heartbleed i wifi - smerek 31 v 2014
TRANSCRIPT
![Page 1: Heartbleed i WiFi - Smerek 31 V 2014](https://reader030.vdocument.in/reader030/viewer/2022032421/55a833831a28abb9128b45f7/html5/thumbnails/1.jpg)
Wpływ błedu Heartbleed na bezpieczeństwo danych
mgr inż. Grzegorz Wieczorek
Szkoła Główna Gospodarstwa WiejskiegoWydział Zastosowań Informatyki i Matematyki
Smerek, 31 V 2014
![Page 2: Heartbleed i WiFi - Smerek 31 V 2014](https://reader030.vdocument.in/reader030/viewer/2022032421/55a833831a28abb9128b45f7/html5/thumbnails/2.jpg)
1 Wstęp do systemu SSL
2 Heartbleed - czyli o co ta cała afera!
3 Analiza danych zebranych podczas tej konferencji
4 Zakończenie
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 2 / 23
![Page 3: Heartbleed i WiFi - Smerek 31 V 2014](https://reader030.vdocument.in/reader030/viewer/2022032421/55a833831a28abb9128b45f7/html5/thumbnails/3.jpg)
Jak działa SSL
Jak działa SSL?
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 3 / 23
![Page 4: Heartbleed i WiFi - Smerek 31 V 2014](https://reader030.vdocument.in/reader030/viewer/2022032421/55a833831a28abb9128b45f7/html5/thumbnails/4.jpg)
Jak działa SSL
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 4 / 23
![Page 5: Heartbleed i WiFi - Smerek 31 V 2014](https://reader030.vdocument.in/reader030/viewer/2022032421/55a833831a28abb9128b45f7/html5/thumbnails/5.jpg)
RSA
n = p · q (1)
ϕ(n) = (p − 1)(q − 1) (2)
e(1 < e < φ(n)) (3)
d = e−1modϕ(n) (4)
Klucz publiczny - (n, e)Klucz prywatny - (n, d)
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 5 / 23
![Page 6: Heartbleed i WiFi - Smerek 31 V 2014](https://reader030.vdocument.in/reader030/viewer/2022032421/55a833831a28abb9128b45f7/html5/thumbnails/6.jpg)
Heartbleed
CVE-2014-0160
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 6 / 23
![Page 7: Heartbleed i WiFi - Smerek 31 V 2014](https://reader030.vdocument.in/reader030/viewer/2022032421/55a833831a28abb9128b45f7/html5/thumbnails/7.jpg)
Heartbleed
Błąd dotyczy:
Serwisów internetowych (banki, poczta, ...)
Urządzenia mobilne (telefony, tablety, ...)
Aplikacje komputerowe i mobilne
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 7 / 23
![Page 8: Heartbleed i WiFi - Smerek 31 V 2014](https://reader030.vdocument.in/reader030/viewer/2022032421/55a833831a28abb9128b45f7/html5/thumbnails/8.jpg)
Heartbleed
Błąd dotyczy:
Serwisów internetowych (banki, poczta, ...)
Urządzenia mobilne (telefony, tablety, ...)
Aplikacje komputerowe i mobilne
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 7 / 23
![Page 9: Heartbleed i WiFi - Smerek 31 V 2014](https://reader030.vdocument.in/reader030/viewer/2022032421/55a833831a28abb9128b45f7/html5/thumbnails/9.jpg)
Heartbleed
Błąd dotyczy:
Serwisów internetowych (banki, poczta, ...)
Urządzenia mobilne (telefony, tablety, ...)
Aplikacje komputerowe i mobilne
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 7 / 23
![Page 10: Heartbleed i WiFi - Smerek 31 V 2014](https://reader030.vdocument.in/reader030/viewer/2022032421/55a833831a28abb9128b45f7/html5/thumbnails/10.jpg)
Heartbleed
Ten wektor ataku działa aktualnie na systemach (dane na dzieńkonferencji):
Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e-15
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL1.0.1c 10 May 2012)
FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 8 / 23
![Page 11: Heartbleed i WiFi - Smerek 31 V 2014](https://reader030.vdocument.in/reader030/viewer/2022032421/55a833831a28abb9128b45f7/html5/thumbnails/11.jpg)
Heartbleed
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 9 / 23
![Page 12: Heartbleed i WiFi - Smerek 31 V 2014](https://reader030.vdocument.in/reader030/viewer/2022032421/55a833831a28abb9128b45f7/html5/thumbnails/12.jpg)
Heartbleed
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 10 / 23
![Page 13: Heartbleed i WiFi - Smerek 31 V 2014](https://reader030.vdocument.in/reader030/viewer/2022032421/55a833831a28abb9128b45f7/html5/thumbnails/13.jpg)
Heartbleed
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 11 / 23
![Page 14: Heartbleed i WiFi - Smerek 31 V 2014](https://reader030.vdocument.in/reader030/viewer/2022032421/55a833831a28abb9128b45f7/html5/thumbnails/14.jpg)
Heartbleed
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 12 / 23
![Page 15: Heartbleed i WiFi - Smerek 31 V 2014](https://reader030.vdocument.in/reader030/viewer/2022032421/55a833831a28abb9128b45f7/html5/thumbnails/15.jpg)
Heartbleed
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 13 / 23
![Page 16: Heartbleed i WiFi - Smerek 31 V 2014](https://reader030.vdocument.in/reader030/viewer/2022032421/55a833831a28abb9128b45f7/html5/thumbnails/16.jpg)
Heartbleed
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 14 / 23
![Page 17: Heartbleed i WiFi - Smerek 31 V 2014](https://reader030.vdocument.in/reader030/viewer/2022032421/55a833831a28abb9128b45f7/html5/thumbnails/17.jpg)
Heartbleed
Jakie dane można ”wyciągnąć”?:
Klucz prywatny
Loginy i hasła
Wiadomości e-mail
Poufne pliki
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 15 / 23
![Page 18: Heartbleed i WiFi - Smerek 31 V 2014](https://reader030.vdocument.in/reader030/viewer/2022032421/55a833831a28abb9128b45f7/html5/thumbnails/18.jpg)
Heartbleed
Jakie dane można ”wyciągnąć”?:
Klucz prywatny
Loginy i hasła
Wiadomości e-mail
Poufne pliki
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 15 / 23
![Page 19: Heartbleed i WiFi - Smerek 31 V 2014](https://reader030.vdocument.in/reader030/viewer/2022032421/55a833831a28abb9128b45f7/html5/thumbnails/19.jpg)
Heartbleed
Jakie dane można ”wyciągnąć”?:
Klucz prywatny
Loginy i hasła
Wiadomości e-mail
Poufne pliki
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 15 / 23
![Page 20: Heartbleed i WiFi - Smerek 31 V 2014](https://reader030.vdocument.in/reader030/viewer/2022032421/55a833831a28abb9128b45f7/html5/thumbnails/20.jpg)
Heartbleed
Jakie dane można ”wyciągnąć”?:
Klucz prywatny
Loginy i hasła
Wiadomości e-mail
Poufne pliki
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 15 / 23
![Page 21: Heartbleed i WiFi - Smerek 31 V 2014](https://reader030.vdocument.in/reader030/viewer/2022032421/55a833831a28abb9128b45f7/html5/thumbnails/21.jpg)
Heartbleed
Czy problem dotyczy tylko danych znajdujących się na serwerach?
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 16 / 23
![Page 22: Heartbleed i WiFi - Smerek 31 V 2014](https://reader030.vdocument.in/reader030/viewer/2022032421/55a833831a28abb9128b45f7/html5/thumbnails/22.jpg)
Heartbleed
Nie! Można też zaatakować komputery użytkowników i ”dobrać się”dotakich danych jak:
Loginy i hasła
Wiadomości e-mail
Oglądane zdjęcia
Uruchomiony dokument tekstowy
Oglądany film
Inne pliki...
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 17 / 23
![Page 23: Heartbleed i WiFi - Smerek 31 V 2014](https://reader030.vdocument.in/reader030/viewer/2022032421/55a833831a28abb9128b45f7/html5/thumbnails/23.jpg)
Heartbleed
Nie! Można też zaatakować komputery użytkowników i ”dobrać się”dotakich danych jak:
Loginy i hasła
Wiadomości e-mail
Oglądane zdjęcia
Uruchomiony dokument tekstowy
Oglądany film
Inne pliki...
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 17 / 23
![Page 24: Heartbleed i WiFi - Smerek 31 V 2014](https://reader030.vdocument.in/reader030/viewer/2022032421/55a833831a28abb9128b45f7/html5/thumbnails/24.jpg)
Heartbleed
Nie! Można też zaatakować komputery użytkowników i ”dobrać się”dotakich danych jak:
Loginy i hasła
Wiadomości e-mail
Oglądane zdjęcia
Uruchomiony dokument tekstowy
Oglądany film
Inne pliki...
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 17 / 23
![Page 25: Heartbleed i WiFi - Smerek 31 V 2014](https://reader030.vdocument.in/reader030/viewer/2022032421/55a833831a28abb9128b45f7/html5/thumbnails/25.jpg)
Heartbleed
Nie! Można też zaatakować komputery użytkowników i ”dobrać się”dotakich danych jak:
Loginy i hasła
Wiadomości e-mail
Oglądane zdjęcia
Uruchomiony dokument tekstowy
Oglądany film
Inne pliki...
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 17 / 23
![Page 26: Heartbleed i WiFi - Smerek 31 V 2014](https://reader030.vdocument.in/reader030/viewer/2022032421/55a833831a28abb9128b45f7/html5/thumbnails/26.jpg)
Heartbleed
Nie! Można też zaatakować komputery użytkowników i ”dobrać się”dotakich danych jak:
Loginy i hasła
Wiadomości e-mail
Oglądane zdjęcia
Uruchomiony dokument tekstowy
Oglądany film
Inne pliki...
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 17 / 23
![Page 27: Heartbleed i WiFi - Smerek 31 V 2014](https://reader030.vdocument.in/reader030/viewer/2022032421/55a833831a28abb9128b45f7/html5/thumbnails/27.jpg)
Heartbleed
Nie! Można też zaatakować komputery użytkowników i ”dobrać się”dotakich danych jak:
Loginy i hasła
Wiadomości e-mail
Oglądane zdjęcia
Uruchomiony dokument tekstowy
Oglądany film
Inne pliki...
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 17 / 23
![Page 28: Heartbleed i WiFi - Smerek 31 V 2014](https://reader030.vdocument.in/reader030/viewer/2022032421/55a833831a28abb9128b45f7/html5/thumbnails/28.jpg)
Heartbleed
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 18 / 23
![Page 29: Heartbleed i WiFi - Smerek 31 V 2014](https://reader030.vdocument.in/reader030/viewer/2022032421/55a833831a28abb9128b45f7/html5/thumbnails/29.jpg)
Heartbleed
Podsumowanie
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 19 / 23
![Page 30: Heartbleed i WiFi - Smerek 31 V 2014](https://reader030.vdocument.in/reader030/viewer/2022032421/55a833831a28abb9128b45f7/html5/thumbnails/30.jpg)
WiFi
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 20 / 23
![Page 31: Heartbleed i WiFi - Smerek 31 V 2014](https://reader030.vdocument.in/reader030/viewer/2022032421/55a833831a28abb9128b45f7/html5/thumbnails/31.jpg)
WiFi
• CellPipe FF82 • Chillin
• DMSairlive • EWA-Dom
• FAST3764-DE81 • HotelLokum
• ICMK-dlink • Jawor
• Livebox-54EC • Malinowy
• Mercure-basic • PENTAGRAM
• REKSIO • Tardis
• WL520GC Z4gM • dlink16A
• linksys • linksys zeii
• osk-wzim-test • wne-pracownicy
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 21 / 23
![Page 32: Heartbleed i WiFi - Smerek 31 V 2014](https://reader030.vdocument.in/reader030/viewer/2022032421/55a833831a28abb9128b45f7/html5/thumbnails/32.jpg)
WiFi
Łącznie podłączonych urządzeń podczas konferencji: 28
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 22 / 23
![Page 33: Heartbleed i WiFi - Smerek 31 V 2014](https://reader030.vdocument.in/reader030/viewer/2022032421/55a833831a28abb9128b45f7/html5/thumbnails/33.jpg)
Koniec
Dziękuję za uwagę.1
1Źródła obrazków: http://xkcd.com/1354/mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 23 / 23