SlideShare ist ein Scribd-Unternehmen logo
© 2014 OneConsult GmbH
www.oneconsult.com
Defense in Depth und Security Prozesse
Yves Kraft – Senior Security Consultant – OneConsult GmbH
Hacking Day 2014 – Datenschutz
am Beispiel von Heartbleed
11. Juni 2014
© 2014 OneConsult GmbH
www.oneconsult.com
Agenda
→ Vorstellung
→ Einleitung
→ Beispiele/Demo
→ Gegenmassnahmen
→ Fazit
Hacking Day 2014 – Datenschutz
2
© 2014 OneConsult GmbH
www.oneconsult.com
Über mich
→ Yves Kraft
→ Senior Security Consultant
→ BSc FH CS, OPST, OPSA, OSSTMM Trainer
→ Kursleiter bei Digicomp [Kurscodes PSI, PSO, PST, SWO, TSA]
→ Technische Security Audits
→ Konzeptionelles Consulting
→ Schulung & Coaching
→ Security Officer
3
Vorstellung
© 2014 OneConsult GmbH
www.oneconsult.com
Unternehmen
→ Kunden
◦ Mehr als 200 Unternehmen in der Schweiz, Europa und Übersee (inklusive ein
Dutzend der «Fortune Global 500 Corporations»)
◦ Kunden gleichmässig auf alle Branchen verteilt (Finanz-, Pharma-, Industrie-
Branche sowie öffentliche Verwaltungen (Bund, Kantone und Städte))
→ Projekterfahrung, über
◦ 750 technische Security Audit Projekte / Penetration Test Projekte (650 davon nach
OSSTMM)
◦ 350 Application Security Audits von Banking Lösungen und Online Shops
◦ 45 Mobile App Security Audits
◦ 50 Code Reviews
◦ 35 Digitale Forensik und Notfalleinsätze, rund ein Projekt pro Monat
◦ 120 konzeptionelle Security Audits
◦ Weitere anonymisierte Informationen: http://www.oneconsult.com/de/references
4
© 2014 OneConsult GmbH
www.oneconsult.com
Einleitung
→ Was ist Heartbleed?
→ Was ist schief gelaufen?
→ Der Angriff?
Einleitung
5
© 2014 OneConsult GmbH
www.oneconsult.com
«Catastrophic is the right word. On the scale of 1 to 10, this is an 11.»
Bruce Schneier, www.schneier.com
Hacking Day 2014 – Datenschutz
6
© 2014 OneConsult GmbH
www.oneconsult.com
Was ist Heartbleed?
→ Schwachstelle der Heartbeat-Erweiterung des
TLS-Protokolls in OpenSSL
→ OpenSSL-Versionen 1.0.1 bis 1.0.1f sind verwundbar
→ Wurde von Codenomicon Defensics am 3. April 2014 entdeckt
→ Bug mit Version 1.0.1g am 7. April 2014 behoben
→ CVE-2014-0160:
https://www.openssl.org/news/secadv_20140407.txt
Hacking Day 2014 – Datenschutz
7
© 2014 OneConsult GmbH
www.oneconsult.com
Was ist schief gelaufen?
→ Heartbeat-Funktion
◦ Kommunikationspartner A sendet zufälligen Inhalten
◦ Kommunikationspartner B sendet exakt die selben Daten zurück
→ Länge der Daten wird nicht geprüft
→ Feld payload_length kann mit beliebigen Werten
überschrieben werden
Hacking Day 2014 – Datenschutz
8
© 2014 OneConsult GmbH
www.oneconsult.com
Der Angriff
→ Angreifer sendet Heartbeat-Payload
◦ Grösse: 1 Byte
◦ Länge: 16KByte
Hacking Day 2014 – Datenschutz
9
→RFC6520 «The total length of a HeartbeatMessage MUST NOT exceed 2^14»
→Mit Payload 0xFFFF sind theoretisch 64 Kbyte möglich
. u s e r =
d i g i & p
a s s w o r
t = h a c k
i n g ; a Z
. . C 4 . Z
16 KB
ServerClient
16 KB
→ Server sendet die angeforderten
Daten zurück
buffer = OPENSSL_malloc(1 + 2 + payload + padding);
bp = buffer;
memcpy(bp, pl, payload);
© 2014 OneConsult GmbH
www.oneconsult.com
Demo
→ Wie wird der Heartbleed-Bug
ausgenutzt?
→ An welche Informationen kann
man gelangen?
→ Bekanntgewordene Fälle
Hacking Day 2014 – Datenschutz
10
© 2014 OneConsult GmbH
www.oneconsult.com
Heartbleed-Bug (CVE-2014-0160)
→ OpenSSL-Versionen 1.0.1 bis 1.0.1f sind verwundbar
→ Vorgehen:
1. Information Gathering
2. Footprinting
3. Exploiting
Hacking Day 2014 – Datenschutz
11
© 2014 OneConsult GmbH
www.oneconsult.com
Szenario 1: Wordpress Blog
Hacking Day 2014 – Datenschutz
12
© 2014 OneConsult GmbH
www.oneconsult.com
Das Internet blutet
→ Kanadisches Finanzamt - Sozialversicherungsnummern von
900 Personen entwendet
→ IP-Telefonie - einige VoIP-Modelle von Cisco betroffen
→ Mobile Geräte - Google Android in Version 4.1.1 betroffen
→ Netzwerkspeicher - Hersteller Synology muss Firmwareupdate
liefern
→ Internetdienste – Google-Suche, GMail, YouTube, Play Store,
Yahoo, Yahoo Mail, Instagram, Flickr, Tumblr, Amazon Web
Services, Dropbox, Pinterest, Last Past, Soundcloud, GitHub, …
Hacking Day 2014 – Datenschutz
13
© 2014 OneConsult GmbH
www.oneconsult.com
Szenario 2: Magento Webshop
Hacking Day 2014 – Datenschutz
14
© 2014 OneConsult GmbH
www.oneconsult.com
Gegenmassnahmen
→ Was muss ich tun?
→ Wie kann ich mich schützen
→ Sofortmassnahmen
→ Defense in Depth
Hacking Day 2014 – Datenschutz
15
© 2014 OneConsult GmbH
www.oneconsult.com
Gegenmassnahmen - Sofortmassnahmen
→ Betroffenes System vom Internet nehmen
→ Patch einspielen
→ Passwörter wechseln
→ Zertifikate erneuern
→ Altes Zertifikate revozieren
Hacking Day 2014 – Datenschutz
16
© 2014 OneConsult GmbH
www.oneconsult.com
…und in der Realität?
→ Studie von Netcraft (vom 9. Mai 2014) zeigt
◦ Immer noch 300’000 Webseiten verwundbar
Hacking Day 2014 – Datenschutz
17
Quelle: http://news.netcraft.com/archives/2014/05/09/keys-left-unchanged-in-many-heartbleed-replacement-certificates.html
© 2014 OneConsult GmbH
www.oneconsult.com
Gegenmassnahmen – «Defense in Depth»
→ Militärische Strategie: «Verzögerung statt dem Angreifer
Raum freigeben»
→ Platzierung von Schutzmechanismen, -verfahren und -politik
soll Zuverlässigkeit eines IT-Systems erhöhen
→ Mehrfache Schichten der Verteidigung sollen Spionage
verhindern
→ Angriffe gegen kritische Systeme verhindern
→ Mehr Zeit zur Erkennung & Reaktion bei Angriffen
→ Auswirkungen eines Einbruchs abschwächen
Hacking Day 2014 – Datenschutz
18
© 2014 OneConsult GmbH
www.oneconsult.com
«Defense in Depth» Strategie
Hacking Day 2014 – Datenschutz
19
Personen Technologie Operations
Defense in Depth Strategie
Informationssicherheit
Defense in Depth Bereiche
Netzwerk &
Infrastruktur
verteidigen
(Zonen-) Grenzen
verteidigen
Computer-
umgebung
verteidigen
Hilfsinfrastruktur
(KM/PKI, etc.)
© 2014 OneConsult GmbH
www.oneconsult.com
Beispiele für «Defense in Depth»
→ Netzwerk
◦ Demilitarisierten Zonen (DMZ)
◦ Paket-Filter / Firewalls
◦ Intrusion Detection Systeme
(IDS)
◦ Intrusion Protection/Prevention
Systeme (IPS)
→ Software / Malware
◦ Antivirus Software
◦ Sandboxing
◦ Endpoint Security
→ Vulnerability Scanner
→ Authentisierung und
Passwortsicherheit
◦ Passwortrichtlinien
◦ Biometrische
Sicherheitsmerkmale
◦ Hashing von Passwörtern
◦ Timed Access Control
→ Logging und Auditing
→ Physische Sicherheit
→ Awareness / Schulungen
◦ (Internet Security) Awareness
Schulung
Hacking Day 2014 – Datenschutz
20
© 2014 OneConsult GmbH
www.oneconsult.com
«Defense in Depth» gegen Heartbleed
→ Netzwerk
◦ Demilitarisierten Zonen (DMZ)
◦ Paket-Filter / Firewalls
◦ Intrusion Detection Systeme
(IDS)
◦ Intrusion Protection/Prevention
Systeme (IPS)
→ Software / Malware
◦ Antivirus Software
◦ Sandboxing
◦ Endpoint Security
→ Vulnerability Scanner
→ Authentisierung und
Passwortsicherheit
◦ Passwortrichtlinien
◦ Biometrische
Sicherheitsmerkmale
◦ Hasing von Passwörtern
◦ Timed Access Control
→ Logging und Auditing
→ Physische Sicherheit
→ Awareness / Schulungen
◦ (Internet Security) Awareness
Schulung
Hacking Day 2014 – Datenschutz
21
© 2014 OneConsult GmbH
www.oneconsult.com
Gegenmassnahmen – IT-Security Prozesse
→ Rollen und Verantwortlichkeiten
→ IT-Security als Teil des Projektmanagements
→ Risiko Analyse
→ Incident Response
→ Verträge
Hacking Day 2014 – Datenschutz
22
© 2014 OneConsult GmbH
www.oneconsult.com
Fazit
→ Ein wenig Statistik zum Schluss
→ Erkenntnisse aus Heartbleed
Hacking Day 2014 – Datenschutz
23
© 2014 OneConsult GmbH
www.oneconsult.com
Ein wenig Statistik zum Schluss
Hacking Day 2014 – Datenschutz
24
→ http://pacemaker.chokepointproject.net
© 2014 OneConsult GmbH
www.oneconsult.com
Erkenntnisse aus Fällen wie Heartbleed
→ 100% sichere Software gibt es nicht!
→ Grosse Verbreitung bedeutet auch grosse Verantwortung
→ Open Source Software braucht Unterstützung
→ Protokoll ist zu kompliziert
→ Incident Handling vs. Defense in Depth
→ Kennwörter sind von gestern
Hacking Day 2014 – Datenschutz
25
© 2014 OneConsult GmbH
www.oneconsult.com
© 2013 OneConsult GmbH
www.oneconsult.com
Büro Deutschland
Niederlassung der OneConsult GmbH
Karlstraße 35
80333 München
Deutschland
Tel +49 89 452 35 25 25
Fax +49 89 452 35 21 10
info@oneconsult.de
Büro Österreich
Niederlassung der OneConsult GmbH
Wienerbergstraße 11/12A
1100 Wien
Österreich
Tel +43 1 99460 64 69
Fax +43 1 99460 50 00
info@oneconsult.at
Hauptsitz
OneConsult GmbH
Schützenstrasse 1
8800 Thalwil
Schweiz
Tel +41 43 377 22 22
Fax +41 43 377 22 77
info@oneconsult.com
Danke für Ihre Aufmerksamkeit! Fragen?
Yves Kraft
BSc FH CS, OPST&OPSA
Senior Security Consultant
yves.kraft@oneconsult.com
+41 79 308 15 15

Weitere ähnliche Inhalte

Ähnlich wie Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script

CIO-Briefing 09-2017
CIO-Briefing 09-2017CIO-Briefing 09-2017
CIO-Briefing 09-2017
Vogel IT-Medien
 
Cloud meets On-prem - Guidelines & Best Practices
Cloud meets On-prem - Guidelines & Best PracticesCloud meets On-prem - Guidelines & Best Practices
Cloud meets On-prem - Guidelines & Best Practices
OPITZ CONSULTING Deutschland
 
Cloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practicesCloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practices
Sven Bernhardt
 
Sicherheit im Internet - Vortrag Weserkurier Bremen
Sicherheit im Internet - Vortrag Weserkurier BremenSicherheit im Internet - Vortrag Weserkurier Bremen
Sicherheit im Internet - Vortrag Weserkurier Bremen
Marc Oliver Thoma
 
Vernetzung 4.0
Vernetzung 4.0Vernetzung 4.0
Vernetzung 4.0
Bernd Fuhlert
 
Erfolgsfaktoren von Mobile Wallets (Cebit Präsentation 14)
Erfolgsfaktoren von Mobile Wallets (Cebit Präsentation 14)Erfolgsfaktoren von Mobile Wallets (Cebit Präsentation 14)
Erfolgsfaktoren von Mobile Wallets (Cebit Präsentation 14)
Christopher Kampshoff
 
It strategie-security-first
It strategie-security-firstIt strategie-security-first
It strategie-security-first
Ralph Belfiore
 
Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521
ihrepartner.ch gmbh
 
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
lernet
 
Datensicherheit fuer Dummies
Datensicherheit fuer DummiesDatensicherheit fuer Dummies
Datensicherheit fuer Dummies
Sven Pruser
 
Zero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always VerifyZero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always Verify
go4mobile ag
 
Public Cloud? Aber sicher! Orchestrierung komplexer Cloud-Lösungen - Partner...
Public Cloud? Aber sicher!  Orchestrierung komplexer Cloud-Lösungen - Partner...Public Cloud? Aber sicher!  Orchestrierung komplexer Cloud-Lösungen - Partner...
Public Cloud? Aber sicher! Orchestrierung komplexer Cloud-Lösungen - Partner...
AWS Germany
 
Cloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertCloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziert
Alexander Junk
 
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitSecurity Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Carsten Muetzlitz
 
Wie aus einer alten analogen Vereinsidee im Mai nun ein Internetclub wird : D...
Wie aus einer alten analogen Vereinsidee im Mai nun ein Internetclub wird : D...Wie aus einer alten analogen Vereinsidee im Mai nun ein Internetclub wird : D...
Wie aus einer alten analogen Vereinsidee im Mai nun ein Internetclub wird : D...
Alfred Fuhr
 
cloud oder nicht-cloud - strategien für sonnenschein am it-himmel
cloud oder nicht-cloud - strategien für sonnenschein am it-himmelcloud oder nicht-cloud - strategien für sonnenschein am it-himmel
cloud oder nicht-cloud - strategien für sonnenschein am it-himmel
We4IT Group
 
Dr. Manfred Wöhrl (Gerichtssachverständiger, Sicherheitsexperte)
Dr. Manfred Wöhrl (Gerichtssachverständiger, Sicherheitsexperte)Dr. Manfred Wöhrl (Gerichtssachverständiger, Sicherheitsexperte)
Dr. Manfred Wöhrl (Gerichtssachverständiger, Sicherheitsexperte)
Praxistage
 
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorabtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
bhoeck
 
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
Rene Buest
 
IT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen  - Security und ComplianceIT auf Grossbaustellen  - Security und Compliance
IT auf Grossbaustellen - Security und Compliance
mmi-consult
 

Ähnlich wie Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script (20)

CIO-Briefing 09-2017
CIO-Briefing 09-2017CIO-Briefing 09-2017
CIO-Briefing 09-2017
 
Cloud meets On-prem - Guidelines & Best Practices
Cloud meets On-prem - Guidelines & Best PracticesCloud meets On-prem - Guidelines & Best Practices
Cloud meets On-prem - Guidelines & Best Practices
 
Cloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practicesCloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practices
 
Sicherheit im Internet - Vortrag Weserkurier Bremen
Sicherheit im Internet - Vortrag Weserkurier BremenSicherheit im Internet - Vortrag Weserkurier Bremen
Sicherheit im Internet - Vortrag Weserkurier Bremen
 
Vernetzung 4.0
Vernetzung 4.0Vernetzung 4.0
Vernetzung 4.0
 
Erfolgsfaktoren von Mobile Wallets (Cebit Präsentation 14)
Erfolgsfaktoren von Mobile Wallets (Cebit Präsentation 14)Erfolgsfaktoren von Mobile Wallets (Cebit Präsentation 14)
Erfolgsfaktoren von Mobile Wallets (Cebit Präsentation 14)
 
It strategie-security-first
It strategie-security-firstIt strategie-security-first
It strategie-security-first
 
Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521
 
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
 
Datensicherheit fuer Dummies
Datensicherheit fuer DummiesDatensicherheit fuer Dummies
Datensicherheit fuer Dummies
 
Zero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always VerifyZero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always Verify
 
Public Cloud? Aber sicher! Orchestrierung komplexer Cloud-Lösungen - Partner...
Public Cloud? Aber sicher!  Orchestrierung komplexer Cloud-Lösungen - Partner...Public Cloud? Aber sicher!  Orchestrierung komplexer Cloud-Lösungen - Partner...
Public Cloud? Aber sicher! Orchestrierung komplexer Cloud-Lösungen - Partner...
 
Cloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertCloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziert
 
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitSecurity Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
 
Wie aus einer alten analogen Vereinsidee im Mai nun ein Internetclub wird : D...
Wie aus einer alten analogen Vereinsidee im Mai nun ein Internetclub wird : D...Wie aus einer alten analogen Vereinsidee im Mai nun ein Internetclub wird : D...
Wie aus einer alten analogen Vereinsidee im Mai nun ein Internetclub wird : D...
 
cloud oder nicht-cloud - strategien für sonnenschein am it-himmel
cloud oder nicht-cloud - strategien für sonnenschein am it-himmelcloud oder nicht-cloud - strategien für sonnenschein am it-himmel
cloud oder nicht-cloud - strategien für sonnenschein am it-himmel
 
Dr. Manfred Wöhrl (Gerichtssachverständiger, Sicherheitsexperte)
Dr. Manfred Wöhrl (Gerichtssachverständiger, Sicherheitsexperte)Dr. Manfred Wöhrl (Gerichtssachverständiger, Sicherheitsexperte)
Dr. Manfred Wöhrl (Gerichtssachverständiger, Sicherheitsexperte)
 
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorabtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
 
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
 
IT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen  - Security und ComplianceIT auf Grossbaustellen  - Security und Compliance
IT auf Grossbaustellen - Security und Compliance
 

Mehr von Digicomp Academy AG

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Digicomp Academy AG
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Digicomp Academy AG
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018
Digicomp Academy AG
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Digicomp Academy AG
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
Digicomp Academy AG
 
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xXing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit x
Digicomp Academy AG
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Digicomp Academy AG
 
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinIPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe Klein
Digicomp Academy AG
 
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Agiles Management - Wie geht das?
Agiles Management - Wie geht das?
Digicomp Academy AG
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattGewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Digicomp Academy AG
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogQuerdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Digicomp Academy AG
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnXing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Digicomp Academy AG
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Digicomp Academy AG
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
Digicomp Academy AG
 
Minenfeld IPv6
Minenfeld IPv6Minenfeld IPv6
Minenfeld IPv6
Digicomp Academy AG
 
Was ist design thinking
Was ist design thinkingWas ist design thinking
Was ist design thinking
Digicomp Academy AG
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
Digicomp Academy AG
 
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceXing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Digicomp Academy AG
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudZahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Digicomp Academy AG
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
Digicomp Academy AG
 

Mehr von Digicomp Academy AG (20)

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
 
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xXing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit x
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
 
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinIPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe Klein
 
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Agiles Management - Wie geht das?
Agiles Management - Wie geht das?
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattGewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogQuerdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING Expertendialog
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnXing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
 
Minenfeld IPv6
Minenfeld IPv6Minenfeld IPv6
Minenfeld IPv6
 
Was ist design thinking
Was ist design thinkingWas ist design thinking
Was ist design thinking
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
 
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceXing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudZahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
 

Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script

  • 1. © 2014 OneConsult GmbH www.oneconsult.com Defense in Depth und Security Prozesse Yves Kraft – Senior Security Consultant – OneConsult GmbH Hacking Day 2014 – Datenschutz am Beispiel von Heartbleed 11. Juni 2014
  • 2. © 2014 OneConsult GmbH www.oneconsult.com Agenda → Vorstellung → Einleitung → Beispiele/Demo → Gegenmassnahmen → Fazit Hacking Day 2014 – Datenschutz 2
  • 3. © 2014 OneConsult GmbH www.oneconsult.com Über mich → Yves Kraft → Senior Security Consultant → BSc FH CS, OPST, OPSA, OSSTMM Trainer → Kursleiter bei Digicomp [Kurscodes PSI, PSO, PST, SWO, TSA] → Technische Security Audits → Konzeptionelles Consulting → Schulung & Coaching → Security Officer 3 Vorstellung
  • 4. © 2014 OneConsult GmbH www.oneconsult.com Unternehmen → Kunden ◦ Mehr als 200 Unternehmen in der Schweiz, Europa und Übersee (inklusive ein Dutzend der «Fortune Global 500 Corporations») ◦ Kunden gleichmässig auf alle Branchen verteilt (Finanz-, Pharma-, Industrie- Branche sowie öffentliche Verwaltungen (Bund, Kantone und Städte)) → Projekterfahrung, über ◦ 750 technische Security Audit Projekte / Penetration Test Projekte (650 davon nach OSSTMM) ◦ 350 Application Security Audits von Banking Lösungen und Online Shops ◦ 45 Mobile App Security Audits ◦ 50 Code Reviews ◦ 35 Digitale Forensik und Notfalleinsätze, rund ein Projekt pro Monat ◦ 120 konzeptionelle Security Audits ◦ Weitere anonymisierte Informationen: http://www.oneconsult.com/de/references 4
  • 5. © 2014 OneConsult GmbH www.oneconsult.com Einleitung → Was ist Heartbleed? → Was ist schief gelaufen? → Der Angriff? Einleitung 5
  • 6. © 2014 OneConsult GmbH www.oneconsult.com «Catastrophic is the right word. On the scale of 1 to 10, this is an 11.» Bruce Schneier, www.schneier.com Hacking Day 2014 – Datenschutz 6
  • 7. © 2014 OneConsult GmbH www.oneconsult.com Was ist Heartbleed? → Schwachstelle der Heartbeat-Erweiterung des TLS-Protokolls in OpenSSL → OpenSSL-Versionen 1.0.1 bis 1.0.1f sind verwundbar → Wurde von Codenomicon Defensics am 3. April 2014 entdeckt → Bug mit Version 1.0.1g am 7. April 2014 behoben → CVE-2014-0160: https://www.openssl.org/news/secadv_20140407.txt Hacking Day 2014 – Datenschutz 7
  • 8. © 2014 OneConsult GmbH www.oneconsult.com Was ist schief gelaufen? → Heartbeat-Funktion ◦ Kommunikationspartner A sendet zufälligen Inhalten ◦ Kommunikationspartner B sendet exakt die selben Daten zurück → Länge der Daten wird nicht geprüft → Feld payload_length kann mit beliebigen Werten überschrieben werden Hacking Day 2014 – Datenschutz 8
  • 9. © 2014 OneConsult GmbH www.oneconsult.com Der Angriff → Angreifer sendet Heartbeat-Payload ◦ Grösse: 1 Byte ◦ Länge: 16KByte Hacking Day 2014 – Datenschutz 9 →RFC6520 «The total length of a HeartbeatMessage MUST NOT exceed 2^14» →Mit Payload 0xFFFF sind theoretisch 64 Kbyte möglich . u s e r = d i g i & p a s s w o r t = h a c k i n g ; a Z . . C 4 . Z 16 KB ServerClient 16 KB → Server sendet die angeforderten Daten zurück buffer = OPENSSL_malloc(1 + 2 + payload + padding); bp = buffer; memcpy(bp, pl, payload);
  • 10. © 2014 OneConsult GmbH www.oneconsult.com Demo → Wie wird der Heartbleed-Bug ausgenutzt? → An welche Informationen kann man gelangen? → Bekanntgewordene Fälle Hacking Day 2014 – Datenschutz 10
  • 11. © 2014 OneConsult GmbH www.oneconsult.com Heartbleed-Bug (CVE-2014-0160) → OpenSSL-Versionen 1.0.1 bis 1.0.1f sind verwundbar → Vorgehen: 1. Information Gathering 2. Footprinting 3. Exploiting Hacking Day 2014 – Datenschutz 11
  • 12. © 2014 OneConsult GmbH www.oneconsult.com Szenario 1: Wordpress Blog Hacking Day 2014 – Datenschutz 12
  • 13. © 2014 OneConsult GmbH www.oneconsult.com Das Internet blutet → Kanadisches Finanzamt - Sozialversicherungsnummern von 900 Personen entwendet → IP-Telefonie - einige VoIP-Modelle von Cisco betroffen → Mobile Geräte - Google Android in Version 4.1.1 betroffen → Netzwerkspeicher - Hersteller Synology muss Firmwareupdate liefern → Internetdienste – Google-Suche, GMail, YouTube, Play Store, Yahoo, Yahoo Mail, Instagram, Flickr, Tumblr, Amazon Web Services, Dropbox, Pinterest, Last Past, Soundcloud, GitHub, … Hacking Day 2014 – Datenschutz 13
  • 14. © 2014 OneConsult GmbH www.oneconsult.com Szenario 2: Magento Webshop Hacking Day 2014 – Datenschutz 14
  • 15. © 2014 OneConsult GmbH www.oneconsult.com Gegenmassnahmen → Was muss ich tun? → Wie kann ich mich schützen → Sofortmassnahmen → Defense in Depth Hacking Day 2014 – Datenschutz 15
  • 16. © 2014 OneConsult GmbH www.oneconsult.com Gegenmassnahmen - Sofortmassnahmen → Betroffenes System vom Internet nehmen → Patch einspielen → Passwörter wechseln → Zertifikate erneuern → Altes Zertifikate revozieren Hacking Day 2014 – Datenschutz 16
  • 17. © 2014 OneConsult GmbH www.oneconsult.com …und in der Realität? → Studie von Netcraft (vom 9. Mai 2014) zeigt ◦ Immer noch 300’000 Webseiten verwundbar Hacking Day 2014 – Datenschutz 17 Quelle: http://news.netcraft.com/archives/2014/05/09/keys-left-unchanged-in-many-heartbleed-replacement-certificates.html
  • 18. © 2014 OneConsult GmbH www.oneconsult.com Gegenmassnahmen – «Defense in Depth» → Militärische Strategie: «Verzögerung statt dem Angreifer Raum freigeben» → Platzierung von Schutzmechanismen, -verfahren und -politik soll Zuverlässigkeit eines IT-Systems erhöhen → Mehrfache Schichten der Verteidigung sollen Spionage verhindern → Angriffe gegen kritische Systeme verhindern → Mehr Zeit zur Erkennung & Reaktion bei Angriffen → Auswirkungen eines Einbruchs abschwächen Hacking Day 2014 – Datenschutz 18
  • 19. © 2014 OneConsult GmbH www.oneconsult.com «Defense in Depth» Strategie Hacking Day 2014 – Datenschutz 19 Personen Technologie Operations Defense in Depth Strategie Informationssicherheit Defense in Depth Bereiche Netzwerk & Infrastruktur verteidigen (Zonen-) Grenzen verteidigen Computer- umgebung verteidigen Hilfsinfrastruktur (KM/PKI, etc.)
  • 20. © 2014 OneConsult GmbH www.oneconsult.com Beispiele für «Defense in Depth» → Netzwerk ◦ Demilitarisierten Zonen (DMZ) ◦ Paket-Filter / Firewalls ◦ Intrusion Detection Systeme (IDS) ◦ Intrusion Protection/Prevention Systeme (IPS) → Software / Malware ◦ Antivirus Software ◦ Sandboxing ◦ Endpoint Security → Vulnerability Scanner → Authentisierung und Passwortsicherheit ◦ Passwortrichtlinien ◦ Biometrische Sicherheitsmerkmale ◦ Hashing von Passwörtern ◦ Timed Access Control → Logging und Auditing → Physische Sicherheit → Awareness / Schulungen ◦ (Internet Security) Awareness Schulung Hacking Day 2014 – Datenschutz 20
  • 21. © 2014 OneConsult GmbH www.oneconsult.com «Defense in Depth» gegen Heartbleed → Netzwerk ◦ Demilitarisierten Zonen (DMZ) ◦ Paket-Filter / Firewalls ◦ Intrusion Detection Systeme (IDS) ◦ Intrusion Protection/Prevention Systeme (IPS) → Software / Malware ◦ Antivirus Software ◦ Sandboxing ◦ Endpoint Security → Vulnerability Scanner → Authentisierung und Passwortsicherheit ◦ Passwortrichtlinien ◦ Biometrische Sicherheitsmerkmale ◦ Hasing von Passwörtern ◦ Timed Access Control → Logging und Auditing → Physische Sicherheit → Awareness / Schulungen ◦ (Internet Security) Awareness Schulung Hacking Day 2014 – Datenschutz 21
  • 22. © 2014 OneConsult GmbH www.oneconsult.com Gegenmassnahmen – IT-Security Prozesse → Rollen und Verantwortlichkeiten → IT-Security als Teil des Projektmanagements → Risiko Analyse → Incident Response → Verträge Hacking Day 2014 – Datenschutz 22
  • 23. © 2014 OneConsult GmbH www.oneconsult.com Fazit → Ein wenig Statistik zum Schluss → Erkenntnisse aus Heartbleed Hacking Day 2014 – Datenschutz 23
  • 24. © 2014 OneConsult GmbH www.oneconsult.com Ein wenig Statistik zum Schluss Hacking Day 2014 – Datenschutz 24 → http://pacemaker.chokepointproject.net
  • 25. © 2014 OneConsult GmbH www.oneconsult.com Erkenntnisse aus Fällen wie Heartbleed → 100% sichere Software gibt es nicht! → Grosse Verbreitung bedeutet auch grosse Verantwortung → Open Source Software braucht Unterstützung → Protokoll ist zu kompliziert → Incident Handling vs. Defense in Depth → Kennwörter sind von gestern Hacking Day 2014 – Datenschutz 25
  • 26. © 2014 OneConsult GmbH www.oneconsult.com © 2013 OneConsult GmbH www.oneconsult.com Büro Deutschland Niederlassung der OneConsult GmbH Karlstraße 35 80333 München Deutschland Tel +49 89 452 35 25 25 Fax +49 89 452 35 21 10 info@oneconsult.de Büro Österreich Niederlassung der OneConsult GmbH Wienerbergstraße 11/12A 1100 Wien Österreich Tel +43 1 99460 64 69 Fax +43 1 99460 50 00 info@oneconsult.at Hauptsitz OneConsult GmbH Schützenstrasse 1 8800 Thalwil Schweiz Tel +41 43 377 22 22 Fax +41 43 377 22 77 info@oneconsult.com Danke für Ihre Aufmerksamkeit! Fragen? Yves Kraft BSc FH CS, OPST&OPSA Senior Security Consultant yves.kraft@oneconsult.com +41 79 308 15 15