Security-Webinar. März Dr. Christopher Kunz, filoo GmbH

Transkript

1 Security-Webinar März 2015 Dr. Christopher Kunz, filoo GmbH

2 Ihr Webinar-Team _ Referent: Dr. Christopher Kunz _ CEO Hos7ng filoo GmbH / TK AG _ Promo7on IT Security _ Vorträge auf Konferenzen _ Autor von Ar7keln & Büchern _ Modera7on: Sibylle Blöchl _ Marke7ng Thomas- Krenn.AG _ Sammelt Fragen / Feedback

3 filoo GmbH _ Wir sind die Hos7ng- Tochter der Thomas- Krenn.AG _ Sicheres, hochperformantes Hos7ng in Frankfurt _ Mitarbeiter in Gütersloh und Freyung _ Primärer Rechenzentrumsstandort Frankfurt _ Tier3, ISO _ Fläche in zwei Brandabschni[en _ Managed Services _ Security Services _ Systemadministra7on _ Planung & Deployment

4 Agenda _ Aktuelle Security- Bugs _ FREAK SSL- Bug _ Rowhammer _ Mehrfaktor- Authen7fizierung im Web _ Wofür ist es gut? _ Wie implemen7ere ich es? _ Was kostet es?

5 FREAK SSL Exploit _ Was ist denn nun schon wieder kapu[? _ SSL, immer noch. _ Schuld sind Geheimdienste (schon wieder) _ In den 90ern gab es mal Crypto Export Restrik7onen _ Nur bes7mmte, schwache Algorithmen dureen verwendet werden _ In den 2010ern unterstützen immer noch Programme diese Algorithmen _ Angreifer machen sich das zunutze

6 FREAK Exploit _ Ein Angreifer mit Kontrolle über das Netz kann... _ Den Verbindungsaufau zwischen Client und Server manipulieren _ Nutzung schwacher Export- Cipher erzwingen (512 Bit) _ Privaten Schlüssel für diese Verbindung ( Session Key ) mitschneiden _ Sich als die Ziel- Website ausgeben _ Den schwachen Schlüssel knacken _ Den (mitgeschni[enen) SSL- Traffic entschlüsseln

7 FREAK Exploit - Impact _ Wie schlimm ist es? _ Ist schon unangenehm _ Export- Cipher Support nimmt ab _ Default SSL Configs vieler Webserver ohne Export _ Clients: Android- Browser, Safari, Chrome (Android, OSX), Blackberry Browser, IE, Opera u.a.m. _ Client UND Server müssen Export Cipher unterstützen _ Selbst- Test _ Für Clients: h[ps://freaka[ack.com/clien[est.html _ Für Server: h[ps://

8 Rowhammer _ Server Hacken mit Arbeitsspeicher _ Schreibt man sehr häufig in eine Speicherstelle, kippt ein Bit direkt daneben _ Man muß nun eine solche Stelle suchen _ Sie muß direkt neben geschütztem Systemspeicher sein _ Root- Zugriff möglich _ Nicht nur Linux betroffen _ Derzeit nur Laptops erfolgreich angegriffen _ ECC- Speicher ist wirksamer Schutz

9 Warum ein Bit reicht _ Func7on is_root (String username) { _ if (condi7on) _ return TRUE; _ else _ return FALSE; _ } _ var root_status = is_root( test123 ); _ Was passiert, wenn man den Inhalt von root_status flippen kann?

10 Mehr-Faktor-Auth _ Viele Cloud- Dienste bieten Mehr- Faktor- Authen7fizierung an _ Erhöhung der Sicherheit durch zusätzliche Daten _ Teilweise schwierig zu implemen7eren _ Nicht immer einfach für Benutzer _ Trotzdem: Lohnt sich

11 Faktoren bei AuthN _ Etwas, das ich habe _ Smartcard, EC- Karte _ Hausschlüssel _ Etwas, das ich weiss _ Paßwort, PIN _ Versteck des Ersatzschlüssels _ Etwas, das ich bin _ Fingerabdruck, Iris- Scan _ Persönliche Bekanntschae (Notare)

12 Ein-Faktor-AuthN _ Benutzername und Paßwort eingeben _ Beides etwas, das ich weiß _ Ach, Sie kenne ich! Sie dürfen passieren. _ Etwas, das ich bin _ Eigenen Haustürschlüssel benutzen _ Etwas, das ich habe _ Zahlung mit Karte ohne PIN/Unterschrie _ Etwas, das ich habe _ SSH- Login per SSH- Key _ Etwas, das ich habe

13 Zwei-Faktor-AuthN _ Wich7g: Zwei verschiedene Faktoren _ Zweimal derselbe reicht nicht _ Paßwort + Smartcard _ Etwas, das ich habe + etwas, das ich weiß _ SSH- Login mit verschlüsseltem Key _ Etwas, das ich habe + etwas, das ich weiß _ One- Time- Code + Paßwort _ Etwas, das ich habe + etwas, das ich weiß _ EC- Karte + Unterschrie _ Etwas, das ich habe + etwas, das ich bin

14 Möglichkeiten für MFA _ Smart- Cards _ Verschiedene Hersteller _ Security- Tokens _ RSA SecurID _ Verschiedene andere Hersteller _ YubiKey _ Emuliert verschiedene Verfahren per USB _ Für alle wich7gen OS verfügbar _ Mobile Geräte _ Smartphone _ SMS

15 MFA einfach + günstig _ Einfachste Verfahren: OTP _ One- Time Password einmal verwendbarer (Zahlen- )Code _ HOTP HMAC- based OTP _ TOTP Time- based OTP _ TOTP ist populärstes Verfahren _ Benö7gt halbwegs synchrone Zeit _ Genutzt von vielen Diensten wie Google, Dropbox, usw. _ Auch genutzt von filoo! _ HOTP verliert Anschluß _ Benö7gt synchronen Zähler auf Server + Clients

16 TOTP in aller Kürze _ Es gibt einen geheimen Schlüssel... _ Einen Timestamp (öffentlich!) _ Eine Funk7on zur Code- Erzeugung (öffentlich!) _ Heraus kommt: Ein Zahlencode _ Code ändert sich alle X Sekunden (häufig: X=30) _ Überlappung gesta[et, um Zeitdifferenzen auszugleichen _ Wer Ihr Paßwort s7ehlt, benö7gt auch den Zahlencode _ Dieser ist in der kurzen Zeitspanne nicht zu raten

17 TOTP-Implementationen _ Server: z.b. OTP in PHP implemen7eren _ Referenzimplementa7on ist ca. 100 Zeilen lang _ OTP- Code als Teil des Paßworts oder Logins _ Key- Management recht einfach implemen7erbar _ Wir können Ihnen weitere Infos zukommen lassen _ Client: Google Authen7cator App _ Für alle möglichen mobilen Geräte _ Kann auch für alle anderen Dienste genutzt werden _ Funk7oniert ohne Internetverbindung

18 Gewinn durch MFA _ Sehr viel höhere Sicherheit gegen verlorene Paßwörter _ Sehr viel höhere Sicherheit gegen gestohlene SSH- Keys o.ä. _ Bruteforcing wird massiv erschwert _ Kein Allheilmi[el, aber dafür billig!

19 Kurzdemo _ Filoo website

20 Vielen Dank _ Ich freue mich auf Ihre Themenvorschläge und Fragen! _ Kontaktdaten: _ E- Mail: chris@filoo.de _ Telefon: 05241/ _ Besuchen Sie filoo! _ h[ps:// _ h[p://twi[er.com/filoogmbh