Les codeurs conquièrent la sécurité : série Share & Learn - Exposition aux données sensibles
Die Offenlegung sensibler Daten war in den letzten Jahren für einige der bekanntesten und folgenreichsten Datenschutzverletzungen verantwortlich, wie z. B. die katastrophale Verletzung bei Marriott, bei der über 300 Millionen Kundendaten gestohlen wurden, und weitere 150 Millionen, als Equifax angegriffen wurde. Es ist ein mittleres Maß an Raffinesse erforderlich und manchmal auch eine spezielle Ausrüstung auf Seiten des Angreifers, aber in vielen Fällen ist es für einen Hacker nicht übermäßig schwer, es durchzuziehen, und es gibt Tools, um einige der Angriffsfunktionen zu automatisieren.
Die Offenlegung sensibler Daten tritt immer dann auf, wenn Informationen, die nur für eine autorisierte Ansicht bestimmt sind, in einem unverschlüsselten, ungeschützten oder schwach geschützten Zustand einer unbefugten Person zugänglich gemacht werden. Meistens handelt es sich dabei um Daten, die Hacker stehlen wollen, wie z. B. Kreditkartennummern, Benutzeridentifikationen, Geschäftsgeheimnisse und persönliche Informationen, die durch Gesetze und Branchenvorschriften geschützt sein könnten.
Hacker können sensible Informationen stehlen, wenn sie unverschlüsselt gespeichert sind oder indem sie indirekt das Verschlüsselungsschema angreifen. Anstatt zu versuchen, starke Verschlüsselung direkt zu entschlüsseln, stehlen sie stattdessen Kryptoschlüssel oder greifen Daten an, wenn sie in einen unverschlüsselten Zustand versetzt werden, z. B. wenn sie für den Transport vorbereitet werden.
In dieser Folge lernen wir:
- Wie Angreifer die Offenlegung sensibler Daten auslösen können
- Warum die Offenlegung sensibler Daten so gefährlich ist
- Techniken, die diese Sicherheitslücke beheben können.
Wie nutzen Angreifer die Offenlegung sensibler Daten aus?
Die Offenlegung sensibler Daten geschieht normalerweise, wenn Websites keine starke Ende-zu-Ende-Verschlüsselung zum Schutz der Daten verwenden oder wenn es ausnutzbare Schwachstellen im Schutzschema gibt. Es kann auch passieren, wenn die verwendete Verschlüsselung besonders schwach oder veraltet ist.
Hacker werden oft versuchen, Wege zu finden, um die Verschlüsselung zu umgehen, wenn sie nicht überall eingesetzt wird. Wenn beispielsweise eine Benutzeridentitätsdatenbank Informationen in einem verschlüsselten Zustand speichert, diese aber automatisch entschlüsselt, wenn sie abgerufen werden, könnte ein Hacker einen der bereits in diesen Blogs behandelten Angriffe wie SQL- oder XML-Injection nutzen, um die Datenbank anzuweisen, den Entschlüsselungsprozess durchzuführen. Dann wären die Daten für den Hacker entschlüsselt, ohne dass er zusätzlichen Aufwand betreiben müsste. Warum sollte man versuchen, eine Stahltür aufzubrechen, wenn man einfach den Schlüssel stehlen kann?
Schwache Verschlüsselung ist ebenfalls ein Problem. Wenn zum Beispiel Kreditkarten mit einem veralteten Verschlüsselungsschema gespeichert werden, könnte es ein Problem sein, wenn ein Hacker in der Lage ist, etwas wie eine lokale Dateieinschlussschwachstelle zu nutzen, um die gesamte Datenbank auf seinen Computer zu ziehen. Wenn die erfassten Daten mit einer starken Verschlüsselung wie AES-256 Bit geschützt wurden, wäre es viel schwieriger, sie zu knacken, wenn sie in den Besitz eines Hackers gelangen. Wenn jedoch eine schwächere oder veraltete Verschlüsselung verwendet wird, wie z. B. der ältere DES-Standard, dann kann ein Hacker mit spezieller Ausrüstung, wie z. B. einem Rack mit Grafikverarbeitungseinheiten (GPUs), diese einsetzen, um die Verschlüsselung in relativ kurzer Zeit zu knacken.
Warum ist die Offenlegung sensibler Daten gefährlich?
Die Offenlegung sensibler Daten ist gefährlich, weil dadurch unbefugte Benutzer geschützte Informationen sehen können. Wenn die Daten nicht wichtig wären, würden sie nicht geschützt werden, so dass jede Verletzung dieses Schutzes zu Problemen führen wird. Das ist keine Situation, mit der sich ein Unternehmen konfrontiert sehen möchte.
Wie viel Ärger eine Enthüllung sensibler Daten verursachen kann, hängt von der Art der Daten ab, die enthüllt werden. Wenn Benutzer- oder Kennwortdaten gestohlen werden, könnten diese für weitere Angriffe auf das System verwendet werden. Die Offenlegung persönlicher Daten könnte Benutzer sekundären Angriffen wie Identitätsdiebstahl oder Phishing aussetzen. Unternehmen könnten sich sogar durch hohe Geldstrafen und behördliche Maßnahmen gefährdet sehen, wenn die offengelegten Daten durch Gesetze wie den Health Insurance Portability and Accountability Act (HIPAA) in den USA oder die General Data Protection Regulation (GDPR) in Europa gesetzlich geschützt sind.
Eliminierung der Gefährdung sensibler Daten
Die Verhinderung der Offenlegung sensibler Daten beginnt mit der Sicherstellung einer starken, aktuellen und durchgängigen Verschlüsselung sensibler Daten in einem Unternehmen. Dies umfasst sowohl Daten im Ruhezustand als auch während der Übertragung. Es reicht nicht aus, sensible Daten zu verschlüsseln, während sie im Speicher liegen. Wenn sie vor der Verwendung oder vor dem Transport unverschlüsselt sind, können sie durch einen sekundären Angriff, der einen Server dazu bringt, sie zu entschlüsseln, offengelegt werden.
Daten im Transit sollten immer mit Transport Layer Security (TLS) geschützt werden, um eine Aufdeckung durch Man-in-the-Middle- oder andere Angriffe auf bewegte Daten zu verhindern. Und sensible Daten sollten niemals irgendwo im Netzwerk zwischengespeichert werden. Sensible Daten sollten entweder mit starker Verschlüsselung im Speicher liegen oder mit TLS-Schutz gesendet werden, damit Angreifer keine Schwachstellen ausnutzen können.
Machen Sie schließlich eine Bestandsaufnahme der Arten von sensiblen Daten, die von Ihrer Organisation geschützt werden. Wenn es für Ihre Organisation keinen Grund gibt, solche Daten zu speichern, dann entsorgen Sie sie. Warum sollten Sie sich potentiellem Ärger aussetzen, ohne einen möglichen Nutzen zu haben? Daten, die nicht von einer Organisation verwaltet werden, können auch nicht von ihr gestohlen werden.
Weitere Informationen zum Umgang mit sensiblen Daten
Als weitere Lektüre können Sie einen Blick darauf werfen, was OWASP über die Exposition sensibler Daten sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Secure Code Warrior Plattform testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
L'exposition de données sensibles se produit chaque fois que des informations destinées uniquement à une consultation autorisée sont exposées à une personne non autorisée dans un état non chiffré, non protégé ou faiblement protégé.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Die Offenlegung sensibler Daten war in den letzten Jahren für einige der bekanntesten und folgenreichsten Datenschutzverletzungen verantwortlich, wie z. B. die katastrophale Verletzung bei Marriott, bei der über 300 Millionen Kundendaten gestohlen wurden, und weitere 150 Millionen, als Equifax angegriffen wurde. Es ist ein mittleres Maß an Raffinesse erforderlich und manchmal auch eine spezielle Ausrüstung auf Seiten des Angreifers, aber in vielen Fällen ist es für einen Hacker nicht übermäßig schwer, es durchzuziehen, und es gibt Tools, um einige der Angriffsfunktionen zu automatisieren.
Die Offenlegung sensibler Daten tritt immer dann auf, wenn Informationen, die nur für eine autorisierte Ansicht bestimmt sind, in einem unverschlüsselten, ungeschützten oder schwach geschützten Zustand einer unbefugten Person zugänglich gemacht werden. Meistens handelt es sich dabei um Daten, die Hacker stehlen wollen, wie z. B. Kreditkartennummern, Benutzeridentifikationen, Geschäftsgeheimnisse und persönliche Informationen, die durch Gesetze und Branchenvorschriften geschützt sein könnten.
Hacker können sensible Informationen stehlen, wenn sie unverschlüsselt gespeichert sind oder indem sie indirekt das Verschlüsselungsschema angreifen. Anstatt zu versuchen, starke Verschlüsselung direkt zu entschlüsseln, stehlen sie stattdessen Kryptoschlüssel oder greifen Daten an, wenn sie in einen unverschlüsselten Zustand versetzt werden, z. B. wenn sie für den Transport vorbereitet werden.
In dieser Folge lernen wir:
- Wie Angreifer die Offenlegung sensibler Daten auslösen können
- Warum die Offenlegung sensibler Daten so gefährlich ist
- Techniken, die diese Sicherheitslücke beheben können.
Wie nutzen Angreifer die Offenlegung sensibler Daten aus?
Die Offenlegung sensibler Daten geschieht normalerweise, wenn Websites keine starke Ende-zu-Ende-Verschlüsselung zum Schutz der Daten verwenden oder wenn es ausnutzbare Schwachstellen im Schutzschema gibt. Es kann auch passieren, wenn die verwendete Verschlüsselung besonders schwach oder veraltet ist.
Hacker werden oft versuchen, Wege zu finden, um die Verschlüsselung zu umgehen, wenn sie nicht überall eingesetzt wird. Wenn beispielsweise eine Benutzeridentitätsdatenbank Informationen in einem verschlüsselten Zustand speichert, diese aber automatisch entschlüsselt, wenn sie abgerufen werden, könnte ein Hacker einen der bereits in diesen Blogs behandelten Angriffe wie SQL- oder XML-Injection nutzen, um die Datenbank anzuweisen, den Entschlüsselungsprozess durchzuführen. Dann wären die Daten für den Hacker entschlüsselt, ohne dass er zusätzlichen Aufwand betreiben müsste. Warum sollte man versuchen, eine Stahltür aufzubrechen, wenn man einfach den Schlüssel stehlen kann?
Schwache Verschlüsselung ist ebenfalls ein Problem. Wenn zum Beispiel Kreditkarten mit einem veralteten Verschlüsselungsschema gespeichert werden, könnte es ein Problem sein, wenn ein Hacker in der Lage ist, etwas wie eine lokale Dateieinschlussschwachstelle zu nutzen, um die gesamte Datenbank auf seinen Computer zu ziehen. Wenn die erfassten Daten mit einer starken Verschlüsselung wie AES-256 Bit geschützt wurden, wäre es viel schwieriger, sie zu knacken, wenn sie in den Besitz eines Hackers gelangen. Wenn jedoch eine schwächere oder veraltete Verschlüsselung verwendet wird, wie z. B. der ältere DES-Standard, dann kann ein Hacker mit spezieller Ausrüstung, wie z. B. einem Rack mit Grafikverarbeitungseinheiten (GPUs), diese einsetzen, um die Verschlüsselung in relativ kurzer Zeit zu knacken.
Warum ist die Offenlegung sensibler Daten gefährlich?
Die Offenlegung sensibler Daten ist gefährlich, weil dadurch unbefugte Benutzer geschützte Informationen sehen können. Wenn die Daten nicht wichtig wären, würden sie nicht geschützt werden, so dass jede Verletzung dieses Schutzes zu Problemen führen wird. Das ist keine Situation, mit der sich ein Unternehmen konfrontiert sehen möchte.
Wie viel Ärger eine Enthüllung sensibler Daten verursachen kann, hängt von der Art der Daten ab, die enthüllt werden. Wenn Benutzer- oder Kennwortdaten gestohlen werden, könnten diese für weitere Angriffe auf das System verwendet werden. Die Offenlegung persönlicher Daten könnte Benutzer sekundären Angriffen wie Identitätsdiebstahl oder Phishing aussetzen. Unternehmen könnten sich sogar durch hohe Geldstrafen und behördliche Maßnahmen gefährdet sehen, wenn die offengelegten Daten durch Gesetze wie den Health Insurance Portability and Accountability Act (HIPAA) in den USA oder die General Data Protection Regulation (GDPR) in Europa gesetzlich geschützt sind.
Eliminierung der Gefährdung sensibler Daten
Die Verhinderung der Offenlegung sensibler Daten beginnt mit der Sicherstellung einer starken, aktuellen und durchgängigen Verschlüsselung sensibler Daten in einem Unternehmen. Dies umfasst sowohl Daten im Ruhezustand als auch während der Übertragung. Es reicht nicht aus, sensible Daten zu verschlüsseln, während sie im Speicher liegen. Wenn sie vor der Verwendung oder vor dem Transport unverschlüsselt sind, können sie durch einen sekundären Angriff, der einen Server dazu bringt, sie zu entschlüsseln, offengelegt werden.
Daten im Transit sollten immer mit Transport Layer Security (TLS) geschützt werden, um eine Aufdeckung durch Man-in-the-Middle- oder andere Angriffe auf bewegte Daten zu verhindern. Und sensible Daten sollten niemals irgendwo im Netzwerk zwischengespeichert werden. Sensible Daten sollten entweder mit starker Verschlüsselung im Speicher liegen oder mit TLS-Schutz gesendet werden, damit Angreifer keine Schwachstellen ausnutzen können.
Machen Sie schließlich eine Bestandsaufnahme der Arten von sensiblen Daten, die von Ihrer Organisation geschützt werden. Wenn es für Ihre Organisation keinen Grund gibt, solche Daten zu speichern, dann entsorgen Sie sie. Warum sollten Sie sich potentiellem Ärger aussetzen, ohne einen möglichen Nutzen zu haben? Daten, die nicht von einer Organisation verwaltet werden, können auch nicht von ihr gestohlen werden.
Weitere Informationen zum Umgang mit sensiblen Daten
Als weitere Lektüre können Sie einen Blick darauf werfen, was OWASP über die Exposition sensibler Daten sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Secure Code Warrior Plattform testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Die Offenlegung sensibler Daten war in den letzten Jahren für einige der bekanntesten und folgenreichsten Datenschutzverletzungen verantwortlich, wie z. B. die katastrophale Verletzung bei Marriott, bei der über 300 Millionen Kundendaten gestohlen wurden, und weitere 150 Millionen, als Equifax angegriffen wurde. Es ist ein mittleres Maß an Raffinesse erforderlich und manchmal auch eine spezielle Ausrüstung auf Seiten des Angreifers, aber in vielen Fällen ist es für einen Hacker nicht übermäßig schwer, es durchzuziehen, und es gibt Tools, um einige der Angriffsfunktionen zu automatisieren.
Die Offenlegung sensibler Daten tritt immer dann auf, wenn Informationen, die nur für eine autorisierte Ansicht bestimmt sind, in einem unverschlüsselten, ungeschützten oder schwach geschützten Zustand einer unbefugten Person zugänglich gemacht werden. Meistens handelt es sich dabei um Daten, die Hacker stehlen wollen, wie z. B. Kreditkartennummern, Benutzeridentifikationen, Geschäftsgeheimnisse und persönliche Informationen, die durch Gesetze und Branchenvorschriften geschützt sein könnten.
Hacker können sensible Informationen stehlen, wenn sie unverschlüsselt gespeichert sind oder indem sie indirekt das Verschlüsselungsschema angreifen. Anstatt zu versuchen, starke Verschlüsselung direkt zu entschlüsseln, stehlen sie stattdessen Kryptoschlüssel oder greifen Daten an, wenn sie in einen unverschlüsselten Zustand versetzt werden, z. B. wenn sie für den Transport vorbereitet werden.
In dieser Folge lernen wir:
- Wie Angreifer die Offenlegung sensibler Daten auslösen können
- Warum die Offenlegung sensibler Daten so gefährlich ist
- Techniken, die diese Sicherheitslücke beheben können.
Wie nutzen Angreifer die Offenlegung sensibler Daten aus?
Die Offenlegung sensibler Daten geschieht normalerweise, wenn Websites keine starke Ende-zu-Ende-Verschlüsselung zum Schutz der Daten verwenden oder wenn es ausnutzbare Schwachstellen im Schutzschema gibt. Es kann auch passieren, wenn die verwendete Verschlüsselung besonders schwach oder veraltet ist.
Hacker werden oft versuchen, Wege zu finden, um die Verschlüsselung zu umgehen, wenn sie nicht überall eingesetzt wird. Wenn beispielsweise eine Benutzeridentitätsdatenbank Informationen in einem verschlüsselten Zustand speichert, diese aber automatisch entschlüsselt, wenn sie abgerufen werden, könnte ein Hacker einen der bereits in diesen Blogs behandelten Angriffe wie SQL- oder XML-Injection nutzen, um die Datenbank anzuweisen, den Entschlüsselungsprozess durchzuführen. Dann wären die Daten für den Hacker entschlüsselt, ohne dass er zusätzlichen Aufwand betreiben müsste. Warum sollte man versuchen, eine Stahltür aufzubrechen, wenn man einfach den Schlüssel stehlen kann?
Schwache Verschlüsselung ist ebenfalls ein Problem. Wenn zum Beispiel Kreditkarten mit einem veralteten Verschlüsselungsschema gespeichert werden, könnte es ein Problem sein, wenn ein Hacker in der Lage ist, etwas wie eine lokale Dateieinschlussschwachstelle zu nutzen, um die gesamte Datenbank auf seinen Computer zu ziehen. Wenn die erfassten Daten mit einer starken Verschlüsselung wie AES-256 Bit geschützt wurden, wäre es viel schwieriger, sie zu knacken, wenn sie in den Besitz eines Hackers gelangen. Wenn jedoch eine schwächere oder veraltete Verschlüsselung verwendet wird, wie z. B. der ältere DES-Standard, dann kann ein Hacker mit spezieller Ausrüstung, wie z. B. einem Rack mit Grafikverarbeitungseinheiten (GPUs), diese einsetzen, um die Verschlüsselung in relativ kurzer Zeit zu knacken.
Warum ist die Offenlegung sensibler Daten gefährlich?
Die Offenlegung sensibler Daten ist gefährlich, weil dadurch unbefugte Benutzer geschützte Informationen sehen können. Wenn die Daten nicht wichtig wären, würden sie nicht geschützt werden, so dass jede Verletzung dieses Schutzes zu Problemen führen wird. Das ist keine Situation, mit der sich ein Unternehmen konfrontiert sehen möchte.
Wie viel Ärger eine Enthüllung sensibler Daten verursachen kann, hängt von der Art der Daten ab, die enthüllt werden. Wenn Benutzer- oder Kennwortdaten gestohlen werden, könnten diese für weitere Angriffe auf das System verwendet werden. Die Offenlegung persönlicher Daten könnte Benutzer sekundären Angriffen wie Identitätsdiebstahl oder Phishing aussetzen. Unternehmen könnten sich sogar durch hohe Geldstrafen und behördliche Maßnahmen gefährdet sehen, wenn die offengelegten Daten durch Gesetze wie den Health Insurance Portability and Accountability Act (HIPAA) in den USA oder die General Data Protection Regulation (GDPR) in Europa gesetzlich geschützt sind.
Eliminierung der Gefährdung sensibler Daten
Die Verhinderung der Offenlegung sensibler Daten beginnt mit der Sicherstellung einer starken, aktuellen und durchgängigen Verschlüsselung sensibler Daten in einem Unternehmen. Dies umfasst sowohl Daten im Ruhezustand als auch während der Übertragung. Es reicht nicht aus, sensible Daten zu verschlüsseln, während sie im Speicher liegen. Wenn sie vor der Verwendung oder vor dem Transport unverschlüsselt sind, können sie durch einen sekundären Angriff, der einen Server dazu bringt, sie zu entschlüsseln, offengelegt werden.
Daten im Transit sollten immer mit Transport Layer Security (TLS) geschützt werden, um eine Aufdeckung durch Man-in-the-Middle- oder andere Angriffe auf bewegte Daten zu verhindern. Und sensible Daten sollten niemals irgendwo im Netzwerk zwischengespeichert werden. Sensible Daten sollten entweder mit starker Verschlüsselung im Speicher liegen oder mit TLS-Schutz gesendet werden, damit Angreifer keine Schwachstellen ausnutzen können.
Machen Sie schließlich eine Bestandsaufnahme der Arten von sensiblen Daten, die von Ihrer Organisation geschützt werden. Wenn es für Ihre Organisation keinen Grund gibt, solche Daten zu speichern, dann entsorgen Sie sie. Warum sollten Sie sich potentiellem Ärger aussetzen, ohne einen möglichen Nutzen zu haben? Daten, die nicht von einer Organisation verwaltet werden, können auch nicht von ihr gestohlen werden.
Weitere Informationen zum Umgang mit sensiblen Daten
Als weitere Lektüre können Sie einen Blick darauf werfen, was OWASP über die Exposition sensibler Daten sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Secure Code Warrior Plattform testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Die Offenlegung sensibler Daten war in den letzten Jahren für einige der bekanntesten und folgenreichsten Datenschutzverletzungen verantwortlich, wie z. B. die katastrophale Verletzung bei Marriott, bei der über 300 Millionen Kundendaten gestohlen wurden, und weitere 150 Millionen, als Equifax angegriffen wurde. Es ist ein mittleres Maß an Raffinesse erforderlich und manchmal auch eine spezielle Ausrüstung auf Seiten des Angreifers, aber in vielen Fällen ist es für einen Hacker nicht übermäßig schwer, es durchzuziehen, und es gibt Tools, um einige der Angriffsfunktionen zu automatisieren.
Die Offenlegung sensibler Daten tritt immer dann auf, wenn Informationen, die nur für eine autorisierte Ansicht bestimmt sind, in einem unverschlüsselten, ungeschützten oder schwach geschützten Zustand einer unbefugten Person zugänglich gemacht werden. Meistens handelt es sich dabei um Daten, die Hacker stehlen wollen, wie z. B. Kreditkartennummern, Benutzeridentifikationen, Geschäftsgeheimnisse und persönliche Informationen, die durch Gesetze und Branchenvorschriften geschützt sein könnten.
Hacker können sensible Informationen stehlen, wenn sie unverschlüsselt gespeichert sind oder indem sie indirekt das Verschlüsselungsschema angreifen. Anstatt zu versuchen, starke Verschlüsselung direkt zu entschlüsseln, stehlen sie stattdessen Kryptoschlüssel oder greifen Daten an, wenn sie in einen unverschlüsselten Zustand versetzt werden, z. B. wenn sie für den Transport vorbereitet werden.
In dieser Folge lernen wir:
- Wie Angreifer die Offenlegung sensibler Daten auslösen können
- Warum die Offenlegung sensibler Daten so gefährlich ist
- Techniken, die diese Sicherheitslücke beheben können.
Wie nutzen Angreifer die Offenlegung sensibler Daten aus?
Die Offenlegung sensibler Daten geschieht normalerweise, wenn Websites keine starke Ende-zu-Ende-Verschlüsselung zum Schutz der Daten verwenden oder wenn es ausnutzbare Schwachstellen im Schutzschema gibt. Es kann auch passieren, wenn die verwendete Verschlüsselung besonders schwach oder veraltet ist.
Hacker werden oft versuchen, Wege zu finden, um die Verschlüsselung zu umgehen, wenn sie nicht überall eingesetzt wird. Wenn beispielsweise eine Benutzeridentitätsdatenbank Informationen in einem verschlüsselten Zustand speichert, diese aber automatisch entschlüsselt, wenn sie abgerufen werden, könnte ein Hacker einen der bereits in diesen Blogs behandelten Angriffe wie SQL- oder XML-Injection nutzen, um die Datenbank anzuweisen, den Entschlüsselungsprozess durchzuführen. Dann wären die Daten für den Hacker entschlüsselt, ohne dass er zusätzlichen Aufwand betreiben müsste. Warum sollte man versuchen, eine Stahltür aufzubrechen, wenn man einfach den Schlüssel stehlen kann?
Schwache Verschlüsselung ist ebenfalls ein Problem. Wenn zum Beispiel Kreditkarten mit einem veralteten Verschlüsselungsschema gespeichert werden, könnte es ein Problem sein, wenn ein Hacker in der Lage ist, etwas wie eine lokale Dateieinschlussschwachstelle zu nutzen, um die gesamte Datenbank auf seinen Computer zu ziehen. Wenn die erfassten Daten mit einer starken Verschlüsselung wie AES-256 Bit geschützt wurden, wäre es viel schwieriger, sie zu knacken, wenn sie in den Besitz eines Hackers gelangen. Wenn jedoch eine schwächere oder veraltete Verschlüsselung verwendet wird, wie z. B. der ältere DES-Standard, dann kann ein Hacker mit spezieller Ausrüstung, wie z. B. einem Rack mit Grafikverarbeitungseinheiten (GPUs), diese einsetzen, um die Verschlüsselung in relativ kurzer Zeit zu knacken.
Warum ist die Offenlegung sensibler Daten gefährlich?
Die Offenlegung sensibler Daten ist gefährlich, weil dadurch unbefugte Benutzer geschützte Informationen sehen können. Wenn die Daten nicht wichtig wären, würden sie nicht geschützt werden, so dass jede Verletzung dieses Schutzes zu Problemen führen wird. Das ist keine Situation, mit der sich ein Unternehmen konfrontiert sehen möchte.
Wie viel Ärger eine Enthüllung sensibler Daten verursachen kann, hängt von der Art der Daten ab, die enthüllt werden. Wenn Benutzer- oder Kennwortdaten gestohlen werden, könnten diese für weitere Angriffe auf das System verwendet werden. Die Offenlegung persönlicher Daten könnte Benutzer sekundären Angriffen wie Identitätsdiebstahl oder Phishing aussetzen. Unternehmen könnten sich sogar durch hohe Geldstrafen und behördliche Maßnahmen gefährdet sehen, wenn die offengelegten Daten durch Gesetze wie den Health Insurance Portability and Accountability Act (HIPAA) in den USA oder die General Data Protection Regulation (GDPR) in Europa gesetzlich geschützt sind.
Eliminierung der Gefährdung sensibler Daten
Die Verhinderung der Offenlegung sensibler Daten beginnt mit der Sicherstellung einer starken, aktuellen und durchgängigen Verschlüsselung sensibler Daten in einem Unternehmen. Dies umfasst sowohl Daten im Ruhezustand als auch während der Übertragung. Es reicht nicht aus, sensible Daten zu verschlüsseln, während sie im Speicher liegen. Wenn sie vor der Verwendung oder vor dem Transport unverschlüsselt sind, können sie durch einen sekundären Angriff, der einen Server dazu bringt, sie zu entschlüsseln, offengelegt werden.
Daten im Transit sollten immer mit Transport Layer Security (TLS) geschützt werden, um eine Aufdeckung durch Man-in-the-Middle- oder andere Angriffe auf bewegte Daten zu verhindern. Und sensible Daten sollten niemals irgendwo im Netzwerk zwischengespeichert werden. Sensible Daten sollten entweder mit starker Verschlüsselung im Speicher liegen oder mit TLS-Schutz gesendet werden, damit Angreifer keine Schwachstellen ausnutzen können.
Machen Sie schließlich eine Bestandsaufnahme der Arten von sensiblen Daten, die von Ihrer Organisation geschützt werden. Wenn es für Ihre Organisation keinen Grund gibt, solche Daten zu speichern, dann entsorgen Sie sie. Warum sollten Sie sich potentiellem Ärger aussetzen, ohne einen möglichen Nutzen zu haben? Daten, die nicht von einer Organisation verwaltet werden, können auch nicht von ihr gestohlen werden.
Weitere Informationen zum Umgang mit sensiblen Daten
Als weitere Lektüre können Sie einen Blick darauf werfen, was OWASP über die Exposition sensibler Daten sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Secure Code Warrior Plattform testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Inhaltsverzeichnis
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.
