitz eines Hackers gelangen. Wenn jedoch eine schwächere oder veraltete Verschlüsselung verwendet wird, wie z. B. der ältere DES-Standard, dann kann ein Hacker mit spezieller Ausrüstung, wie z. B. einem Rack mit Grafikverarbeitungseinheiten (GPUs), diese einsetzen, um die Verschlüsselung in relativ kurzer Zeit zu knacken.
Warum ist die Offenlegung sensibler Daten gefährlich?
Die Offenlegung sensibler Daten ist gefährlich, weil dadurch unbefugte Benutzer geschützte Informationen sehen können. Wenn die Daten nicht wichtig wären, würden sie nicht geschützt werden, so dass jede Verletzung dieses Schutzes zu Problemen führen wird. Das ist keine Situation, mit der sich ein Unternehmen konfrontiert sehen möchte.
Wie viel Ärger eine Enthüllung sensibler Daten verursachen kann, hängt von der Art der Daten ab, die enthüllt werden. Wenn Benutzer- oder Kennwortdaten gestohlen werden, könnten diese für weitere Angriffe auf das System verwendet werden. Die Offenlegung persönlicher Daten könnte Benutzer sekundären Angriffen wie Identitätsdiebstahl oder Phishing aussetzen. Unternehmen könnten sich sogar durch hohe Geldstrafen und behördliche Maßnahmen gefährdet sehen, wenn die offengelegten Daten durch Gesetze wie den Health Insurance Portability and Accountability Act (HIPAA) in den USA oder die General Data Protection Regulation (GDPR) in Europa gesetzlich geschützt sind.
Eliminierung der Gefährdung sensibler Daten
Die Verhinderung der Offenlegung sensibler Daten beginnt mit der Sicherstellung einer starken, aktuellen und durchgängigen Verschlüsselung sensibler Daten in einem Unternehmen. Dies umfasst sowohl Daten im Ruhezustand als auch während der Übertragung. Es reicht nicht aus, sensible Daten zu verschlüsseln, während sie im Speicher liegen. Wenn sie vor der Verwendung oder vor dem Transport unverschlüsselt sind, können sie durch einen sekundären Angriff, der einen Server dazu bringt, sie zu entschlüsseln, offengelegt werden.
Daten im Transit sollten immer mit Transport Layer Security (TLS) geschützt werden, um eine Aufdeckung durch Man-in-the-Middle- oder andere Angriffe auf bewegte Daten zu verhindern. Und sensible Daten sollten niemals irgendwo im Netzwerk zwischengespeichert werden. Sensible Daten sollten entweder mit starker Verschlüsselung im Speicher liegen oder mit TLS-Schutz gesendet werden, damit Angreifer keine Schwachstellen ausnutzen können.
Machen Sie schließlich eine Bestandsaufnahme der Arten von sensiblen Daten, die von Ihrer Organisation geschützt werden. Wenn es für Ihre Organisation keinen Grund gibt, solche Daten zu speichern, dann entsorgen Sie sie. Warum sollten Sie sich potentiellem Ärger aussetzen, ohne einen möglichen Nutzen zu haben? Daten, die nicht von einer Organisation verwaltet werden, können auch nicht von ihr gestohlen werden.
Weitere Informationen zum Umgang mit sensiblen Daten
Als weitere Lektüre können Sie einen Blick darauf werfen, was OWASP über die Exposition sensibler Daten sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Secure Code Warrior Plattform testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Inhaltsübersicht
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
DigitalOcean verringert Sicherheitsverschuldung mit Secure Code Warrior
DigitalOceans Einsatz von Secure Code Warrior hat die Sicherheitsverschuldung deutlich reduziert, so dass sich die Teams stärker auf Innovation und Produktivität konzentrieren können. Die verbesserte Sicherheit hat die Produktqualität und den Wettbewerbsvorteil des Unternehmens gestärkt. Mit Blick auf die Zukunft wird der SCW Trust Score dem Unternehmen helfen, seine Sicherheitspraktiken weiter zu verbessern und Innovationen voranzutreiben.
Ressourcen für den Einstieg
Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
.png)
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Die Vorteile eines Benchmarking der Sicherheitskompetenzen von Entwicklern
Der zunehmende Fokus auf sicheren Code und Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden, wobei Tools wie Secure Code Warrior's Trust Score dabei helfen, ihre Fortschritte zu messen und zu verbessern.
Wesentlicher Erfolg für Enterprise Secure-by-Design-Initiativen
Unser jüngstes Forschungspapier „Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise“ ist das Ergebnis einer umfassenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf Grundlage datengesteuerter Erkenntnisse.
Entwicklergesteuerte Kodierung.
Sicher ist sicher.
Setzen Sie sich noch heute mit uns in Verbindung und machen Sie Softwaresicherheit zu einem festen Bestandteil Ihres Entwicklungsprozesses.
