TS
Hochgeladen vonThomas Steinbrenner
843 aufrufe

Comodogate

Das Dokument behandelt die Grundlagen von SSL und die damit verbundenen Sicherheitsprobleme, insbesondere gefälschte Zertifikate und mögliche Angriffe wie 'Man in the Middle'. Es werden Lösungen vorgeschlagen, darunter die Verwendung vertrauenswürdiger Zertifikate, die Überprüfung über Certificate Revocation Lists und Online Certificate Status Protocol sowie die Implementierung von Sicherheits-Plugins. Zudem wird betont, dass Nutzer sich über Sicherheitsprobleme informieren und entsprechende Maßnahmen zur Verbesserung der Sicherheit ergreifen sollten.

Präsentation einbetten

Downloaden Sie, um offline zu lesen
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Comodogate ?!? Version 1.1 2. April 2011
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Inhalt Inhalt
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Inhalt Inhalt SSL-Grundlagen Symmetrische Kryptografie Asymmetrische Kryptografie Public key infrastructure
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Inhalt Inhalt SSL-Grundlagen Symmetrische Kryptografie Asymmetrische Kryptografie Public key infrastructure Der Hack Gef¨lschte Zertifikate a (Wo)man In The Middle Wie kann so etwas passieren?
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Inhalt Inhalt SSL-Grundlagen Symmetrische Kryptografie Asymmetrische Kryptografie Public key infrastructure Der Hack Gef¨lschte Zertifikate a (Wo)man In The Middle Wie kann so etwas passieren? L¨sungen o Zertifikate widerrufen TOFU/POP DNSSEC Perspectives
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Inhalt Inhalt SSL-Grundlagen Symmetrische Kryptografie Asymmetrische Kryptografie Public key infrastructure Der Hack Gef¨lschte Zertifikate a (Wo)man In The Middle Wie kann so etwas passieren? L¨sungen o Zertifikate widerrufen TOFU/POP DNSSEC Perspectives Was kann *ich* tun?
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Symmetrische Kryptografie Ver- und Entschl¨sselung mit dem selben Schl¨ssel u u (DES, 3DES, AES, RC4, ...)
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Asymmetrische Kryptografie Verschl¨sselung mit dem ¨ffentlichen Schl¨ssel des Empf¨ngers. u o u a Entschl¨sselung mit dem geheimen Schl¨ssel des Empf¨ngers. u u a Signieren genau umgekehrt.
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Public key infrastructure ¨ Offentlicher Schl¨ssel wird in einem Zertifikat gespeichert. u Echte Zertifikate werden von der Root CA ”unterschrieben”. Root CA-Zertifikat wird mit OS/Browser mitgeliefert.
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Gef¨lschte Zertifikate a Hacker hat sich durch eine L¨cke in einer RA folgende Zertifikate u ausstellen lassen k¨nnen: o • mail.google.com (GMail) • login.live.com (Hotmail et al) • www.google.com • login.yahoo.com (drei Zertifikate) • login.skype.com • addons.mozilla.org (Firefox extensions) • Global Trustee
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? (Wo)man In The Middle Falls Traffic uber den Angreifer umgeleitet werden kann → :/ ¨
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren?
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren? • Niemand will schuld sein...
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren? • Niemand will schuld sein... • Browser will Benutzer nicht mit Fehlermeldungen nerven → eher liberal
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren? • Niemand will schuld sein... • Browser will Benutzer nicht mit Fehlermeldungen nerven → eher liberal • Browser m¨ssen uber Vertrauen entscheiden → eher liberal u ¨ (z.B.:CNNIC)
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren? • Niemand will schuld sein... • Browser will Benutzer nicht mit Fehlermeldungen nerven → eher liberal • Browser m¨ssen uber Vertrauen entscheiden → eher liberal u ¨ (z.B.:CNNIC) • Systemadmins wollen keinen Aufwand. → nichts ¨ndert sich. a
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren? • Niemand will schuld sein... • Browser will Benutzer nicht mit Fehlermeldungen nerven → eher liberal • Browser m¨ssen uber Vertrauen entscheiden → eher liberal u ¨ (z.B.:CNNIC) • Systemadmins wollen keinen Aufwand. → nichts ¨ndert sich. a • CAs geben Implementierungen die Schuld. → nichts ¨ndert a sich.
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Zertifikate widerrufen • Einfachste Reaktion.
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Zertifikate widerrufen • Einfachste Reaktion. ¨ • Uberpr¨fung via Certificate Revocation Lists u
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Zertifikate widerrufen • Einfachste Reaktion. ¨ • Uberpr¨fung via Certificate Revocation Lists u • oder Online Certificate Status Protocol
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Zertifikate widerrufen • Einfachste Reaktion. ¨ • Uberpr¨fung via Certificate Revocation Lists u • oder Online Certificate Status Protocol ¨ • Uberpr¨fung h¨ngt von Implementierung ab (think mobile u a devices)
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? TOFU/POP Trust on first use/then popup ”Certificate Patrol” Quelle: https://addons.mozilla.org/de/firefox/addon/certificate-patrol/
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? TOFU/POP Quelle: https://addons.mozilla.org/de/firefox/addon/certificate-patrol/
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? DNSSEC Quelle: http(s)://dankaminsky.com/ DNS sicher? → Zertifikat mit DNS abfragen!
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Perspectives Quelle: https://www.networknotary.org/ Mehrere Server im Internet fragen → MITM erkennbar.
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Was kann *ich* tun?
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Was kann *ich* tun? • Probleme verstehen → sich informieren!
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Was kann *ich* tun? • Probleme verstehen → sich informieren! • Entsprechende Plugins installieren und unterst¨tzen! u (Certivicate Patrol, Perspectives, ...)
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Was kann *ich* tun? • Probleme verstehen → sich informieren! • Entsprechende Plugins installieren und unterst¨tzen! u (Certivicate Patrol, Perspectives, ...) • DNSSEC einsetzen und pushen! (z.B.: Phreebird (zeroconfig proxy by Dan Kaminsky))
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Was kann *ich* tun? • Probleme verstehen → sich informieren! • Entsprechende Plugins installieren und unterst¨tzen! u (Certivicate Patrol, Perspectives, ...) • DNSSEC einsetzen und pushen! (z.B.: Phreebird (zeroconfig proxy by Dan Kaminsky)) • Weitererz¨hlen. a
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Thomas Steinbrenner, B.Sc. http(s)://www.thomas-steinbrenner.net https://twitter.com/#!/Tie fighter Feel free to share this! Creative Commons - Attribution

Weitere ähnliche Inhalte

PPT
Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
vonArian Kriesch
 
PDF
Verschlüsselung in Theorie und Praxis
vonPeter Tröger
 
PDF
Kryptographie Präsentation für den Kurs Online Kommunikation @ #WebWi
vonmgoldb
 
PDF
EN 6.3: 4 Kryptographie
vonSven Wohlgemuth
 
PDF
Erasmus soest 2014
vonEwa Kowalska
 
PPS
Las mejores imagenes de 2007
vonlekue
 
PDF
FileMaker Go 12: Entwicklerhandbuch
vonFileMaker GmbH
 
PPT
Ronald Schild: Bücher in der Cloud
vonBörsenverein des Deutschen Buchhandels
 
Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
vonArian Kriesch
 
Verschlüsselung in Theorie und Praxis
vonPeter Tröger
 
Kryptographie Präsentation für den Kurs Online Kommunikation @ #WebWi
vonmgoldb
 
EN 6.3: 4 Kryptographie
vonSven Wohlgemuth
 
Erasmus soest 2014
vonEwa Kowalska
 
Las mejores imagenes de 2007
vonlekue
 
FileMaker Go 12: Entwicklerhandbuch
vonFileMaker GmbH
 
Ronald Schild: Bücher in der Cloud
vonBörsenverein des Deutschen Buchhandels
 

Andere mochten auch

PPT
Sin Sonidos
vonmisa2
 
PPT
Gladys
vonecursocig
 
PPSX
WEB 2.0
vonTanyklim
 
PDF
Netzpolitik - Die Machtfrage im Internet
vonThomas Lohninger
 
PPT
Wo Oder Wohin
vontorip
 
PDF
Executive Business Breakfast
vonemotion banking
 
PPT
DaF Blog Präsentation
vonEva Birger
 
PPTX
Lut De Bruyne
vonLutDeBruyne
 
PDF
Representaciones Visuales y Diseño de Experiencia de Usuario
vonOmar Sosa-Tzec
 
PDF
Introducción al
vonOmar Sosa-Tzec
 
PPSX
Giochifarwest2013
vonNarcisa Busi
 
PDF
Bestech Ananda | Ananda
vonInvest Gurgaon Properties
 
PDF
130313 fo wisnet ikt nrw iu k tag 190213 01
vonErichBehrendt
 
PPT
B rnext präsentation gpa-djp bv
vonWerner Drizhal
 
PDF
The variables for excellent color quality
vonWAN-IFRA
 
PDF
Declaración de la pintana. 23 nov-1
vonasalinasc
 
Sin Sonidos
vonmisa2
 
Gladys
vonecursocig
 
WEB 2.0
vonTanyklim
 
Netzpolitik - Die Machtfrage im Internet
vonThomas Lohninger
 
Wo Oder Wohin
vontorip
 
Executive Business Breakfast
vonemotion banking
 
DaF Blog Präsentation
vonEva Birger
 
Lut De Bruyne
vonLutDeBruyne
 
Representaciones Visuales y Diseño de Experiencia de Usuario
vonOmar Sosa-Tzec
 
Introducción al
vonOmar Sosa-Tzec
 
Giochifarwest2013
vonNarcisa Busi
 
Bestech Ananda | Ananda
vonInvest Gurgaon Properties
 
130313 fo wisnet ikt nrw iu k tag 190213 01
vonErichBehrendt
 
B rnext präsentation gpa-djp bv
vonWerner Drizhal
 
The variables for excellent color quality
vonWAN-IFRA
 
Declaración de la pintana. 23 nov-1
vonasalinasc
 

Comodogate

  • 1.
    Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Comodogate ?!? Version 1.1 2. April 2011
  • 2.
    Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Inhalt Inhalt
  • 3.
    Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Inhalt Inhalt SSL-Grundlagen Symmetrische Kryptografie Asymmetrische Kryptografie Public key infrastructure
  • 4.
    Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Inhalt Inhalt SSL-Grundlagen Symmetrische Kryptografie Asymmetrische Kryptografie Public key infrastructure Der Hack Gef¨lschte Zertifikate a (Wo)man In The Middle Wie kann so etwas passieren?
  • 5.
    Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Inhalt Inhalt SSL-Grundlagen Symmetrische Kryptografie Asymmetrische Kryptografie Public key infrastructure Der Hack Gef¨lschte Zertifikate a (Wo)man In The Middle Wie kann so etwas passieren? L¨sungen o Zertifikate widerrufen TOFU/POP DNSSEC Perspectives
  • 6.
    Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Inhalt Inhalt SSL-Grundlagen Symmetrische Kryptografie Asymmetrische Kryptografie Public key infrastructure Der Hack Gef¨lschte Zertifikate a (Wo)man In The Middle Wie kann so etwas passieren? L¨sungen o Zertifikate widerrufen TOFU/POP DNSSEC Perspectives Was kann *ich* tun?
  • 7.
    Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Symmetrische Kryptografie Ver- und Entschl¨sselung mit dem selben Schl¨ssel u u (DES, 3DES, AES, RC4, ...)
  • 8.
    Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Asymmetrische Kryptografie Verschl¨sselung mit dem ¨ffentlichen Schl¨ssel des Empf¨ngers. u o u a Entschl¨sselung mit dem geheimen Schl¨ssel des Empf¨ngers. u u a Signieren genau umgekehrt.
  • 9.
    Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Public key infrastructure ¨ Offentlicher Schl¨ssel wird in einem Zertifikat gespeichert. u Echte Zertifikate werden von der Root CA ”unterschrieben”. Root CA-Zertifikat wird mit OS/Browser mitgeliefert.
  • 10.
    Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Gef¨lschte Zertifikate a Hacker hat sich durch eine L¨cke in einer RA folgende Zertifikate u ausstellen lassen k¨nnen: o • mail.google.com (GMail) • login.live.com (Hotmail et al) • www.google.com • login.yahoo.com (drei Zertifikate) • login.skype.com • addons.mozilla.org (Firefox extensions) • Global Trustee
  • 11.
    Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? (Wo)man In The Middle Falls Traffic uber den Angreifer umgeleitet werden kann → :/ ¨
  • 12.
    Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren?
  • 13.
    Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren? • Niemand will schuld sein...
  • 14.
    Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren? • Niemand will schuld sein... • Browser will Benutzer nicht mit Fehlermeldungen nerven → eher liberal
  • 15.
    Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren? • Niemand will schuld sein... • Browser will Benutzer nicht mit Fehlermeldungen nerven → eher liberal • Browser m¨ssen uber Vertrauen entscheiden → eher liberal u ¨ (z.B.:CNNIC)
  • 16.
    Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren? • Niemand will schuld sein... • Browser will Benutzer nicht mit Fehlermeldungen nerven → eher liberal • Browser m¨ssen uber Vertrauen entscheiden → eher liberal u ¨ (z.B.:CNNIC) • Systemadmins wollen keinen Aufwand. → nichts ¨ndert sich. a
  • 17.
    Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren? • Niemand will schuld sein... • Browser will Benutzer nicht mit Fehlermeldungen nerven → eher liberal • Browser m¨ssen uber Vertrauen entscheiden → eher liberal u ¨ (z.B.:CNNIC) • Systemadmins wollen keinen Aufwand. → nichts ¨ndert sich. a • CAs geben Implementierungen die Schuld. → nichts ¨ndert a sich.
  • 18.
    Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Zertifikate widerrufen • Einfachste Reaktion.
  • 19.
    Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Zertifikate widerrufen • Einfachste Reaktion. ¨ • Uberpr¨fung via Certificate Revocation Lists u
  • 20.
    Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Zertifikate widerrufen • Einfachste Reaktion. ¨ • Uberpr¨fung via Certificate Revocation Lists u • oder Online Certificate Status Protocol
  • 21.
    Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Zertifikate widerrufen • Einfachste Reaktion. ¨ • Uberpr¨fung via Certificate Revocation Lists u • oder Online Certificate Status Protocol ¨ • Uberpr¨fung h¨ngt von Implementierung ab (think mobile u a devices)
  • 22.
    Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? TOFU/POP Trust on first use/then popup ”Certificate Patrol” Quelle: https://addons.mozilla.org/de/firefox/addon/certificate-patrol/
  • 23.
    Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? TOFU/POP Quelle: https://addons.mozilla.org/de/firefox/addon/certificate-patrol/
  • 24.
    Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? DNSSEC Quelle: http(s)://dankaminsky.com/ DNS sicher? → Zertifikat mit DNS abfragen!
  • 25.
    Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Perspectives Quelle: https://www.networknotary.org/ Mehrere Server im Internet fragen → MITM erkennbar.
  • 26.
    Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Was kann *ich* tun?
  • 27.
    Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Was kann *ich* tun? • Probleme verstehen → sich informieren!
  • 28.
    Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Was kann *ich* tun? • Probleme verstehen → sich informieren! • Entsprechende Plugins installieren und unterst¨tzen! u (Certivicate Patrol, Perspectives, ...)
  • 29.
    Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Was kann *ich* tun? • Probleme verstehen → sich informieren! • Entsprechende Plugins installieren und unterst¨tzen! u (Certivicate Patrol, Perspectives, ...) • DNSSEC einsetzen und pushen! (z.B.: Phreebird (zeroconfig proxy by Dan Kaminsky))
  • 30.
    Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Was kann *ich* tun? • Probleme verstehen → sich informieren! • Entsprechende Plugins installieren und unterst¨tzen! u (Certivicate Patrol, Perspectives, ...) • DNSSEC einsetzen und pushen! (z.B.: Phreebird (zeroconfig proxy by Dan Kaminsky)) • Weitererz¨hlen. a
  • 31.
    Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Thomas Steinbrenner, B.Sc. http(s)://www.thomas-steinbrenner.net https://twitter.com/#!/Tie fighter Feel free to share this! Creative Commons - Attribution