Inhalt   SSL-Grundlagen    Der Hack       L¨sungen                                           o         Was kann *ich* tun?...
Inhalt            SSL-Grundlagen   Der Hack   L¨sungen                                               o         Was kann *i...
Inhalt            SSL-Grundlagen   Der Hack   L¨sungen                                               o         Was kann *i...
Inhalt            SSL-Grundlagen   Der Hack   L¨sungen                                               o         Was kann *i...
Inhalt            SSL-Grundlagen    Der Hack   L¨sungen                                                o         Was kann ...
Inhalt            SSL-Grundlagen    Der Hack   L¨sungen                                                o         Was kann ...
Inhalt           SSL-Grundlagen     Der Hack       L¨sungen                                                    o         W...
Inhalt           SSL-Grundlagen     Der Hack      L¨sungen                                                   o            ...
Inhalt           SSL-Grundlagen       Der Hack    L¨sungen                                                   o            ...
Inhalt           SSL-Grundlagen         Der Hack       L¨sungen                                                        o  ...
Inhalt           SSL-Grundlagen     Der Hack      L¨sungen                                                   o            ...
Inhalt   SSL-Grundlagen    Der Hack   L¨sungen                                       o         Was kann *ich* tun?        ...
Inhalt         SSL-Grundlagen     Der Hack   L¨sungen                                              o         Was kann *ich...
Inhalt         SSL-Grundlagen     Der Hack     L¨sungen                                                o            Was ka...
Inhalt         SSL-Grundlagen     Der Hack     L¨sungen                                                o             Was k...
Inhalt         SSL-Grundlagen     Der Hack     L¨sungen                                                o             Was k...
Inhalt         SSL-Grundlagen     Der Hack     L¨sungen                                                o             Was k...
Inhalt         SSL-Grundlagen         Der Hack    L¨sungen                                                   o         Was...
Inhalt         SSL-Grundlagen         Der Hack    L¨sungen                                                   o         Was...
Inhalt         SSL-Grundlagen         Der Hack    L¨sungen                                                   o         Was...
Inhalt         SSL-Grundlagen         Der Hack    L¨sungen                                                   o         Was...
Inhalt                 SSL-Grundlagen                  Der Hack                  L¨sungen                                 ...
Inhalt                 SSL-Grundlagen                  Der Hack                  L¨sungen                                 ...
Inhalt                 SSL-Grundlagen         Der Hack   L¨sungen                                                         ...
Inhalt                 SSL-Grundlagen              Der Hack      L¨sungen                                                 ...
Inhalt   SSL-Grundlagen        Der Hack   L¨sungen                                           o         Was kann *ich* tun?...
Inhalt         SSL-Grundlagen        Der Hack   L¨sungen                                                 o         Was kan...
Inhalt         SSL-Grundlagen        Der Hack        L¨sungen                                                      o      ...
Inhalt         SSL-Grundlagen        Der Hack        L¨sungen                                                      o      ...
Inhalt         SSL-Grundlagen        Der Hack        L¨sungen                                                      o      ...
Inhalt           SSL-Grundlagen       Der Hack   L¨sungen                                                  o         Was k...
Nächste SlideShare
Wird geladen in …5
×

Comodogate

994 Aufrufe

Veröffentlicht am

Slides of a Lightning talk I held at Metalab on April 1st, 2011.

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
994
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
98
Aktionen
Geteilt
0
Downloads
2
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Comodogate

  1. 1. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Comodogate ?!? Version 1.1 2. April 2011
  2. 2. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Inhalt Inhalt
  3. 3. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Inhalt Inhalt SSL-Grundlagen Symmetrische Kryptografie Asymmetrische Kryptografie Public key infrastructure
  4. 4. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Inhalt Inhalt SSL-Grundlagen Symmetrische Kryptografie Asymmetrische Kryptografie Public key infrastructure Der Hack Gef¨lschte Zertifikate a (Wo)man In The Middle Wie kann so etwas passieren?
  5. 5. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Inhalt Inhalt SSL-Grundlagen Symmetrische Kryptografie Asymmetrische Kryptografie Public key infrastructure Der Hack Gef¨lschte Zertifikate a (Wo)man In The Middle Wie kann so etwas passieren? L¨sungen o Zertifikate widerrufen TOFU/POP DNSSEC Perspectives
  6. 6. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Inhalt Inhalt SSL-Grundlagen Symmetrische Kryptografie Asymmetrische Kryptografie Public key infrastructure Der Hack Gef¨lschte Zertifikate a (Wo)man In The Middle Wie kann so etwas passieren? L¨sungen o Zertifikate widerrufen TOFU/POP DNSSEC Perspectives Was kann *ich* tun?
  7. 7. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Symmetrische Kryptografie Ver- und Entschl¨sselung mit dem selben Schl¨ssel u u (DES, 3DES, AES, RC4, ...)
  8. 8. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Asymmetrische Kryptografie Verschl¨sselung mit dem ¨ffentlichen Schl¨ssel des Empf¨ngers. u o u a Entschl¨sselung mit dem geheimen Schl¨ssel des Empf¨ngers. u u a Signieren genau umgekehrt.
  9. 9. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Public key infrastructure ¨ Offentlicher Schl¨ssel wird in einem Zertifikat gespeichert. u Echte Zertifikate werden von der Root CA ”unterschrieben”. Root CA-Zertifikat wird mit OS/Browser mitgeliefert.
  10. 10. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Gef¨lschte Zertifikate a Hacker hat sich durch eine L¨cke in einer RA folgende Zertifikate u ausstellen lassen k¨nnen: o • mail.google.com (GMail) • login.live.com (Hotmail et al) • www.google.com • login.yahoo.com (drei Zertifikate) • login.skype.com • addons.mozilla.org (Firefox extensions) • Global Trustee
  11. 11. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? (Wo)man In The Middle Falls Traffic uber den Angreifer umgeleitet werden kann → :/ ¨
  12. 12. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren?
  13. 13. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren? • Niemand will schuld sein...
  14. 14. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren? • Niemand will schuld sein... • Browser will Benutzer nicht mit Fehlermeldungen nerven → eher liberal
  15. 15. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren? • Niemand will schuld sein... • Browser will Benutzer nicht mit Fehlermeldungen nerven → eher liberal • Browser m¨ssen uber Vertrauen entscheiden → eher liberal u ¨ (z.B.:CNNIC)
  16. 16. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren? • Niemand will schuld sein... • Browser will Benutzer nicht mit Fehlermeldungen nerven → eher liberal • Browser m¨ssen uber Vertrauen entscheiden → eher liberal u ¨ (z.B.:CNNIC) • Systemadmins wollen keinen Aufwand. → nichts ¨ndert sich. a
  17. 17. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren? • Niemand will schuld sein... • Browser will Benutzer nicht mit Fehlermeldungen nerven → eher liberal • Browser m¨ssen uber Vertrauen entscheiden → eher liberal u ¨ (z.B.:CNNIC) • Systemadmins wollen keinen Aufwand. → nichts ¨ndert sich. a • CAs geben Implementierungen die Schuld. → nichts ¨ndert a sich.
  18. 18. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Zertifikate widerrufen • Einfachste Reaktion.
  19. 19. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Zertifikate widerrufen • Einfachste Reaktion. ¨ • Uberpr¨fung via Certificate Revocation Lists u
  20. 20. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Zertifikate widerrufen • Einfachste Reaktion. ¨ • Uberpr¨fung via Certificate Revocation Lists u • oder Online Certificate Status Protocol
  21. 21. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Zertifikate widerrufen • Einfachste Reaktion. ¨ • Uberpr¨fung via Certificate Revocation Lists u • oder Online Certificate Status Protocol ¨ • Uberpr¨fung h¨ngt von Implementierung ab (think mobile u a devices)
  22. 22. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? TOFU/POP Trust on first use/then popup ”Certificate Patrol” Quelle: https://addons.mozilla.org/de/firefox/addon/certificate-patrol/
  23. 23. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? TOFU/POP Quelle: https://addons.mozilla.org/de/firefox/addon/certificate-patrol/
  24. 24. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? DNSSEC Quelle: http(s)://dankaminsky.com/ DNS sicher? → Zertifikat mit DNS abfragen!
  25. 25. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Perspectives Quelle: https://www.networknotary.org/ Mehrere Server im Internet fragen → MITM erkennbar.
  26. 26. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Was kann *ich* tun?
  27. 27. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Was kann *ich* tun? • Probleme verstehen → sich informieren!
  28. 28. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Was kann *ich* tun? • Probleme verstehen → sich informieren! • Entsprechende Plugins installieren und unterst¨tzen! u (Certivicate Patrol, Perspectives, ...)
  29. 29. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Was kann *ich* tun? • Probleme verstehen → sich informieren! • Entsprechende Plugins installieren und unterst¨tzen! u (Certivicate Patrol, Perspectives, ...) • DNSSEC einsetzen und pushen! (z.B.: Phreebird (zeroconfig proxy by Dan Kaminsky))
  30. 30. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Was kann *ich* tun? • Probleme verstehen → sich informieren! • Entsprechende Plugins installieren und unterst¨tzen! u (Certivicate Patrol, Perspectives, ...) • DNSSEC einsetzen und pushen! (z.B.: Phreebird (zeroconfig proxy by Dan Kaminsky)) • Weitererz¨hlen. a
  31. 31. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Thomas Steinbrenner, B.Sc. http(s)://www.thomas-steinbrenner.net https://twitter.com/#!/Tie fighter Feel free to share this! Creative Commons - Attribution

×