コーダーがセキュリティを征服:共有して学ぶシリーズ-機密データの漏えい
Die Offenlegung sensibler Daten war in den letzten Jahren für einige der bekanntesten und folgenreichsten Datenschutzverletzungen verantwortlich, wie z. B. die katastrophale Verletzung bei Marriott, bei der über 300 Millionen Kundendaten gestohlen wurden, und weitere 150 Millionen, als Equifax angegriffen wurde. Es ist ein mittleres Maß an Raffinesse erforderlich und manchmal auch eine spezielle Ausrüstung auf Seiten des Angreifers, aber in vielen Fällen ist es für einen Hacker nicht übermäßig schwer, es durchzuziehen, und es gibt Tools, um einige der Angriffsfunktionen zu automatisieren.
Die Offenlegung sensibler Daten tritt immer dann auf, wenn Informationen, die nur für eine autorisierte Ansicht bestimmt sind, in einem unverschlüsselten, ungeschützten oder schwach geschützten Zustand einer unbefugten Person zugänglich gemacht werden. Meistens handelt es sich dabei um Daten, die Hacker stehlen wollen, wie z. B. Kreditkartennummern, Benutzeridentifikationen, Geschäftsgeheimnisse und persönliche Informationen, die durch Gesetze und Branchenvorschriften geschützt sein könnten.
Hacker können sensible Informationen stehlen, wenn sie unverschlüsselt gespeichert sind oder indem sie indirekt das Verschlüsselungsschema angreifen. Anstatt zu versuchen, starke Verschlüsselung direkt zu entschlüsseln, stehlen sie stattdessen Kryptoschlüssel oder greifen Daten an, wenn sie in einen unverschlüsselten Zustand versetzt werden, z. B. wenn sie für den Transport vorbereitet werden.
In dieser Folge lernen wir:
- Wie Angreifer die Offenlegung sensibler Daten auslösen können
- Warum die Offenlegung sensibler Daten so gefährlich ist
- Techniken, die diese Sicherheitslücke beheben können.
Wie nutzen Angreifer die Offenlegung sensibler Daten aus?
Die Offenlegung sensibler Daten geschieht normalerweise, wenn Websites keine starke Ende-zu-Ende-Verschlüsselung zum Schutz der Daten verwenden oder wenn es ausnutzbare Schwachstellen im Schutzschema gibt. Es kann auch passieren, wenn die verwendete Verschlüsselung besonders schwach oder veraltet ist.
Hacker werden oft versuchen, Wege zu finden, um die Verschlüsselung zu umgehen, wenn sie nicht überall eingesetzt wird. Wenn beispielsweise eine Benutzeridentitätsdatenbank Informationen in einem verschlüsselten Zustand speichert, diese aber automatisch entschlüsselt, wenn sie abgerufen werden, könnte ein Hacker einen der bereits in diesen Blogs behandelten Angriffe wie SQL- oder XML-Injection nutzen, um die Datenbank anzuweisen, den Entschlüsselungsprozess durchzuführen. Dann wären die Daten für den Hacker entschlüsselt, ohne dass er zusätzlichen Aufwand betreiben müsste. Warum sollte man versuchen, eine Stahltür aufzubrechen, wenn man einfach den Schlüssel stehlen kann?
Schwache Verschlüsselung ist ebenfalls ein Problem. Wenn zum Beispiel Kreditkarten mit einem veralteten Verschlüsselungsschema gespeichert werden, könnte es ein Problem sein, wenn ein Hacker in der Lage ist, etwas wie eine lokale Dateieinschlussschwachstelle zu nutzen, um die gesamte Datenbank auf seinen Computer zu ziehen. Wenn die erfassten Daten mit einer starken Verschlüsselung wie AES-256 Bit geschützt wurden, wäre es viel schwieriger, sie zu knacken, wenn sie in den Besitz eines Hackers gelangen. Wenn jedoch eine schwächere oder veraltete Verschlüsselung verwendet wird, wie z. B. der ältere DES-Standard, dann kann ein Hacker mit spezieller Ausrüstung, wie z. B. einem Rack mit Grafikverarbeitungseinheiten (GPUs), diese einsetzen, um die Verschlüsselung in relativ kurzer Zeit zu knacken.
Warum ist die Offenlegung sensibler Daten gefährlich?
Die Offenlegung sensibler Daten ist gefährlich, weil dadurch unbefugte Benutzer geschützte Informationen sehen können. Wenn die Daten nicht wichtig wären, würden sie nicht geschützt werden, so dass jede Verletzung dieses Schutzes zu Problemen führen wird. Das ist keine Situation, mit der sich ein Unternehmen konfrontiert sehen möchte.
Wie viel Ärger eine Enthüllung sensibler Daten verursachen kann, hängt von der Art der Daten ab, die enthüllt werden. Wenn Benutzer- oder Kennwortdaten gestohlen werden, könnten diese für weitere Angriffe auf das System verwendet werden. Die Offenlegung persönlicher Daten könnte Benutzer sekundären Angriffen wie Identitätsdiebstahl oder Phishing aussetzen. Unternehmen könnten sich sogar durch hohe Geldstrafen und behördliche Maßnahmen gefährdet sehen, wenn die offengelegten Daten durch Gesetze wie den Health Insurance Portability and Accountability Act (HIPAA) in den USA oder die General Data Protection Regulation (GDPR) in Europa gesetzlich geschützt sind.
Eliminierung der Gefährdung sensibler Daten
Die Verhinderung der Offenlegung sensibler Daten beginnt mit der Sicherstellung einer starken, aktuellen und durchgängigen Verschlüsselung sensibler Daten in einem Unternehmen. Dies umfasst sowohl Daten im Ruhezustand als auch während der Übertragung. Es reicht nicht aus, sensible Daten zu verschlüsseln, während sie im Speicher liegen. Wenn sie vor der Verwendung oder vor dem Transport unverschlüsselt sind, können sie durch einen sekundären Angriff, der einen Server dazu bringt, sie zu entschlüsseln, offengelegt werden.
Daten im Transit sollten immer mit Transport Layer Security (TLS) geschützt werden, um eine Aufdeckung durch Man-in-the-Middle- oder andere Angriffe auf bewegte Daten zu verhindern. Und sensible Daten sollten niemals irgendwo im Netzwerk zwischengespeichert werden. Sensible Daten sollten entweder mit starker Verschlüsselung im Speicher liegen oder mit TLS-Schutz gesendet werden, damit Angreifer keine Schwachstellen ausnutzen können.
Machen Sie schließlich eine Bestandsaufnahme der Arten von sensiblen Daten, die von Ihrer Organisation geschützt werden. Wenn es für Ihre Organisation keinen Grund gibt, solche Daten zu speichern, dann entsorgen Sie sie. Warum sollten Sie sich potentiellem Ärger aussetzen, ohne einen möglichen Nutzen zu haben? Daten, die nicht von einer Organisation verwaltet werden, können auch nicht von ihr gestohlen werden.
Weitere Informationen zum Umgang mit sensiblen Daten
Als weitere Lektüre können Sie einen Blick darauf werfen, was OWASP über die Exposition sensibler Daten sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Secure Code Warrior Plattform testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Jaap Karan Singhは、セキュア・コーディング・エバンジェリストであり、チーフ・シンであり、セキュア・コード・ウォリアーの共同創設者です。
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約
Jaap Karan Singhは、セキュア・コーディング・エバンジェリストであり、チーフ・シンであり、セキュア・コード・ウォリアーの共同創設者です。
Die Offenlegung sensibler Daten war in den letzten Jahren für einige der bekanntesten und folgenreichsten Datenschutzverletzungen verantwortlich, wie z. B. die katastrophale Verletzung bei Marriott, bei der über 300 Millionen Kundendaten gestohlen wurden, und weitere 150 Millionen, als Equifax angegriffen wurde. Es ist ein mittleres Maß an Raffinesse erforderlich und manchmal auch eine spezielle Ausrüstung auf Seiten des Angreifers, aber in vielen Fällen ist es für einen Hacker nicht übermäßig schwer, es durchzuziehen, und es gibt Tools, um einige der Angriffsfunktionen zu automatisieren.
Die Offenlegung sensibler Daten tritt immer dann auf, wenn Informationen, die nur für eine autorisierte Ansicht bestimmt sind, in einem unverschlüsselten, ungeschützten oder schwach geschützten Zustand einer unbefugten Person zugänglich gemacht werden. Meistens handelt es sich dabei um Daten, die Hacker stehlen wollen, wie z. B. Kreditkartennummern, Benutzeridentifikationen, Geschäftsgeheimnisse und persönliche Informationen, die durch Gesetze und Branchenvorschriften geschützt sein könnten.
Hacker können sensible Informationen stehlen, wenn sie unverschlüsselt gespeichert sind oder indem sie indirekt das Verschlüsselungsschema angreifen. Anstatt zu versuchen, starke Verschlüsselung direkt zu entschlüsseln, stehlen sie stattdessen Kryptoschlüssel oder greifen Daten an, wenn sie in einen unverschlüsselten Zustand versetzt werden, z. B. wenn sie für den Transport vorbereitet werden.
In dieser Folge lernen wir:
- Wie Angreifer die Offenlegung sensibler Daten auslösen können
- Warum die Offenlegung sensibler Daten so gefährlich ist
- Techniken, die diese Sicherheitslücke beheben können.
Wie nutzen Angreifer die Offenlegung sensibler Daten aus?
Die Offenlegung sensibler Daten geschieht normalerweise, wenn Websites keine starke Ende-zu-Ende-Verschlüsselung zum Schutz der Daten verwenden oder wenn es ausnutzbare Schwachstellen im Schutzschema gibt. Es kann auch passieren, wenn die verwendete Verschlüsselung besonders schwach oder veraltet ist.
Hacker werden oft versuchen, Wege zu finden, um die Verschlüsselung zu umgehen, wenn sie nicht überall eingesetzt wird. Wenn beispielsweise eine Benutzeridentitätsdatenbank Informationen in einem verschlüsselten Zustand speichert, diese aber automatisch entschlüsselt, wenn sie abgerufen werden, könnte ein Hacker einen der bereits in diesen Blogs behandelten Angriffe wie SQL- oder XML-Injection nutzen, um die Datenbank anzuweisen, den Entschlüsselungsprozess durchzuführen. Dann wären die Daten für den Hacker entschlüsselt, ohne dass er zusätzlichen Aufwand betreiben müsste. Warum sollte man versuchen, eine Stahltür aufzubrechen, wenn man einfach den Schlüssel stehlen kann?
Schwache Verschlüsselung ist ebenfalls ein Problem. Wenn zum Beispiel Kreditkarten mit einem veralteten Verschlüsselungsschema gespeichert werden, könnte es ein Problem sein, wenn ein Hacker in der Lage ist, etwas wie eine lokale Dateieinschlussschwachstelle zu nutzen, um die gesamte Datenbank auf seinen Computer zu ziehen. Wenn die erfassten Daten mit einer starken Verschlüsselung wie AES-256 Bit geschützt wurden, wäre es viel schwieriger, sie zu knacken, wenn sie in den Besitz eines Hackers gelangen. Wenn jedoch eine schwächere oder veraltete Verschlüsselung verwendet wird, wie z. B. der ältere DES-Standard, dann kann ein Hacker mit spezieller Ausrüstung, wie z. B. einem Rack mit Grafikverarbeitungseinheiten (GPUs), diese einsetzen, um die Verschlüsselung in relativ kurzer Zeit zu knacken.
Warum ist die Offenlegung sensibler Daten gefährlich?
Die Offenlegung sensibler Daten ist gefährlich, weil dadurch unbefugte Benutzer geschützte Informationen sehen können. Wenn die Daten nicht wichtig wären, würden sie nicht geschützt werden, so dass jede Verletzung dieses Schutzes zu Problemen führen wird. Das ist keine Situation, mit der sich ein Unternehmen konfrontiert sehen möchte.
Wie viel Ärger eine Enthüllung sensibler Daten verursachen kann, hängt von der Art der Daten ab, die enthüllt werden. Wenn Benutzer- oder Kennwortdaten gestohlen werden, könnten diese für weitere Angriffe auf das System verwendet werden. Die Offenlegung persönlicher Daten könnte Benutzer sekundären Angriffen wie Identitätsdiebstahl oder Phishing aussetzen. Unternehmen könnten sich sogar durch hohe Geldstrafen und behördliche Maßnahmen gefährdet sehen, wenn die offengelegten Daten durch Gesetze wie den Health Insurance Portability and Accountability Act (HIPAA) in den USA oder die General Data Protection Regulation (GDPR) in Europa gesetzlich geschützt sind.
Eliminierung der Gefährdung sensibler Daten
Die Verhinderung der Offenlegung sensibler Daten beginnt mit der Sicherstellung einer starken, aktuellen und durchgängigen Verschlüsselung sensibler Daten in einem Unternehmen. Dies umfasst sowohl Daten im Ruhezustand als auch während der Übertragung. Es reicht nicht aus, sensible Daten zu verschlüsseln, während sie im Speicher liegen. Wenn sie vor der Verwendung oder vor dem Transport unverschlüsselt sind, können sie durch einen sekundären Angriff, der einen Server dazu bringt, sie zu entschlüsseln, offengelegt werden.
Daten im Transit sollten immer mit Transport Layer Security (TLS) geschützt werden, um eine Aufdeckung durch Man-in-the-Middle- oder andere Angriffe auf bewegte Daten zu verhindern. Und sensible Daten sollten niemals irgendwo im Netzwerk zwischengespeichert werden. Sensible Daten sollten entweder mit starker Verschlüsselung im Speicher liegen oder mit TLS-Schutz gesendet werden, damit Angreifer keine Schwachstellen ausnutzen können.
Machen Sie schließlich eine Bestandsaufnahme der Arten von sensiblen Daten, die von Ihrer Organisation geschützt werden. Wenn es für Ihre Organisation keinen Grund gibt, solche Daten zu speichern, dann entsorgen Sie sie. Warum sollten Sie sich potentiellem Ärger aussetzen, ohne einen möglichen Nutzen zu haben? Daten, die nicht von einer Organisation verwaltet werden, können auch nicht von ihr gestohlen werden.
Weitere Informationen zum Umgang mit sensiblen Daten
Als weitere Lektüre können Sie einen Blick darauf werfen, was OWASP über die Exposition sensibler Daten sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Secure Code Warrior Plattform testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Die Offenlegung sensibler Daten war in den letzten Jahren für einige der bekanntesten und folgenreichsten Datenschutzverletzungen verantwortlich, wie z. B. die katastrophale Verletzung bei Marriott, bei der über 300 Millionen Kundendaten gestohlen wurden, und weitere 150 Millionen, als Equifax angegriffen wurde. Es ist ein mittleres Maß an Raffinesse erforderlich und manchmal auch eine spezielle Ausrüstung auf Seiten des Angreifers, aber in vielen Fällen ist es für einen Hacker nicht übermäßig schwer, es durchzuziehen, und es gibt Tools, um einige der Angriffsfunktionen zu automatisieren.
Die Offenlegung sensibler Daten tritt immer dann auf, wenn Informationen, die nur für eine autorisierte Ansicht bestimmt sind, in einem unverschlüsselten, ungeschützten oder schwach geschützten Zustand einer unbefugten Person zugänglich gemacht werden. Meistens handelt es sich dabei um Daten, die Hacker stehlen wollen, wie z. B. Kreditkartennummern, Benutzeridentifikationen, Geschäftsgeheimnisse und persönliche Informationen, die durch Gesetze und Branchenvorschriften geschützt sein könnten.
Hacker können sensible Informationen stehlen, wenn sie unverschlüsselt gespeichert sind oder indem sie indirekt das Verschlüsselungsschema angreifen. Anstatt zu versuchen, starke Verschlüsselung direkt zu entschlüsseln, stehlen sie stattdessen Kryptoschlüssel oder greifen Daten an, wenn sie in einen unverschlüsselten Zustand versetzt werden, z. B. wenn sie für den Transport vorbereitet werden.
In dieser Folge lernen wir:
- Wie Angreifer die Offenlegung sensibler Daten auslösen können
- Warum die Offenlegung sensibler Daten so gefährlich ist
- Techniken, die diese Sicherheitslücke beheben können.
Wie nutzen Angreifer die Offenlegung sensibler Daten aus?
Die Offenlegung sensibler Daten geschieht normalerweise, wenn Websites keine starke Ende-zu-Ende-Verschlüsselung zum Schutz der Daten verwenden oder wenn es ausnutzbare Schwachstellen im Schutzschema gibt. Es kann auch passieren, wenn die verwendete Verschlüsselung besonders schwach oder veraltet ist.
Hacker werden oft versuchen, Wege zu finden, um die Verschlüsselung zu umgehen, wenn sie nicht überall eingesetzt wird. Wenn beispielsweise eine Benutzeridentitätsdatenbank Informationen in einem verschlüsselten Zustand speichert, diese aber automatisch entschlüsselt, wenn sie abgerufen werden, könnte ein Hacker einen der bereits in diesen Blogs behandelten Angriffe wie SQL- oder XML-Injection nutzen, um die Datenbank anzuweisen, den Entschlüsselungsprozess durchzuführen. Dann wären die Daten für den Hacker entschlüsselt, ohne dass er zusätzlichen Aufwand betreiben müsste. Warum sollte man versuchen, eine Stahltür aufzubrechen, wenn man einfach den Schlüssel stehlen kann?
Schwache Verschlüsselung ist ebenfalls ein Problem. Wenn zum Beispiel Kreditkarten mit einem veralteten Verschlüsselungsschema gespeichert werden, könnte es ein Problem sein, wenn ein Hacker in der Lage ist, etwas wie eine lokale Dateieinschlussschwachstelle zu nutzen, um die gesamte Datenbank auf seinen Computer zu ziehen. Wenn die erfassten Daten mit einer starken Verschlüsselung wie AES-256 Bit geschützt wurden, wäre es viel schwieriger, sie zu knacken, wenn sie in den Besitz eines Hackers gelangen. Wenn jedoch eine schwächere oder veraltete Verschlüsselung verwendet wird, wie z. B. der ältere DES-Standard, dann kann ein Hacker mit spezieller Ausrüstung, wie z. B. einem Rack mit Grafikverarbeitungseinheiten (GPUs), diese einsetzen, um die Verschlüsselung in relativ kurzer Zeit zu knacken.
Warum ist die Offenlegung sensibler Daten gefährlich?
Die Offenlegung sensibler Daten ist gefährlich, weil dadurch unbefugte Benutzer geschützte Informationen sehen können. Wenn die Daten nicht wichtig wären, würden sie nicht geschützt werden, so dass jede Verletzung dieses Schutzes zu Problemen führen wird. Das ist keine Situation, mit der sich ein Unternehmen konfrontiert sehen möchte.
Wie viel Ärger eine Enthüllung sensibler Daten verursachen kann, hängt von der Art der Daten ab, die enthüllt werden. Wenn Benutzer- oder Kennwortdaten gestohlen werden, könnten diese für weitere Angriffe auf das System verwendet werden. Die Offenlegung persönlicher Daten könnte Benutzer sekundären Angriffen wie Identitätsdiebstahl oder Phishing aussetzen. Unternehmen könnten sich sogar durch hohe Geldstrafen und behördliche Maßnahmen gefährdet sehen, wenn die offengelegten Daten durch Gesetze wie den Health Insurance Portability and Accountability Act (HIPAA) in den USA oder die General Data Protection Regulation (GDPR) in Europa gesetzlich geschützt sind.
Eliminierung der Gefährdung sensibler Daten
Die Verhinderung der Offenlegung sensibler Daten beginnt mit der Sicherstellung einer starken, aktuellen und durchgängigen Verschlüsselung sensibler Daten in einem Unternehmen. Dies umfasst sowohl Daten im Ruhezustand als auch während der Übertragung. Es reicht nicht aus, sensible Daten zu verschlüsseln, während sie im Speicher liegen. Wenn sie vor der Verwendung oder vor dem Transport unverschlüsselt sind, können sie durch einen sekundären Angriff, der einen Server dazu bringt, sie zu entschlüsseln, offengelegt werden.
Daten im Transit sollten immer mit Transport Layer Security (TLS) geschützt werden, um eine Aufdeckung durch Man-in-the-Middle- oder andere Angriffe auf bewegte Daten zu verhindern. Und sensible Daten sollten niemals irgendwo im Netzwerk zwischengespeichert werden. Sensible Daten sollten entweder mit starker Verschlüsselung im Speicher liegen oder mit TLS-Schutz gesendet werden, damit Angreifer keine Schwachstellen ausnutzen können.
Machen Sie schließlich eine Bestandsaufnahme der Arten von sensiblen Daten, die von Ihrer Organisation geschützt werden. Wenn es für Ihre Organisation keinen Grund gibt, solche Daten zu speichern, dann entsorgen Sie sie. Warum sollten Sie sich potentiellem Ärger aussetzen, ohne einen möglichen Nutzen zu haben? Daten, die nicht von einer Organisation verwaltet werden, können auch nicht von ihr gestohlen werden.
Weitere Informationen zum Umgang mit sensiblen Daten
Als weitere Lektüre können Sie einen Blick darauf werfen, was OWASP über die Exposition sensibler Daten sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Secure Code Warrior Plattform testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Klicken Sie auf den folgenden Link, um die PDF-Datei dieser Ressource herunterzuladen.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenデモを予約
Jaap Karan Singhは、セキュア・コーディング・エバンジェリストであり、チーフ・シンであり、セキュア・コード・ウォリアーの共同創設者です。
Die Offenlegung sensibler Daten war in den letzten Jahren für einige der bekanntesten und folgenreichsten Datenschutzverletzungen verantwortlich, wie z. B. die katastrophale Verletzung bei Marriott, bei der über 300 Millionen Kundendaten gestohlen wurden, und weitere 150 Millionen, als Equifax angegriffen wurde. Es ist ein mittleres Maß an Raffinesse erforderlich und manchmal auch eine spezielle Ausrüstung auf Seiten des Angreifers, aber in vielen Fällen ist es für einen Hacker nicht übermäßig schwer, es durchzuziehen, und es gibt Tools, um einige der Angriffsfunktionen zu automatisieren.
Die Offenlegung sensibler Daten tritt immer dann auf, wenn Informationen, die nur für eine autorisierte Ansicht bestimmt sind, in einem unverschlüsselten, ungeschützten oder schwach geschützten Zustand einer unbefugten Person zugänglich gemacht werden. Meistens handelt es sich dabei um Daten, die Hacker stehlen wollen, wie z. B. Kreditkartennummern, Benutzeridentifikationen, Geschäftsgeheimnisse und persönliche Informationen, die durch Gesetze und Branchenvorschriften geschützt sein könnten.
Hacker können sensible Informationen stehlen, wenn sie unverschlüsselt gespeichert sind oder indem sie indirekt das Verschlüsselungsschema angreifen. Anstatt zu versuchen, starke Verschlüsselung direkt zu entschlüsseln, stehlen sie stattdessen Kryptoschlüssel oder greifen Daten an, wenn sie in einen unverschlüsselten Zustand versetzt werden, z. B. wenn sie für den Transport vorbereitet werden.
In dieser Folge lernen wir:
- Wie Angreifer die Offenlegung sensibler Daten auslösen können
- Warum die Offenlegung sensibler Daten so gefährlich ist
- Techniken, die diese Sicherheitslücke beheben können.
Wie nutzen Angreifer die Offenlegung sensibler Daten aus?
Die Offenlegung sensibler Daten geschieht normalerweise, wenn Websites keine starke Ende-zu-Ende-Verschlüsselung zum Schutz der Daten verwenden oder wenn es ausnutzbare Schwachstellen im Schutzschema gibt. Es kann auch passieren, wenn die verwendete Verschlüsselung besonders schwach oder veraltet ist.
Hacker werden oft versuchen, Wege zu finden, um die Verschlüsselung zu umgehen, wenn sie nicht überall eingesetzt wird. Wenn beispielsweise eine Benutzeridentitätsdatenbank Informationen in einem verschlüsselten Zustand speichert, diese aber automatisch entschlüsselt, wenn sie abgerufen werden, könnte ein Hacker einen der bereits in diesen Blogs behandelten Angriffe wie SQL- oder XML-Injection nutzen, um die Datenbank anzuweisen, den Entschlüsselungsprozess durchzuführen. Dann wären die Daten für den Hacker entschlüsselt, ohne dass er zusätzlichen Aufwand betreiben müsste. Warum sollte man versuchen, eine Stahltür aufzubrechen, wenn man einfach den Schlüssel stehlen kann?
Schwache Verschlüsselung ist ebenfalls ein Problem. Wenn zum Beispiel Kreditkarten mit einem veralteten Verschlüsselungsschema gespeichert werden, könnte es ein Problem sein, wenn ein Hacker in der Lage ist, etwas wie eine lokale Dateieinschlussschwachstelle zu nutzen, um die gesamte Datenbank auf seinen Computer zu ziehen. Wenn die erfassten Daten mit einer starken Verschlüsselung wie AES-256 Bit geschützt wurden, wäre es viel schwieriger, sie zu knacken, wenn sie in den Besitz eines Hackers gelangen. Wenn jedoch eine schwächere oder veraltete Verschlüsselung verwendet wird, wie z. B. der ältere DES-Standard, dann kann ein Hacker mit spezieller Ausrüstung, wie z. B. einem Rack mit Grafikverarbeitungseinheiten (GPUs), diese einsetzen, um die Verschlüsselung in relativ kurzer Zeit zu knacken.
Warum ist die Offenlegung sensibler Daten gefährlich?
Die Offenlegung sensibler Daten ist gefährlich, weil dadurch unbefugte Benutzer geschützte Informationen sehen können. Wenn die Daten nicht wichtig wären, würden sie nicht geschützt werden, so dass jede Verletzung dieses Schutzes zu Problemen führen wird. Das ist keine Situation, mit der sich ein Unternehmen konfrontiert sehen möchte.
Wie viel Ärger eine Enthüllung sensibler Daten verursachen kann, hängt von der Art der Daten ab, die enthüllt werden. Wenn Benutzer- oder Kennwortdaten gestohlen werden, könnten diese für weitere Angriffe auf das System verwendet werden. Die Offenlegung persönlicher Daten könnte Benutzer sekundären Angriffen wie Identitätsdiebstahl oder Phishing aussetzen. Unternehmen könnten sich sogar durch hohe Geldstrafen und behördliche Maßnahmen gefährdet sehen, wenn die offengelegten Daten durch Gesetze wie den Health Insurance Portability and Accountability Act (HIPAA) in den USA oder die General Data Protection Regulation (GDPR) in Europa gesetzlich geschützt sind.
Eliminierung der Gefährdung sensibler Daten
Die Verhinderung der Offenlegung sensibler Daten beginnt mit der Sicherstellung einer starken, aktuellen und durchgängigen Verschlüsselung sensibler Daten in einem Unternehmen. Dies umfasst sowohl Daten im Ruhezustand als auch während der Übertragung. Es reicht nicht aus, sensible Daten zu verschlüsseln, während sie im Speicher liegen. Wenn sie vor der Verwendung oder vor dem Transport unverschlüsselt sind, können sie durch einen sekundären Angriff, der einen Server dazu bringt, sie zu entschlüsseln, offengelegt werden.
Daten im Transit sollten immer mit Transport Layer Security (TLS) geschützt werden, um eine Aufdeckung durch Man-in-the-Middle- oder andere Angriffe auf bewegte Daten zu verhindern. Und sensible Daten sollten niemals irgendwo im Netzwerk zwischengespeichert werden. Sensible Daten sollten entweder mit starker Verschlüsselung im Speicher liegen oder mit TLS-Schutz gesendet werden, damit Angreifer keine Schwachstellen ausnutzen können.
Machen Sie schließlich eine Bestandsaufnahme der Arten von sensiblen Daten, die von Ihrer Organisation geschützt werden. Wenn es für Ihre Organisation keinen Grund gibt, solche Daten zu speichern, dann entsorgen Sie sie. Warum sollten Sie sich potentiellem Ärger aussetzen, ohne einen möglichen Nutzen zu haben? Daten, die nicht von einer Organisation verwaltet werden, können auch nicht von ihr gestohlen werden.
Weitere Informationen zum Umgang mit sensiblen Daten
Als weitere Lektüre können Sie einen Blick darauf werfen, was OWASP über die Exposition sensibler Daten sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Secure Code Warrior Plattform testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
目次
Jaap Karan Singhは、セキュア・コーディング・エバンジェリストであり、チーフ・シンであり、セキュア・コード・ウォリアーの共同創設者です。
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約[ダウンロード]Ressourcen für den Einstieg
Themen und Inhalte der Secure-Code-Schulung
Unsere branchenführenden Inhalte werden unter Berücksichtigung der Aufgaben unserer Kunden ständig weiterentwickelt, um mit der sich ständig verändernden Softwareentwicklungsumgebung Schritt zu halten. Sie decken alle Themen von KI bis hin zu XQuery-Injection ab und sind für verschiedene Aufgabenbereiche konzipiert, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätssicherungsfachleuten. Werfen Sie einen Blick auf die Inhalte unseres Content-Katalogs, sortiert nach Themen und Aufgabenbereichen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
「Cybermon 2025 Beat the Boss」 kann nun das ganze Jahr über bei SCW gespielt werden. Führen Sie anspruchsvolle AI/LLM-Sicherheitsherausforderungen ein, um die sichere AI-Entwicklung in großem Maßstab zu stärken.
Erläuterung des Cyber-Resilience-Gesetzes: Bedeutung für die Entwicklung sicherer Software
Erfahren Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams auf Secure-by-Design-Praktiken, Schwachstellenprävention und die Kompetenzentwicklung von Entwicklern vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 ist der erste Teil der zehnteiligen Reihe „Enablers of Success“ und zeigt, wie sichere Programmierung mit geschäftlichen Ergebnissen wie Risikominderung und Geschwindigkeit verknüpft werden kann, um Programme langfristig zu optimieren.
