Viele Firmen setzten Web Services “wie in einem Rausch” ein und vernachlässigten dabei die Sicherheitsrisiken, sagte Alex Stamos, Mitgründer der US-Sicherheitsfirma Information Security Partners während der Konferenz ‘CanSecWest/core06’ (Vancouver, 3. bis 7. April).
Die derzeit gebräuchlichen Web Services Tools machten es den Anwendern zudem leicht, die Risiken zu ignorieren. Web Services könnten mit einer Vielzahl von Software interagieren – dieser Vorteil könne sich jedoch zum Nachteil wenden, wenn die Sicherheit vernachlässigt werde.
Stamos zeigte, wie Web-Services-Techniken wie Ajax (Asynchronous JavaScript and XML) von Hackern missbraucht werden können. Unter anderem demonstrierte er, wie Schadsoftware in das Webformular eines Unternehmens injiziert werden kann. Web-Services-Anfragen könnten zudem genutzt werden, um Überlastungsangriffe (Denial of Service) durchzuführen.
Viele Entwickler verstehen nicht, wie Web Services funktionieren, sagte Stamos. Das werde von den Herstellern der Web Services Tools unterstützt. Diese priesen ihre Software als “magisch” an und verschleierten so die Komplexität der Web Services. Ergebnis sei, dass sich Unternehmen plötzlich mit Sicherheitsrisiken konfrontiert sähen, die sie nicht antizipiert hätten.
Die Hersteller der Web Services Tools könnten die Hackerangriffe jedoch erschweren, wenn sie ihre Produkte mit Input-Filtern ausrüsten, meinte Stamos. Zudem sollten Sicherheitsexperten dem Thema mehr Aufmerksamkeit widmen. Bislang seien Web Services das “Stiefkind der Sicherheitsindustrie”.
Land Niedersachsen schließt datenschutzrechtliche Vereinbarung mit Microsoft zur Nutzung von Teams ab.
Ein Großteil der Inventurdifferenzen im deutschen Einzelhandel wird durch Ladendiebstähle verursacht.
DDoS-Angriffe haben seit dem Beginn des Krieges zwischen Russland und der Ukraine an Häufigkeit und…
Lieferkettenplanung in Deutschland auf Basis von Excel bei 37 Prozent der befragten Unternehmen im Einsatz.
Bedienpersonal von Fertigungsanalagen soll mögliche Risiken auch ohne Cybersecurity-Fachwissen erkennen und minimieren können.
Schiffl IT: Anomalien im Netzwerkverkehr und in den Systemen in Echtzeit identifizieren.