SlideShare ist ein Scribd-Unternehmen logo
Inhalt   SSL-Grundlagen    Der Hack       L¨sungen
                                           o         Was kann *ich* tun?




                          Comodogate
                             ?!?


                            Version 1.1


                          2. April 2011
Inhalt            SSL-Grundlagen   Der Hack   L¨sungen
                                               o         Was kann *ich* tun?



                                     Inhalt
         Inhalt
Inhalt            SSL-Grundlagen   Der Hack   L¨sungen
                                               o         Was kann *ich* tun?



                                     Inhalt
         Inhalt
         SSL-Grundlagen
            Symmetrische Kryptografie
            Asymmetrische Kryptografie
            Public key infrastructure
Inhalt            SSL-Grundlagen   Der Hack   L¨sungen
                                               o         Was kann *ich* tun?



                                     Inhalt
         Inhalt
         SSL-Grundlagen
            Symmetrische Kryptografie
            Asymmetrische Kryptografie
            Public key infrastructure
         Der Hack
            Gef¨lschte Zertifikate
               a
            (Wo)man In The Middle
            Wie kann so etwas passieren?
Inhalt            SSL-Grundlagen    Der Hack   L¨sungen
                                                o         Was kann *ich* tun?



                                      Inhalt
         Inhalt
         SSL-Grundlagen
            Symmetrische Kryptografie
            Asymmetrische Kryptografie
            Public key infrastructure
         Der Hack
            Gef¨lschte Zertifikate
               a
            (Wo)man In The Middle
            Wie kann so etwas passieren?
         L¨sungen
          o
            Zertifikate widerrufen
            TOFU/POP
            DNSSEC
            Perspectives
Inhalt            SSL-Grundlagen    Der Hack   L¨sungen
                                                o         Was kann *ich* tun?



                                      Inhalt
         Inhalt
         SSL-Grundlagen
            Symmetrische Kryptografie
            Asymmetrische Kryptografie
            Public key infrastructure
         Der Hack
            Gef¨lschte Zertifikate
               a
            (Wo)man In The Middle
            Wie kann so etwas passieren?
         L¨sungen
          o
            Zertifikate widerrufen
            TOFU/POP
            DNSSEC
            Perspectives
         Was kann *ich* tun?
Inhalt           SSL-Grundlagen     Der Hack       L¨sungen
                                                    o         Was kann *ich* tun?



                           Symmetrische Kryptografie




         Ver- und Entschl¨sselung mit dem selben Schl¨ssel
                         u                           u
         (DES, 3DES, AES, RC4, ...)
Inhalt           SSL-Grundlagen     Der Hack      L¨sungen
                                                   o             Was kann *ich* tun?



                          Asymmetrische Kryptografie




         Verschl¨sselung mit dem ¨ffentlichen Schl¨ssel des Empf¨ngers.
                u                o               u             a
         Entschl¨sselung mit dem geheimen Schl¨ssel des Empf¨ngers.
                u                              u             a
         Signieren genau umgekehrt.
Inhalt           SSL-Grundlagen       Der Hack    L¨sungen
                                                   o             Was kann *ich* tun?



                              Public key infrastructure




         ¨
         Offentlicher Schl¨ssel wird in einem Zertifikat gespeichert.
                         u
         Echte Zertifikate werden von der Root CA ”unterschrieben”.
         Root CA-Zertifikat wird mit OS/Browser mitgeliefert.
Inhalt           SSL-Grundlagen         Der Hack       L¨sungen
                                                        o         Was kann *ich* tun?



                                  Gef¨lschte Zertifikate
                                     a


         Hacker hat sich durch eine L¨cke in einer RA folgende Zertifikate
                                     u
         ausstellen lassen k¨nnen:
                            o
           • mail.google.com (GMail)
           • login.live.com (Hotmail et al)
           • www.google.com
           • login.yahoo.com (drei Zertifikate)
           • login.skype.com
           • addons.mozilla.org (Firefox extensions)
           • Global Trustee
Inhalt           SSL-Grundlagen     Der Hack      L¨sungen
                                                   o            Was kann *ich* tun?



                              (Wo)man In The Middle




         Falls Traffic uber den Angreifer umgeleitet werden kann → :/
                     ¨
Inhalt   SSL-Grundlagen    Der Hack   L¨sungen
                                       o         Was kann *ich* tun?



                 Wie kann so etwas passieren?
Inhalt         SSL-Grundlagen     Der Hack   L¨sungen
                                              o         Was kann *ich* tun?



                       Wie kann so etwas passieren?



         • Niemand will schuld sein...
Inhalt         SSL-Grundlagen     Der Hack     L¨sungen
                                                o            Was kann *ich* tun?



                       Wie kann so etwas passieren?



         • Niemand will schuld sein...
         • Browser will Benutzer nicht mit Fehlermeldungen nerven →
           eher liberal
Inhalt         SSL-Grundlagen     Der Hack     L¨sungen
                                                o             Was kann *ich* tun?



                       Wie kann so etwas passieren?



         • Niemand will schuld sein...
         • Browser will Benutzer nicht mit Fehlermeldungen nerven →
           eher liberal
         • Browser m¨ssen uber Vertrauen entscheiden → eher liberal
                    u     ¨
           (z.B.:CNNIC)
Inhalt         SSL-Grundlagen     Der Hack     L¨sungen
                                                o             Was kann *ich* tun?



                       Wie kann so etwas passieren?



         • Niemand will schuld sein...
         • Browser will Benutzer nicht mit Fehlermeldungen nerven →
           eher liberal
         • Browser m¨ssen uber Vertrauen entscheiden → eher liberal
                    u     ¨
           (z.B.:CNNIC)
         • Systemadmins wollen keinen Aufwand. → nichts ¨ndert sich.
                                                        a
Inhalt         SSL-Grundlagen     Der Hack     L¨sungen
                                                o             Was kann *ich* tun?



                       Wie kann so etwas passieren?



         • Niemand will schuld sein...
         • Browser will Benutzer nicht mit Fehlermeldungen nerven →
           eher liberal
         • Browser m¨ssen uber Vertrauen entscheiden → eher liberal
                    u     ¨
           (z.B.:CNNIC)
         • Systemadmins wollen keinen Aufwand. → nichts ¨ndert sich.
                                                        a
         • CAs geben Implementierungen die Schuld. → nichts ¨ndert
                                                            a
           sich.
Inhalt         SSL-Grundlagen         Der Hack    L¨sungen
                                                   o         Was kann *ich* tun?



                                Zertifikate widerrufen




         • Einfachste Reaktion.
Inhalt         SSL-Grundlagen         Der Hack    L¨sungen
                                                   o         Was kann *ich* tun?



                                Zertifikate widerrufen




         • Einfachste Reaktion.
           ¨
         • Uberpr¨fung via Certificate Revocation Lists
                 u
Inhalt         SSL-Grundlagen         Der Hack    L¨sungen
                                                   o         Was kann *ich* tun?



                                Zertifikate widerrufen




         • Einfachste Reaktion.
           ¨
         • Uberpr¨fung via Certificate Revocation Lists
                 u
         • oder Online Certificate Status Protocol
Inhalt         SSL-Grundlagen         Der Hack    L¨sungen
                                                   o         Was kann *ich* tun?



                                Zertifikate widerrufen




         • Einfachste Reaktion.
           ¨
         • Uberpr¨fung via Certificate Revocation Lists
                 u
         • oder Online Certificate Status Protocol
           ¨
         • Uberpr¨fung h¨ngt von Implementierung ab (think mobile
                 u      a
           devices)
Inhalt                 SSL-Grundlagen                  Der Hack                  L¨sungen
                                                                                  o         Was kann *ich* tun?



                                                   TOFU/POP
         Trust on first use/then popup ”Certificate Patrol”




         Quelle: https://addons.mozilla.org/de/firefox/addon/certificate-patrol/
Inhalt                 SSL-Grundlagen                  Der Hack                  L¨sungen
                                                                                  o         Was kann *ich* tun?



                                                   TOFU/POP




         Quelle: https://addons.mozilla.org/de/firefox/addon/certificate-patrol/
Inhalt                 SSL-Grundlagen         Der Hack   L¨sungen
                                                          o         Was kann *ich* tun?



                                              DNSSEC




         Quelle: http(s)://dankaminsky.com/

         DNS sicher? → Zertifikat mit DNS abfragen!
Inhalt                 SSL-Grundlagen              Der Hack      L¨sungen
                                                                  o         Was kann *ich* tun?



                                                  Perspectives




         Quelle: https://www.networknotary.org/

         Mehrere Server im Internet fragen → MITM erkennbar.
Inhalt   SSL-Grundlagen        Der Hack   L¨sungen
                                           o         Was kann *ich* tun?



                          Was kann *ich* tun?
Inhalt         SSL-Grundlagen        Der Hack   L¨sungen
                                                 o         Was kann *ich* tun?



                                Was kann *ich* tun?




         • Probleme verstehen → sich informieren!
Inhalt         SSL-Grundlagen        Der Hack        L¨sungen
                                                      o           Was kann *ich* tun?



                                Was kann *ich* tun?




         • Probleme verstehen → sich informieren!
         • Entsprechende Plugins installieren und unterst¨tzen!
                                                         u
           (Certivicate Patrol, Perspectives, ...)
Inhalt         SSL-Grundlagen        Der Hack        L¨sungen
                                                      o           Was kann *ich* tun?



                                Was kann *ich* tun?




         • Probleme verstehen → sich informieren!
         • Entsprechende Plugins installieren und unterst¨tzen!
                                                         u
           (Certivicate Patrol, Perspectives, ...)
         • DNSSEC einsetzen und pushen! (z.B.: Phreebird (zeroconfig
           proxy by Dan Kaminsky))
Inhalt         SSL-Grundlagen        Der Hack        L¨sungen
                                                      o           Was kann *ich* tun?



                                Was kann *ich* tun?




         • Probleme verstehen → sich informieren!
         • Entsprechende Plugins installieren und unterst¨tzen!
                                                         u
           (Certivicate Patrol, Perspectives, ...)
         • DNSSEC einsetzen und pushen! (z.B.: Phreebird (zeroconfig
           proxy by Dan Kaminsky))
         • Weitererz¨hlen.
                    a
Inhalt           SSL-Grundlagen       Der Hack   L¨sungen
                                                  o         Was kann *ich* tun?




         Thomas Steinbrenner, B.Sc.

         http(s)://www.thomas-steinbrenner.net
         https://twitter.com/#!/Tie fighter


         Feel free to share this!
         Creative Commons - Attribution

Weitere ähnliche Inhalte

Andere mochten auch

Sin Sonidos
Sin SonidosSin Sonidos
Sin Sonidos
misa2
 
Wo Oder Wohin
Wo Oder WohinWo Oder Wohin
Wo Oder Wohin
torip
 
DaF Blog Präsentation
DaF Blog PräsentationDaF Blog Präsentation
DaF Blog Präsentation
Eva Birger
 
130313 fo wisnet ikt nrw iu k tag 190213 01
130313 fo wisnet ikt nrw iu k tag 190213 01130313 fo wisnet ikt nrw iu k tag 190213 01
130313 fo wisnet ikt nrw iu k tag 190213 01
ErichBehrendt
 
B rnext präsentation gpa-djp bv
B rnext   präsentation gpa-djp bvB rnext   präsentation gpa-djp bv
B rnext präsentation gpa-djp bv
Werner Drizhal
 

Andere mochten auch (16)

Sin Sonidos
Sin SonidosSin Sonidos
Sin Sonidos
 
Gladys
GladysGladys
Gladys
 
WEB 2.0
WEB 2.0WEB 2.0
WEB 2.0
 
Netzpolitik - Die Machtfrage im Internet
Netzpolitik - Die Machtfrage im InternetNetzpolitik - Die Machtfrage im Internet
Netzpolitik - Die Machtfrage im Internet
 
Wo Oder Wohin
Wo Oder WohinWo Oder Wohin
Wo Oder Wohin
 
Executive Business Breakfast
Executive Business BreakfastExecutive Business Breakfast
Executive Business Breakfast
 
DaF Blog Präsentation
DaF Blog PräsentationDaF Blog Präsentation
DaF Blog Präsentation
 
Lut De Bruyne
Lut De BruyneLut De Bruyne
Lut De Bruyne
 
Representaciones Visuales y Diseño de Experiencia de Usuario
Representaciones Visuales y Diseño de Experiencia de UsuarioRepresentaciones Visuales y Diseño de Experiencia de Usuario
Representaciones Visuales y Diseño de Experiencia de Usuario
 
Introducción al
Introducción al Introducción al
Introducción al
 
Giochifarwest2013
Giochifarwest2013Giochifarwest2013
Giochifarwest2013
 
Bestech Ananda | Ananda
Bestech Ananda |  AnandaBestech Ananda |  Ananda
Bestech Ananda | Ananda
 
130313 fo wisnet ikt nrw iu k tag 190213 01
130313 fo wisnet ikt nrw iu k tag 190213 01130313 fo wisnet ikt nrw iu k tag 190213 01
130313 fo wisnet ikt nrw iu k tag 190213 01
 
B rnext präsentation gpa-djp bv
B rnext   präsentation gpa-djp bvB rnext   präsentation gpa-djp bv
B rnext präsentation gpa-djp bv
 
The variables for excellent color quality
The variables for excellent color qualityThe variables for excellent color quality
The variables for excellent color quality
 
Declaración de la pintana. 23 nov-1
Declaración de la pintana. 23  nov-1Declaración de la pintana. 23  nov-1
Declaración de la pintana. 23 nov-1
 

Ähnlich wie Comodogate

Transportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPSTransportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPS
Markus Groß
 

Ähnlich wie Comodogate (6)

IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
 
Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)
 
JavaScript Days 2015: Security
JavaScript Days 2015: SecurityJavaScript Days 2015: Security
JavaScript Days 2015: Security
 
HTTPS
HTTPSHTTPS
HTTPS
 
BetterCrypto: Applied Crypto Hardening
BetterCrypto: Applied Crypto HardeningBetterCrypto: Applied Crypto Hardening
BetterCrypto: Applied Crypto Hardening
 
Transportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPSTransportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPS
 

Comodogate

  • 1. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Comodogate ?!? Version 1.1 2. April 2011
  • 2. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Inhalt Inhalt
  • 3. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Inhalt Inhalt SSL-Grundlagen Symmetrische Kryptografie Asymmetrische Kryptografie Public key infrastructure
  • 4. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Inhalt Inhalt SSL-Grundlagen Symmetrische Kryptografie Asymmetrische Kryptografie Public key infrastructure Der Hack Gef¨lschte Zertifikate a (Wo)man In The Middle Wie kann so etwas passieren?
  • 5. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Inhalt Inhalt SSL-Grundlagen Symmetrische Kryptografie Asymmetrische Kryptografie Public key infrastructure Der Hack Gef¨lschte Zertifikate a (Wo)man In The Middle Wie kann so etwas passieren? L¨sungen o Zertifikate widerrufen TOFU/POP DNSSEC Perspectives
  • 6. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Inhalt Inhalt SSL-Grundlagen Symmetrische Kryptografie Asymmetrische Kryptografie Public key infrastructure Der Hack Gef¨lschte Zertifikate a (Wo)man In The Middle Wie kann so etwas passieren? L¨sungen o Zertifikate widerrufen TOFU/POP DNSSEC Perspectives Was kann *ich* tun?
  • 7. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Symmetrische Kryptografie Ver- und Entschl¨sselung mit dem selben Schl¨ssel u u (DES, 3DES, AES, RC4, ...)
  • 8. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Asymmetrische Kryptografie Verschl¨sselung mit dem ¨ffentlichen Schl¨ssel des Empf¨ngers. u o u a Entschl¨sselung mit dem geheimen Schl¨ssel des Empf¨ngers. u u a Signieren genau umgekehrt.
  • 9. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Public key infrastructure ¨ Offentlicher Schl¨ssel wird in einem Zertifikat gespeichert. u Echte Zertifikate werden von der Root CA ”unterschrieben”. Root CA-Zertifikat wird mit OS/Browser mitgeliefert.
  • 10. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Gef¨lschte Zertifikate a Hacker hat sich durch eine L¨cke in einer RA folgende Zertifikate u ausstellen lassen k¨nnen: o • mail.google.com (GMail) • login.live.com (Hotmail et al) • www.google.com • login.yahoo.com (drei Zertifikate) • login.skype.com • addons.mozilla.org (Firefox extensions) • Global Trustee
  • 11. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? (Wo)man In The Middle Falls Traffic uber den Angreifer umgeleitet werden kann → :/ ¨
  • 12. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren?
  • 13. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren? • Niemand will schuld sein...
  • 14. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren? • Niemand will schuld sein... • Browser will Benutzer nicht mit Fehlermeldungen nerven → eher liberal
  • 15. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren? • Niemand will schuld sein... • Browser will Benutzer nicht mit Fehlermeldungen nerven → eher liberal • Browser m¨ssen uber Vertrauen entscheiden → eher liberal u ¨ (z.B.:CNNIC)
  • 16. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren? • Niemand will schuld sein... • Browser will Benutzer nicht mit Fehlermeldungen nerven → eher liberal • Browser m¨ssen uber Vertrauen entscheiden → eher liberal u ¨ (z.B.:CNNIC) • Systemadmins wollen keinen Aufwand. → nichts ¨ndert sich. a
  • 17. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren? • Niemand will schuld sein... • Browser will Benutzer nicht mit Fehlermeldungen nerven → eher liberal • Browser m¨ssen uber Vertrauen entscheiden → eher liberal u ¨ (z.B.:CNNIC) • Systemadmins wollen keinen Aufwand. → nichts ¨ndert sich. a • CAs geben Implementierungen die Schuld. → nichts ¨ndert a sich.
  • 18. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Zertifikate widerrufen • Einfachste Reaktion.
  • 19. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Zertifikate widerrufen • Einfachste Reaktion. ¨ • Uberpr¨fung via Certificate Revocation Lists u
  • 20. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Zertifikate widerrufen • Einfachste Reaktion. ¨ • Uberpr¨fung via Certificate Revocation Lists u • oder Online Certificate Status Protocol
  • 21. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Zertifikate widerrufen • Einfachste Reaktion. ¨ • Uberpr¨fung via Certificate Revocation Lists u • oder Online Certificate Status Protocol ¨ • Uberpr¨fung h¨ngt von Implementierung ab (think mobile u a devices)
  • 22. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? TOFU/POP Trust on first use/then popup ”Certificate Patrol” Quelle: https://addons.mozilla.org/de/firefox/addon/certificate-patrol/
  • 23. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? TOFU/POP Quelle: https://addons.mozilla.org/de/firefox/addon/certificate-patrol/
  • 24. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? DNSSEC Quelle: http(s)://dankaminsky.com/ DNS sicher? → Zertifikat mit DNS abfragen!
  • 25. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Perspectives Quelle: https://www.networknotary.org/ Mehrere Server im Internet fragen → MITM erkennbar.
  • 26. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Was kann *ich* tun?
  • 27. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Was kann *ich* tun? • Probleme verstehen → sich informieren!
  • 28. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Was kann *ich* tun? • Probleme verstehen → sich informieren! • Entsprechende Plugins installieren und unterst¨tzen! u (Certivicate Patrol, Perspectives, ...)
  • 29. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Was kann *ich* tun? • Probleme verstehen → sich informieren! • Entsprechende Plugins installieren und unterst¨tzen! u (Certivicate Patrol, Perspectives, ...) • DNSSEC einsetzen und pushen! (z.B.: Phreebird (zeroconfig proxy by Dan Kaminsky))
  • 30. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Was kann *ich* tun? • Probleme verstehen → sich informieren! • Entsprechende Plugins installieren und unterst¨tzen! u (Certivicate Patrol, Perspectives, ...) • DNSSEC einsetzen und pushen! (z.B.: Phreebird (zeroconfig proxy by Dan Kaminsky)) • Weitererz¨hlen. a
  • 31. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Thomas Steinbrenner, B.Sc. http(s)://www.thomas-steinbrenner.net https://twitter.com/#!/Tie fighter Feel free to share this! Creative Commons - Attribution