Security-Webinar · Asymmetrische Verschlüsselung _Alice & Bob haben privaten und öffentlichen...
Transcript of Security-Webinar · Asymmetrische Verschlüsselung _Alice & Bob haben privaten und öffentlichen...
Security-WebinarNovember 2015
Dr. Christopher Kunz, filoo GmbH
Ihr Webinar-Team
_ Referent:Dr.ChristopherKunz_ CEOHostingfilooGmbH/TKAG_ PromotionITSecurity_ VorträgeaufKonferenzen_ AutorvonArtikeln&Büchern
_Moderation:SibylleBlöchl_MarketingThomas-Krenn.AG_ SammeltFragen/Feedback
Security-Webinar November 2015
filoo GmbH
_Wir sind die Hosting-Tochter der Thomas-Krenn.AG_ Sicheres, hochperformantes Hosting in Frankfurt_ Mitarbeiter in Gütersloh und Freyung
_ Primärer Rechenzentrumsstandort Frankfurt_ Tier3, ISO 27001_ Fläche in zwei Brandabschnitten
_Managed Services_ Planung & Deployment_ Security Services_ Systemadministration
Security-Webinar November 2015
Agenda
_ SecurityimOktober/November_ Java0days_ Safe-Harbourgekippt_ Security-BugsinTypo3/Wordpress_MalwareinXcode_ JoomlaSecurity_ Xen VM-Ausbruch
_ SchwerpunktthemaVerschlüsselung_ Verschlüsselungrichtignutzen– waswofür?_ VerschlüsselteE-Mailmitfiloo Webmail_ AktuelleSecurity-VorfällemitVerschlüsselung
Security-Webinar November 2015
Java 0days
_ SicherheitsprobleminbeliebterBibliothekssammlung_ „CommonCollections“_ ProbleminSerialisierungsroutinen
_ BetrifftvieleJava-(Server-)Anwendungen_ Weblogic_ WebSphere_ Jboss_ Jenkins_ OpenNMS
_ SehrdetaillierteBeschreibung:http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/
Security-Webinar November 2015
Safe Harbor gekippt
_ Safe-Harbor-Abkommenzw.EUundUSAgekippt_ NachKlageeinesÖsterreichersu.a.gegenFacebook
_ÜbertragungpersönlicherDateninUSAgrundrechtswidrig_ VerstoßgegenArt.7derEU-Charta
_ EinschätzungSchaar:KeineeinfacheLösung_ Sog.StandardvertragsklauselnundBindingCorporateRulesebenfallsgrundrechtswidrig_ ExpliziteEinwilligungdesNutzersvermutlichunwirksam_ EuropäischeServervonUS-UnternehmenebenfallsUS-Jurisdiktionunterworfen
Security-Webinar November 2015
Safe Harbor – und nun?
_ KundendatennichtinUSAspeichernundverarbeitenlassen_ GoogleDrive,Dropbox,Amazon..._ Salesforce_ Evernote
_Womöglich,aufEU-Speicherungbestehen_ EinigeAnbieterhabenWahlmöglichkeit_ Festlegungfordern!
_ Cloud-HostinginDeutschland_ ...gibt‘sbeifiloo!
Security-Webinar November 2015
XSS in Typo3, Wordpress
_ Cross-SiteScriptinginTypo3_ SpeziellpräparierterLinksinsBackendkannJSenthalten_ Besondersgefährlich:Administratoren/Redakteureangreifen_ Angreifbar:Typo36.2.0bis6.2.14,7.0.0bis7.3.0
_ XSSinWordpress_ VerarbeitungvonShortcodesangreifbar_ Nutzerkontenlisteauch
_ LückeimRechtesystem_ PrivatePostsöffentlichmachen_ Nutzerkontoerforderlich
_ Updateauf4.3.1dringendempfohlen
Security-Webinar November 2015
Malware in XCode
_ FieseLeutehabenMalwareinXcode eingebaut..._ ...unddanndiese(raubkopierte)VersioninChinaverteilt_ AberXcode istdochkostenlos?_ Ja,abernichtfreiinChinaverfügbar!
_DieseMalwarewirdinApp-Codeübertragen_ DieAppsführenunerwünschteAktionenaus_ Clipboardauslesen_ Phishing_ Allerdings(noch)inaktiv
_MehrereHundertchinesischeAppsbetroffen
Security-Webinar November 2015
Joomla SQL Injection
_ Seit22.10.neuerSQLInjection 0dayfürJoomla_ SeitdemauchmassiveExploitversuche_ Automatisierunginkl.False-Positive-Filter_ Betroffen:Joomla3.X(X<4.5)
_ /index.php?option=com_contenthistory&view=history&list[ordering]=&item_id=75&type_id=1%20&list[select]=%20(select%201%20FROM(select%20count(*),concat((select%20(select%20concat(session_id))%20FROM%20jml_session%20LIMIT%200,1),floor(rand(0)*2))x%20FROM%20information_schema.tables%20GROUP%20BY%20x)a)
Security-Webinar November 2015
XEN VM-Ausbruch
_ LückeinSpeicherverwaltung fürXen-Gäste(VMs)_ Xen 3.4x86_ 32und64Bit
_Auswirkungen:AusbruchausVM_ KontrolledesHostsystems
_ (Wenig)mehrInfos:XSA-148_ http://xenbits.xen.org/xsa/advisory-148.html
Security-Webinar November 2015
Schwerpunkt Verschlüsselung_ SymmetrischeVerschlüsselung
_ EsexistierteinSchlüssel,denbeidevorabkennenmüssen_ AlleDatenwerdengegendiesenSchlüsselverschlüsselt_ Sehrschnell_ Verwendetu.a.inTLS
_
_AsymmetrischeVerschlüsselung_ JederNutzerhateinenöffentlichenundprivatenSchlüssel_MitdemöffentlichenSchlüsselwirdverschlüsselt_MitdemprivatenSchlüsselwirdentschlüsselt_ DeutlichlangsameralssymmetrischeKryptographie
Security-Webinar November 2015
Wofür welche Verschlüsselung?_ Transportverschlüsselung
_ IPSec_ SSL/TLS_ ...
_ Ende-zu-Ende-Verschlüsselung_ PGP/GnuPG_ S/MIME
_ TransparenteVerschlüsselung_ Crypto-Filesysteme_ Datenbankverschlüsselung(MariaDB,...)
Security-Webinar November 2015
Asymmetrische Verschlüsselung_Alice&BobhabenprivatenundöffentlichenSchlüssel_AlicewillmitBobkommunizieren
_ SiegibtBobihrenöffentlichenSchlüssel_ Bobgibtihrseinen
_AliceschreibtdieNachrichtundverschlüsseltsiemitBobsöffentlichemSchlüssel_ ErbrauchtseinenprivatenSchlüsselzumEntschlüsseln
_AlicesigniertdieNachrichtmitihremprivatenSchlüssel_ BobbrauchtihrenöffentlichenSchlüsselzumPrüfen
Security-Webinar November 2015
Verschlüsselung falsch
_ Belkin baut„smarte“LichtschalteraufLinuxbasis..._ ...undvergißt einenprivatenGPG-Schlüsseldarin_MitdiesemwardieFirmwaresigniert_ SomitkönnenAngreifereigeneFirmwares einspielen_ Exploits füreinenLichtschalter?
_D-LinkbautÜberwachungskamera..._ ...undvergißt einCode-Signing-ZertifikatnebstKey..._ SomitkönnenAngreiferWindows-SchadcodeinD-LinksNamenveröffentlichen_ Zertifikatbereitsrevoked
Security-Webinar November 2015
Verschlüsselung vs. Hashing_ Prüfsummen/Hashes sindKEINEVerschlüsselung!
_ EsgibttheoretischunendlichvieleKlartextefürdenselbenCiphertext_ One-Way-Funktion:EsgibtkeinenWegzurück
_HashfunktionenerfüllenzentraleAufgabeninCrypto_ DigitaleSignatur:HasheinesTexteswirdverschlüsselt_ModifiziereichdieOriginal-Nachricht,ändertderHashsich_ KannichdenselbenHashfürandereNachrichterzeugen?_ Ichkann.à Hash-Kollision
Security-Webinar November 2015
SHA1-Hashkollision
_ SHA-1istu.A. derHashalgorithmusfürvieleSSL-Zertifikate_ ErfolgreicherAngriffdurchbritischeForscher
_ Clustermit64GPUs
_MöglichepraktischeAuswirkung:GefälschteSSL-Zertifikate_ BesitzervonSHA-1-signiertenZertifikatensolltensietauschen_Meist(jenachCA)kostenlos
Security-Webinar November 2015
Sichere E-Mail
_ SichereE-MailwarletztenMonatThema_ Ichhabenochetwasnachgearbeitet...
_ Ende-zu-Ende-Verschlüsselungmuß imMail-Clientpassieren_ Sonstkannjemandmithören...
_DasgehtmitPGPundeinemBrowser-Plugin_ Funktioniertprimaimfiloo Webmailer!
Security-Webinar November 2015
Sichere E-Mail bei filoo
Security-Webinar November 2015
Vorschau
_NächsterTermin:09.12.2015
_ IchfreuemichaufIhreThemenvorschläge!
Security-Webinar November 2015
Vielen Dank
_ IchfreuemichaufIhreThemenvorschlägeundFragen!
_ Kontaktdaten:_ E-Mail:[email protected]_ Telefon:05241/86730-0
_ BesuchenSiefiloo!_ https://www.filoo.de/_ http://twitter.com/filoogmbh
Security-Webinar November 2015