WEBINAR: HTTPS, ZERTIFIKATE, GRÜNE URLS. Trügerische Sicherheit im Internet

Transkript

1 WEBINAR: HTTPS, ZERTIFIKATE, GRÜNE URLS Trügerische Sicherheit im Internet

2 HERZLICH WILLKOMMEN Die Moderatoren Andreas Krenz Client Relationship Manager Fragen über Chat Frank Pöhler Senior Consultant

3 AGENDA Angriffe und deren Folgen PKI - Verschlüsselte Kommunikation mit Zertifikaten Angriffsziel Kommunikation: Methoden und Vektoren Erkennen und analysieren der Schwachstellen Live-Demo: Scanning von Webseiten und Analyse der Ergebnisse Maßnahmen zur Abwehr und zum Schutz vor Angriffen Leistungen der Acando

4 ANGRIFFE UND DEREN FOLGEN Quelle:Forbes major cyber attacks 2016

5 ANGRIFFE UND DEREN FOLGEN

6 ANGRIFFE UND DEREN FOLGEN Motivation der Angreifer Quelle: hackmageddon.com cyber attack statistics

7 ANGRIFFE UND DEREN FOLGEN Firesheep (2010) Analysiert den unverschlüsselten Datenverkehr in lokalen Netzwerken Erkennt und extrahiert Session-Cookies in unverschlüsselter Kommunikation Ermöglicht das Übernehmen (hijacking) von Sessions anderer Nutzer Betroffen waren unter anderem: Amazon Facebook Twitter

8 PKI: VERSCHLÜSSELTE KOMMUNIKATION MIT ZERTIFIKATEN Absicherung der Kommunikation durch Verschlüsselung mit Zertifikaten und einer Public Key Infrastructure (PKI) 1. Beantragung eines signierten Zertifikates bei einer vertrauenswürdigen Zertifizierungsstelle 2. Die Zertifizierungsstelle signiert das Zertifikat nach Prüfung des Antragstellers - grüne URL durch ein extended validation -Zertifikat nach Identitätsprüfung 3. Konfiguration der unterstützten Verschlüsselungsmethoden auf dem Webserver 4. Installation des Zertifikats auf dem Webserver und Auslieferung über HTTPS / Port Bei Verbindung via HTTPS wird zwischen Browser und Webserver eine Verschlüsselung (SSL/TLS Handshake) ausgehandelt 6. Nachfolgende Kommunikation erfolgt verschlüsselt zwischen Browser und Webserver

9 ANGRIFFSZIEL KOMMUNIKATION: VEKTOREN UND METHODEN Man-in-the-Middle Angriffe Der Angreifer befindet sich zwischen den Kommunikationspartnern und kann so den Datenverkehr zwischen diesen belauschen oder manipulieren. User Ermöglicht wird dies durch: physikalischen Zugang zur Infrastruktur Manipulation des Routing in Netzwerken (ARP-Spoofing) Manipulation des DNS-Systems (DNS cache poisoning, hosts-datei) Verwendung von rouge access points im WLAN

10 ANGRIFFSZIEL WEBSITE: VEKTOREN UND METHODEN Heartbleed Ein kritischer Fehler in der Implementierung in der OpenSSL Bibliothek ermöglicht das Auslesen von Speicherinhalten des Webservers WebServer OpenSSL Bibliothek Attacker SSL/TLS verschlüsselte Kommunikation

11 ANGRIFFSZIEL WEBSITE: VEKTOREN UND METHODEN POODLE (Padding Oracle On Downgraded Legacy Encryption) FREAK (Factoring RSA Export Keys) Erzwingen einer unsicheren Verschlüsselungsmethode / kurzer Schlüssellängen ermöglicht Brechen der Verschlüsselung und Extraktion von Daten WebServer Client SSL/TLS verschlüsselte Kommunikation Unterstützung unsicherer Verschlüsselungsmethoden Attacker

12 ANGRIFFSZIEL WEBSITE: VEKTOREN UND METHODEN BREACH (Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext) CRIME (Compression Ratio Info-leak Made Easy) Extraktion von Daten durch Ausnutzung einer Schwachstelle in der HTTP-Datenkompression WebServer Client SSL/TLS verschlüsselte Kommunikation Kompression der HTTP-Daten Unterstützung von HTTP-Kompression Attacker

13 ANGRIFFSZIEL WEBSITE: VEKTOREN UND METHODEN BEAST (Browser Exploit Against SSL/TLS) Schwachstelle im CBC-Algorithmus (Cipher Block Chaining) von TLS1.0 erlaubt Extraktion von Daten WebServer Client SSL/TLS verschlüsselte Kommunikation Unterstützung veralteter Verschlüsselungsmethoden Attacker

14 ERKENNEN UND ANALYSIEREN DER SCHWACHSTELLEN Das Erkennen der Schwachstellen ist dank frei verfügbarer Analyse-Werkzeuge einfach möglich: Qualys SSL Labs : Analyse des Webservers hinsichtlich eingesetzter Verschlüsselungsmechanismen und Konfigurationen Informationen zu gefundenen Schwachstellen Simulation der Kompatibilität im Zusammenspiel mit gängigen Web-Clients Observatory by Mozilla: Analyse der verwendeten Sicherheitsmechanismen einer Webseite Hinweise auf gefundene Schwachstellen und weiterführende Informationen

15 LIVE DEMO 15

16 MAßNAHMEN ZUR ABWEHR UND ZUM SCHUTZ VOR ANGRIFFEN Verschlüsselung mit SSL/TLS Verwendung von als sicher angesehenen Verschlüsselungsmethoden Verwendung von adäquaten Schlüsselstärken und Algorithmen Regelmäßige Prüfung der verwendeten Methoden und Algorithmen Empfehlungen des BSI: Sicherheitsmechanismen und Konfiguration Implementierung von fehlenden Sicherheitsmechanismen Verifizierung der Konfiguration existierender Mechanismen Überprüfung der Wirksamkeit durch Log-Analysen Regelmäßiges Aktualisierung verwendeter Software

17 LEISTUNGEN DER ACANDO

18 SICHERHEITSPRÜFUNG WEBSEITE 1 Prüfung der Verschlüsselungs- und Sicherheitsmechanismen 2 Reporting gefundener Schwachstellen 3 Entwicklung Maßnahmenkatalog 4 Beratung bei Implementierung und Betrieb

19 WORKSHOPS UND SCHULUNGEN ZUM THEMA Mobile Security: Bedrohungen und Gegenmaßnahmen in der mobilen Welt besondere Bedrohungen im mobilen Umfeld technische und operative Gegenmaßnahmen Sicherheitskonzepte für Entwicklung, Test, Auslieferung, Betrieb Sensibilisierung aller Prozessbeteiligten Praktische Übungen zur mobilen Sicherheit

20 WORKSHOPS UND SCHULUNGEN ZUM THEMA Public Key Infrastructure Komponenten einer PKI Kryptographische Grundlagen Zertifikate und Trust-Chains Die PKI im praktischen Einsatz: Verschlüsselung Signaturen Authentifizierung Quelle:

21