Sicherheit wird messbar Lösungsansätze und Methoden. Email Case. 15. September 2009, Hotel St. Gotthard, Zürich



Ähnliche Dokumente
Cnlab / CSI Demo Smart-Phone: Ein tragbares Risiko?

Cnlab / CSI 2013 Social Business endlich produktiv! Demo. Identity Federation in der Praxis

Demo: Sicherheitsmechanismen von Collaboration- und Community-Diensten

Windows Vista Security

Postfinance Sicherheitsfrühstück Unterwegs sicher vernetzt

Laufwerk-Verschlüsselung mit BitLocker

Citrix Provisioning Server Marcel Berquez. System Engineer

Sicherer Netzzugang im Wlan

A n l e i t u n g : F i r m w a r e U p d a t e d u r c h f ü h r e n

Warum braucht es neue Betriebssysteme? Security Event NetSpider GmbH / GoEast GmbH

HANDBUCH LSM GRUNDLAGEN LSM

Verschlüsselung von Daten mit TrueCrypt

EtherCAN / EtherCANopen Gateway

Neuigkeiten in Microsoft Windows Codename Longhorn Egon Pramstrahler - egon@pramstrahler.it

.lowfidelity KONFIGURATION Anleitung

Daten-Synchronisation zwischen dem ZDV-Webmailer und Outlook ( ) Zentrum für Datenverarbeitung der Universität Tübingen

3ware Controller

UEFI Secure Boot und alternative Betriebssysteme

Einführung in die IT Landschaft an der ZHAW

PRODUKTINFORMATION LOCKING SYSTEM MANAGEMENT 3.2 SP2 STAND: OKTOBER 2014

Systemvoraussetzungen:

Behebung des sog. Heartbleed-Bugs (CVE ) in der Krypto-Bibliothek OpenSSL.

Arbeiten mit Workflows Installationsleitfaden Zur Installation des d3 Workflows

Zugang mit Mac OS X 10.5

Einführung in die IT Landschaft an der ZHAW

Wirksamkeit aktueller Massnahmen

Digitale Zertifikate

HostAP WPA Workshop. 27. Dezember 2004 Jan Fiegert,

A1 Desktop Security Installationshilfe. Symantec Endpoint Protection 12.1 für Windows/Mac

desk.modul : ABX-Lokalisierung

JUNG Facility-Pilot Visualisierungs-Server Version 1.1

Clientkonfiguration für Hosted Exchange 2010

Anforderungen und Umsetzung einer BYOD Strategie

SharePoint Security. Dr. Bruno Quint CORISECIO - Open Source Security Solutions CORISECIO

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

Ein neues Outlook Konto können Sie im Control Panel über den Eintrag Mail erstellen.

Eduroam unter Windows 10

PRODUKTINFORMATION LOCKING SYSTEM MANAGEMENT 3.3 SERVICE PACK 1 BASIC BASIC ONLINE BUSINESS PROFESSIONAL STAND: JUNI 2016

Anleitung zum Prüfen von WebDAV

Release Notes. NCP Local License Server (Win32/64) 1. Neue Leistungsmerkmale und Erweiterungen. 3. Bekannte Einschränkungen

secuentry/anleitung Android KeyApp

ISA Server Exchange RPC over HTTPS mit NTLM-Authentifizierung

Konfiguration des Novell GroupWise Connectors

MOUNT10 StoragePlatform Console

Intel PROSet/Wireless für die Nutzung der Drahtlosnetzwerke DESY und eduroam einrichten

Der NCP-Client kann sowohl für den Wireless LAN-Zugang als auch für den VPN-Dienst der BTU Cottbus genutzt werden.

Effizienz im Vor-Ort-Service

HOSTED EXCHANGE EINRICHTUNG AUF SMARTPHONES & TABLETS

HTW-Aalen. OpenVPN - Anleitung. Eine Installations- und Nutzungsanleitung zu OpenVPN

WINDOWS 8 WINDOWS SERVER 2012

Die Installation eines MS SQL Server 2000 mit SP3a wird in diesem Artikel nicht beschrieben und vorausgesetzt.

IBM Software Demos Tivoli Provisioning Manager for OS Deployment

Fachbereich Medienproduktion

Verwendung des IDS Backup Systems unter Windows 2000

Windows Vista. Felix Lutz 14. August 2007

2. Installieren von GFI LANguard N.S.S.

SILworX Installation und Lizenzierung

iphone 4 - Einrichtung des VPN Clients (Cisco VPN Client) / Verbinden des iphones mit einem Exchange

Modern Windows OS Deployment

Kurzanleitung Hosting

GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT

Technische Referenz - Q&A (Fragen und Antworten) TSD-QA89 (2011/11)

Tutorial about how to use USBView.exe and Connection Optimization for VNWA.

USB 2.0-/FireWire IEEE 1394a PCI Interface Card

Avira Professional / Server Security. Date

Dieser Artikel beschreibt die Veröffentlichung eines Microsoft SQL Server 2000 über einen ISA Server 2004.

Hardware- und Softwareanforderungen für die Installation von California.pro

PRODUKTINFORMATION LOCKING SYSTEM MANAGEMENT 3.3 BASIC BASIC ONLINE BUSINESS PROFESSIONAL STAND: FEBRUAR 2016

Systemvoraussetzungen

Systemvoraussetzungen NovaBACKUP 17.6 Die Komplettlösung für Windows Server Backup

USB 10/100 FAST ETHERNET. Benutzerhandbuch

INNOTask, INNOCount, INNORent, INNOSpace, INNOCar Installationsanforderungen

Kurzanleitung Wireless Studenten (Windows 8) BGS - Bildungszentrum Gesundheit und Soziales Gürtelstrasse 42/ Chur

FL1 Hosting Technische Informationen

Installations-Dokumentation, YALG Team

UEFI. Unified Extensible Firmware Interface UEFI. OSP 2015 UEFI Rene Brothuhn Seite: 1

Automatisierte Einbindung von Windows Systemen in Bacula mit Hilfe von OPSI

USB 2.0 PCI-Karte mit NEC CHIPSATZ

Virtuelle Entwicklungsarbeitsplätze und Linux

bizsoft Rechner (Server) Wechsel

gibt es verschiedene Betriebssysteme die je nach Gerät und Nutzer installiert werden können.

Anleitung: XOS Installation ohne XQAND USB Stick

Ab der aktuellen Version kann der Windows Internet Explorer 11 als Browser für das Web-Interface der Server- Konfiguration genutzt werden.

BN-007 Serverrichtlinien

Ein buchner Unternehmen: Starke Software Gmbh Lise-Meitner-Str Schwentinental Tel.:

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

Technische Hinweise zur Installation und Freischaltung von Beck SteuerDirekt mit BeckRecherche 2010

Tutorial e Mail Einrichtung

my.green.ch... 2 Domänenübersicht... 4

FuxMedia Programm im Netzwerk einrichten am Beispiel von Windows 7

Anleitung mtan (SMS-Authentisierung) mit SSLVPN.TG.CH

1 Application Compatibility Toolkit (ACT) 5.6

Unified Communication Client Installation Guide

Persona-SVS e-sync GUI/Client Installation

Installationsanleitung bootfähiger USB-Stick PSKmail v

Praktikum IT-Sicherheit

Zehn SSH Tricks. Julius Plen z

Kurzanleitung zum Einrichten des fmail Outlook Addin

Dynamisches VPN mit FW V3.64

Transkript:

Sicherheit wird messbar Lösungsansätze und Methoden Email Case 15. September 2009, Hotel St. Gotthard, Zürich

ActiveSync Div. Email Landschaft PeerToPeer -USB -Bluetooth Smart phone Netzwerk - Ethernet - WLAN Archiv Backup Angriff PC POP, IMAP, HTTP, RPC Server Content Scanner Mobile Angriff Smart phone POP, IMAP, HTTP, RPC Server Malware Scanner Black berry Synch Blackberry Server 2

Angriffe DMA Zugriff über FireWire Bitlocker mit PIN / ohne PIN Man-in-the-middle-Angriff Auswirkung fehlender Serverauthentisierung 3

Systemzustände Windows DMA Zugriff über FireWire System Zustand Aktiv Standby Suspend to RAM OS Zustand Windows Unlocked Windows Locked Windows Authentisierung (Benutzername / Passwort oder SmartCard) Ruhezustand / Hibernate Suspend to disk Ausgeschaltet Windows Kernel BIOS Preboot Authentisierung (TPM+PIN) 4

schützt schützt schützt Sicheres Endgerät durch Harddisk-Verschlüsselung z.b. Notebook mit Bitlocker DMA Zugriff über FireWire Windows Vista (Enterprise und Ultimate Edition) PIN (optional) Trusted platform module Client als Alternative zum PIN Schutz für das Device, welches das File-System enthält. TPM 1.2 Storage Root Key USB Device Optionaler PIN (preboot authentication) Hash BIOS Hash MBR Hash Bootload. Volume Master Key USB Device Alternativ zu TPM Recovery-Passwort (bzw. USB Device) für Notfall-Zugang zum Device. Full volume encryption key (FVEK) File System Volume Master Key FVEK File System schwarz markierte Komponenten sind nicht chiffriert. Boot loader Master boot record 5

DMA Zugriff über FireWire Veröffentlichte Details Die OHCI-Spezifikation (Open Host Controller Interface) beinhaltet eine Betriebsart für FireWire-Controller, in welcher FireWire-Geräte den Hauptspeicher eines Rechners auslesen oder überschreiben können. Zumindest in der voreingestellten Konfiguration sind unter anderem Linux, FreeBSD und Windows anfällig. Angriff wurde 2006 an einer Security Konferenz in Sydney von Adam Boileau zum ersten mal gezeigt. Nachdem Microsoft keine Gegenmassnahmen implementiert hat, veröffentlichte er seine Tools im März 2008: pythonraw1394: Python bindings for libraw1394 Winlockpwn: Python Skript um Windows Authentisierung auszuschalten (XP SP2, XP SP3, Vista SP1) bioskbsnarf: BIOS Keyboard Buffer via FireWire auslesen 6

DEMO DMA Zugriff über FireWire Linux Python Skript: Winlockpwn Windows XP (SP2, SP3), Vista (SP1, SP2*), Windows 7* FireWire I/O libraw1394 FireWire I/O RAM * Konzeptionell möglich. Code nicht öffentlich verfügbar. 7

Systemzustände Windows DMA Zugriff über FireWire Deaktivierung der Windows Authentisierung durch direkten Speicherzugriff (DMA) System Zustand Aktiv Standby Suspend to RAM OS Zustand Windows Unlocked Windows Locked PC-Card (FireWire) PCI-Bus (FireWire) FireWire Interface Windows Authentisierung (Benutzername / Passwort) Ruhezustand / Hibernate Suspend to disk Ausgeschaltet Windows Kernel BIOS Preboot Authentisierung (TPM+PIN) 8

DMA Zugriff über FireWire Gegenmassnahmen DMA Zugriff verhindern Hardware ohne: PC-Card, ext. PCI-Bus, FireWire I/O Deaktivierung: PC-Card, ext. PCI-Bus, FireWire I/O FireWire-Treiber löschen FireWire Blocker (Software)* Preboot-Authentisierung aktivieren Bitlocker PIN Policy Standby-Modus deaktivieren *Quelle: http://www.securityresearch.at/publications/windows_firewire_blocker.pdf 9

DMA Zugriff über FireWire Gegenmassnahmen Messen / Überwachen DMA Zugriff verhindern FireWire-Treiber deaktivieren Laden von Treiber durch Benutzer verhindern Überwachen der geladenen Treiber FireWire-Controller deaktivieren (SW) Integrität und Betrieb der SW monitoren Preboot-Authentisierung aktivieren Bitlocker PIN Security Disc Chiffrierung Sec. Monitoring or Disc Chiffrierung Configuration Sec. Monitoring Überwachen des Bitlocker Deployments und der Konfiguration Policy: Standby-Modus deaktivieren Policy überwachen 10

Übertragungs-Sicherheit: Verschlüsselung / Server Authentisierung TLS Email Sicherung mittels TLS Internes Netzwerk Firma-a.com Internet Internes Netzwerk Firma-b.com Server GW TLS GW Server Client DNS Client 11

Angreifer Übertragungs-Sicherheit: Verschlüsselung / Server Authentisierung Angriff: Man-in-the-middle Internes Netzwerk Firma-a.com Internet Angriffsmöglichkeiten: DNS Spoofing Routing/NAT ARP-Spoofing Internes Netzwerk Firma-b.com TLS Server GW GW TLS TLS Server Client DNS Client 12

Angreifer Übertragungs-Sicherheit: Verschlüsselung / Server Authentisierung TLS Demo Setup Windows Notebook Hotel St. Gotthard Internet Internes Netzwerk cnlab.ch cnlab.com Server (TLS) (TLS) GW Server Client Client 13

Übertragungs-Sicherheit: Verschlüsselung / Server Authentisierung Demo: Man-in-the-middle Internet TLS Firma xy: -Server -Client Angreifer: Sniffer IP-Tables -Server -Client cnlab ag: -Server für die Domains cnlab.ch und cnlab.com 14

Man-in-the-middle Gegenmassnahmen TLS Email-Server Firma-A.com CA- Zertifikat (TLS) TLS CONNECT Server Zertifikat Email-Server Firma-B.com Server- Zertifikat Zertifikatsprüfung Email Zertifikatsprüfung: Name Aussteller-Signatur (trusted CA) Gültigkeit ev. CRL 15

TLS Gegenmassnahmen Messen / Überwachen Server-Authentisierung Verifikation der aktivierten TLS-Verschlüsselung und Server-Authentisierung Überwachen der Server-Konfiguration Funktions-Überwachung Security Echtzeit-Analyse Server Logfile Chiffrierung Authentisierung Config überwachen Zertifikat prüfen 16

Danke Thomas Lüthi thomas.luethi@cnlab.ch +41 55 214 33 41 Christian Birchler christian.birchler@cnlab.ch +41 55 214 33 40 15. September 2009, Zürich Präsentation im Internet unter http://www.cnlab.ch/en/company/publications.html

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback