security-webinar - thomas-krenn.ag · 2015. 12. 10. · ihr webinar-team _referent: dr. christopher...
Post on 14-Sep-2020
0 Views
Preview:
TRANSCRIPT
Security-WebinarDezember 2015
Dr. Christopher Kunz, filoo GmbH
Ihr Webinar-Team
_ Referent:Dr.ChristopherKunz_ CEOHostingfilooGmbH/TKAG_ PromotionITSecurity_ VorträgeaufKonferenzen_ AutorvonArtikeln&Büchern
_Moderation:SibylleBlöchl_MarketingThomas-Krenn.AG_ SammeltFragen/Feedback
Security-Webinar Dezember 2015
filoo GmbH
_Wir sind die Hosting-Tochter der Thomas-Krenn.AG_ Sicheres, hochperformantes Hosting in Frankfurt_ Mitarbeiter in Gütersloh und Freyung
_ Primärer Rechenzentrumsstandort Frankfurt_ Tier3, ISO 27001_ Fläche in zwei Brandabschnitten
_Managed Services_ Planung & Deployment_ Security Services_ Systemadministration
Security-Webinar Dezember 2015
Agenda
_ SecurityimNovember/Dezember_ OpenSSL SecurityAdvisory_ DellschießtsichinsKnie_ Let‘s Encrypt_ Security-BugsinSpielzeug_ Telekom-Volksverschlüsselung
_ Jahresrückblick_ Security-BugdesJahres_ Zahlen&Fakten
Security-Webinar Dezember 2015
OpenSSL Security
_Mathemathischer Fehler_ MachtRechenoperationenetwasangreifbarer_ KeinepraktischenAuswirkungenbefürchtet_ Betroffen:1.0.1(<q)und1.0.2(<e)
_ Denial of ServicegegenZertifikatsprüfung_ VerifikationvonX.509-ZertifikatenkannzumAbsturzgebrachtwerden
_ JedeAnwendung,diedastut,istverwundbar_ API-Anbindungen, X.509-LoginzuWeb-GUIs,SMTPmitTLS,...
_ Betroffen:0.9.8(<zh),1.0.0(<t),1.0.1(<q),1.0.2(<e)_ PSKRace-Condition undmöglicherDoS inKey-Exchange
_ Gefahrstufe:Niedrig_ Außerdem:OpenSSL 0.9.8und1.0.0abgekündigt!
_ Dasbetrifftu.a.DebianSqueeze!
Security-Webinar Dezember 2015
Dell SSL GAU
_DellinstallierteigeneCAaufLaptops_ VertrauenswürdigeCA– kannbeliebigeZertifikateausstellen
_ SokannDellZertifikatefürMITMausstellen_ ...abernichtnurDell,denn:_ PrivateKeydesCA-Zertifikatswarauchvorinstalliert
_DiverseHotfixesvonDellundanderen_MicrosofthatPatchesherausgegeben
_ SecurityAdvisory3119884_ „DellSystem Detect“installiert noch ein solchesZertifikat
Security-Webinar Dezember 2015
Dell Foundation Bug
_DellFoundation ServicessindzuServicezweckeninstalliert_ ÖffnenWebserver aufPort7779_ EingehendeRequests müsseneigentlichsigniertsein_ ...außerbeieinerbestimmtenJSONAPI_ HierkanndasDellServiceTagremoteausgelesenwerden
_Auswirkungen_ Dell-PC-Besitzer könnenremoteidentifiziertwerden
_DellgelobtBesserungundtauschtAPIaus_ ...durcheine,dienochmehrInformationenpreisgibt
Security-Webinar Dezember 2015
Let‘s Encrypt
_NeueCA(Initiatorenu.a.EFF,Mozilla,Akamai,Cisco)_ VerteiltkostenloseTLS-Zertifikate_ PublicBetaseitAnfangDezember
_Motto:Zertifikatesoeinfachwiemöglich_ EsgibteinenUnix-ClientinPython
_ Github:letsencrypt/letsencrypt_ Deristnochbuggy_ Use Cases:Apache,(nginx),Standalone
_VerifizierungdesZertifikatsüberWebserver_ Zertifikatenurkurzgültig(90Tage)
Security-Webinar Dezember 2015
Let‘s Encrypt Verfahren
Security-Webinar Dezember 2015
Quelle:letsencrypt.org
Let‘s Encrypt Demo
Security-Webinar Dezember 2015
Security-Webinar Dezember 2015
Security-Webinar Dezember 2015
Security-Webinar Dezember 2015
Security-Webinar Dezember 2015
Security-Webinar Dezember 2015
Security-Webinar Dezember 2015
Geowntes Spielzeug
_ vTech isteinLernspielzeughersteller_ BetreibteigenesPortalfürKindermitAppstore&Chat_ Zugangs- undProfildatenwurdengestohlen_ BetroffeninD:900.000Konten
_ „Hello Barbie“mitSpracherkennung_UnsichereImplementierung_AngeblicheDatenlecks
Security-Webinar Dezember 2015
Volksverschlüsselung
_ Ende-zu-Ende-VerschlüsselungfürE-Mail_ KooperationmitFraunhoferSIT_Unterstützt:WindowsundOutlook/Tbird_ Später:Android,iOS,Linux,OSX,weitereMailclients_ TechnischeBasis:S/MIMEmitX.509-Zertifikaten_OpenSource!
Security-Webinar Dezember 2015
Jahresrückblick
Security-Webinar Dezember 2015
Quelle: OSVDB
2015 in Webinarzahlen
_Webinare: 11_ SommerpauseimJuli_ 2pre-recorded
_ Slides:173_MeistauffälligeAnwendungen:
_Wordpress- 5_ Virtualisierung(Xen,Citrix,KVM,vmWare)– 4_ SSL/OpenSSL – 3_ Typo3,Magento,glibc,Drupal,Froxlor,Joomla- 1
Security-Webinar Dezember 2015
Seltsamste Slide des Jahres_ $=~[];$={___:++$,$$$$:(![]+"")[$],__$:++$,$_$_:(![]+"")[$],_$_:++$,$_$$:({}+"")[$],$$_$:($[$]+"")[$],_$$:++$,$$$_:(!""+"")[$],$__:++$,$_$:++$,$$__:({}+"")[$],$$_:++$,$$$:++$,$___:++$,$__$:++$};$.$_=($.$_=$+"")[$.$_$]+($._$=$.$_[$.__$])+($.$$=($.$+"")[$.__$])+((!$)+"")[$._$$]+($.__=$.$_[$.$$_])+($.$=(!""+"")[$.__$])+($._=(!""+"")[$._$_])+$.$_[$.$_$]+$.__+$._$+$.$;$.$$=$.$+(!""+"")[$._$$]+$.__+$._+$.$+$.$$;$.$=($.___)[$.$_][$.$_];$.$($.$($.$$+"\""+$.$_$_+(![]+"")[$._$_]+$.$$$_+"\\"+$.__$+$.$$_+$._$_+$.__+"(\\\"\\"+$.__$+$.__$+$.___+$.$_$_+(![]+"")[$._$_]+(![]+"")[$._$_]+$._$+"\\"+$.$__+$.___+"\\"+$.__$+$._$_+$.$$$+$.$$$_+$.$_$$+"\\"+$.__$+$.$_$+$.__$+"\\"+$.__$+$.$_$+$.$$_+$.$_$_+"\\"+$.__$+$.$$_+$._$_+"\\\"\\"+$.$__+$.___+")"+"\"")())();
Security-Webinar Dezember 2015
Lücke des Jahres
Security-Webinar Dezember 2015
_Ghost-Lücke_ Lückeinglibc_ Pufferüberlauf ineinerDNS-Funktion_ SehrlangerHostnameinExim triggertBuffer Overflow_DamitkannmaneigenenCodeausführen_ LückedesJahreswegenImpactundKreativität
Vorschau
_NächsterTermin:13.01.2016
_ IchfreuemichaufIhreThemenvorschläge!
Security-Webinar Dezember 2015
Vielen Dank
_ IchfreuemichaufIhreThemenvorschlägeundFragen!
_ Kontaktdaten:_ E-Mail:chris@filoo.de_ Telefon:05241/86730-0
_ BesuchenSiefiloo!_ https://www.filoo.de/_ http://twitter.com/filoogmbh
Security-Webinar Dezember 2015
top related