HANGZHOU, China / 21. Dezember 2017 Das Open Web Application Security Project (OWASP), eine weltweite gemeinnützige Organisation, die sich der Verbesserung der Sicherheit von Software verschrieben hat, veröffentlichte im vergangenen Monat die neuesten OWASP Top 10 für 2017. Diese Liste, die seit 2003 alle vier Jahre erstellt wird, umfasst die zehn kritischsten Sicherheitsrisiken von Webanwendungen und wird mit dem Ziel erstellt, mit den immer höheren Anforderungen an die Cybersicherheit und die vernetzten Betriebssysteme Schritt zu halten.

Die OWASP Top 10 2017 basiert auf der Untersuchung von über 2,3 Mio. Schwachstellen, die 50.000 Anwendungen betroffen haben, und enthält zwei groß angelegte Schwachstellen-Updates und aktualisierte Angriffsszenarien. Sie dient als Standard-Leitfaden für potenzielle Probleme oder alle Arten von Benutzern, einschließlich derer aus der Sicherheitsbranche, da die meisten Videoüberwachungsanwendungen die Anzeige von Video über LAN/WAN mit Hilfe eines Webbrowsers beinhalten, während IP-Kameras und -Recorder über eine Webschnittstelle verfügen, um die Geräte zu initialisieren und zu konfigurieren.

Unter den Top-10-Risiken auf der Liste können die meisten der bekannten Cybersicherheitsprobleme in Sicherheitsprodukten mit 5 Einträgen (A2, A3, A5, A6, A9) verknüpft werden, darunter Broken Authentication and Session Management, Sensitive Data Exposure, Broken Access Control, Security Misconfiguration und Using Components with Known Vulnerabilities.

OWASPs zehn kritischste Sicherheitsrisiken für Webanwendungen

Um den oben genannten Cybersicherheitsrisiken zu begegnen, hat Dahua Technology, der führende Lösungsanbieter in der globalen Videoüberwachungsbranche, bereits die folgenden Maßnahmen ergriffen:

Verstärkte Authentifizierung und Zugriffskontrolle

Fast jedes IP-Videogerät verfügt über eine Authentifizierung, aber schwache oder gebrochene Authentifizierung kann von Angreifern ausgenutzt werden, um die Kontrolle über das Gerät zu erlangen. Ähnlich verhält es sich mit Broken Access Control, wo Einschränkungen, was authentifizierte Benutzer tun dürfen, oft nicht richtig durchgesetzt werden. Angreifer können diese Schwachstellen ausnutzen, um auf nicht autorisierte Funktionen und/oder Daten zuzugreifen, wie auf die Konten anderer Benutzer, vertrauliche Dateien anzuzeigen, die Daten anderer Benutzer zu ändern, Zugriffsrechte zu ändern und so weiter.

Um die Authentifizierung und Zugriffskontrolle zu stärken, hat Dahua Cybersecurity Baseline die folgenden Maßnahmen umgesetzt. Zuerst muss ein starkes Passwort mit 8-32 Zeichen erstellt werden. Es sperrt automatisch nach mehreren fehlgeschlagenen Versuchen. Zweitens wird die IP-Adresse der angemeldeten Clients überprüft, um festzustellen, ob sie mit der Session-ID übereinstimmen und Anfragen, die nicht vom selben Client kommen, effektiv filtern können. Darüber hinaus werden ungenutzte Sessions beendet, um das Risiko zu reduzieren, dass Benutzer vergessen, sich abzumelden. Darüber hinaus gibt es einen integrierten Mechanismus zur Abwehr von Brute-Force-Cracking des Session-ID-Wertes.

Schutz sensibler Daten

Sensible Daten werden gespeichert und übertragen, um die Anwendung auszuführen. Angreifer versuchen, vertrauliche Informationen wie Passwörter, Zahlungsinformationen und IDs zu stehlen. Dahua Cybersecurity Baseline implementiert die folgenden Maßnahmen zum Schutz sensibler Daten.

Erstens unterstützt Dahua HTTPS-Verschlüsselung und verbietet die unverschlüsselte Übertragung von Befehlen mit sensiblen Daten. Zweitens müssen die im Gerät gespeicherten Passwörter zusammen mit dem gerätespezifischen Kontext verschlüsselt werden, um die Schwierigkeit zu erhöhen, die Verschlüsselung zu knacken. Schützen Sie Konfigurationsdaten mit Verschlüsselung beim Speichern, Hoch- und Herunterladen. Selbst authentifizierte Benutzer dürfen die Daten nicht in Klartext dekodieren. Die Validierung der Datenintegrität wird sowohl im Upload- als auch im Download-Prozess durchgeführt.

Änderungen zur Reduzierung von Fehlkonfigurationen

Laut OWASP ist eine Fehlkonfiguration der Sicherheit das am häufigsten gesehene Problem. Dahua hat vergangene Fehlkonfigurationsprobleme analysiert und die folgenden Änderungen vorgenommen, um die Gefährdung durch potenzielle Angreifer zu reduzieren:

Zunächst werden alle Standardkonten entfernt. Der Installateur muss während der Geräteinitialisierung ein benutzerdefiniertes Passwort einrichten. Zusätzlich werden alle unbenutzten offenen Ports geschlossen und ein Authentifizierungsmechanismus wird für alle verbleibenden notwendigen offenen Ports implementiert. Schließlich hat Dahua eine Cloud-Firmware-Upgrade-Funktion implementiert, um es Benutzern zu erleichtern und bequemer zu machen, die Firmware auf dem neuesten Stand zu halten.

Menschliche Anstrengungen zur Korrektur menschlicher Fehler

Nur durch die vereinten Kräfte von Mensch und Maschine, von Kunden und Herstellern und allen anderen Beteiligten können wir Cybersicherheitsprobleme effektiv lösen. Dahua hat große Anstrengungen unternommen, damit Kunden korrekte Informationen, Zugang zu Software und technischen Support erhalten, um Schwachstellen effektiv zu beheben.

Auf der offiziellen Website hat Dahua seine Besten Praktiken, eine Seite mit nützlichen Tipps und Empfehlungen im Detail, die beim Aufbau eines sichereren Sicherheitssystems helfen, veröffentlicht. Es gibt ebenfalls einen Kanal für Vulnerability Reporting, über den Benutzer und andere Beteiligte ihre Hinweise auf Cybersicherheitslücken austauschen können und diese Bemühungen werden nach einer Bewertung der Verwundbarkeit belohnt.

Da die Videoüberwachung zu einem Kernbestandteil des IdD geworden ist, ist es nicht verwunderlich, dass in den letzten Jahren eine zunehmende Anzahl von Angriffen auf IP-Videogeräte stattgefunden hat. Daher hat Dahua vorgeschlagen, ein neues Ökosystem der Netzwerksicherheit zu etablieren, das den Endnutzer, Installateure und Hersteller umfasst. Im August 2017 teilte Dahua mit seinen Kunden ein Whitepaper über Cybersicherheit und eine aktualisierte Version wird Anfang 2018 herausgegeben.