QUO VADIS, IT-SICHERHEIT? Dr. Thomas Eisenbarth



Ähnliche Dokumente
Geschrieben von: Stefan Sonntag, den 26. Juni 2011 um 09:45 Uhr - Aktualisiert Sonntag, den 26. Juni 2011 um 10:12 Uhr

OP-LOG

neu aufsetzen. Daten sichern... 2 Was man nach dem "Aufsetzen" unbedingt braucht!... 5

Migration Howto. Inhaltsverzeichnis

Heute. Morgen. Sicher. Dreamlab Technologies AG Was ist sicherer, Open Source oder Closed Source Software?

MySQL 101 Wie man einen MySQL-Server am besten absichert

Alle Informationen zu Windows Server 2003 Übersicht der Produkte

Tutorial -


Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

Tools are a IT-Pro's Best Friend Diverse Tools, die Ihnen helfen zu verstehen, was auf dem System passiert oder das Leben sonst erleichtern.

Das neue Volume-Flag S (Scannen erforderlich)

Scharl 2010 Dokument ist Urheberrechtlich geschützt. Port Forwarding via PuTTY und SSH. Was ist Port forwarding?

Lokale Installation von DotNetNuke 4 ohne IIS

Schwachstellenanalyse 2012

Oracle APEX Installer

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Test mit lokaler XAMPP Oxid Installation

Installation der 4Dv12sql Software für Verbindungen zum T.Base Server

Behebung der Fehlermeldung im Internet-Explorer 7 bei Aufruf von Webmail im Fachbereich Rechtswissenschaft


BSCW-Anbindung im Dateiexplorer

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

Command-Line. Line-Tools und Unix-Umgebungen Umgebungen unter Windows

AXIGEN Mail Server. s per Smarthost versenden s per Pop3 empfangen. Produkt Version: Dokument Version: 1.2

PHPNuke Quick & Dirty

MobiDM-App Handbuch für Windows Mobile

INFOBLATT FÜR DAS NEU AUFSETZEN IHRES COMPUTERS

COMPUTER MULTIMEDIA SERVICE

Konfiguration Zentyal 3.3 Inhaltsverzeichnis

BartPE. Dokumentation. Projektarbeit Network Services. Dozent: Wolf-Fritz Riekert. Belmondo Kovac. Autor: Andreas Dinkelacker, 3.

Installation mit Lizenz-Server verbinden

TeamSpeak3 Einrichten

Outlook Vorlagen/Templates

Electronic Systems GmbH & Co. KG

mysoftfolio360 Handbuch

Installationsanleitung für pcvisit Server (pcvisit 12.0)

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

INSTALLATION VON INSTANTRAILS 1.7

INSTALLATION DES MICROSOFT SUS-SERVERS AUF WINDOWS XP PROFESSIONAL

ZENTRALER INFORMATIKDIENST DER JOHANNES KEPLER UNIVERSITÄT LINZ Abteilung Kundendienste und Dezentrale Systeme. PPP für Windows 3.

Einstellungen im Internet-Explorer (IE) (Stand 11/2013) für die Arbeit mit IOS2000 und DIALOG

Daten-Synchronisation zwischen dem ZDV-Webmailer und Outlook ( ) Zentrum für Datenverarbeitung der Universität Tübingen

SFTP SCP - Synology Wiki

Konfiguration von Exchange 2000 zum versenden und empfangen von Mails & Lösung des SEND after POP Problems

Punkt 1 bis 11: -Anmeldung bei Schlecker und 1-8 -Herunterladen der Software

IMAP Backup. Das Programm zum Sichern, Synchronisieren, Rücksichern und ansehen von gesicherten Mails. Hersteller: malu-soft

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Reporting Services und SharePoint 2010 Teil 1

Online-Dateienablage und Datenaustauschdienst Box.net Stand: September 2011

A-CERT CERTIFICATION SERVICE

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

Anleitung zur Installation der DataWatch Software auf einem LINUX System ohne grafische Oberfläche

Installationsanweisung editit

Was muss gesichert werden? -Ihre angelegten Listen und Ihre angelegten Schläge.

Sicherheit von Open Source Software

Windows 10 > Fragen über Fragen

Ein Leitfaden für Anfänger unter Zuhilfenahme frei verfügbarer Software! (bei z.b. Google Microsoft Powertoys suchen, oder diesen Link verwenden )

Datenabgleich. Meine Welt auf einen Blick erleben.

Electronic Systems GmbH & Co. KG

Installationshinweise für OpenOffice Portable auf einem Wechseldatenträger Stand: 27. März 2003 LS Stuttgart, Kaufmännische ZPG

Version 1.0 [Wiederherstellung der Active Directory] Stand: Professionelle Datensicherung mit SafeUndSave.com. Beschreibung.

Wir machen neue Politik für Baden-Württemberg

Verbinden. der Firma

How to install freesshd

Anleitung zum Prüfen von WebDAV

UM ALLE DATEN ZU KOPIEREN. ZUNÄCHST die Daten des alten Telefons auf einen Computer kopieren

ecaros2 Installer procar informatik AG 1 Stand: FS 09/2012 Eschenweg Weiterstadt

EchoLink und Windows XP SP2

FrogSure Installation und Konfiguration

FastViewer Remote Edition 2.X

disk2vhd Wie sichere ich meine Daten von Windows XP? Vorwort 1 Sichern der Festplatte 2

Meine Welt auf einen Blick erleben.

Installation der SAS Foundation Software auf Windows

Internet online Update (Internet Explorer)

Was man mit dem Computer alles machen kann

Schritt-für-Schritt-Anleitung So verschlüsseln Sie Ihr -Konto in Outlook 2003

die wichtigsten online-tools für augenoptiker websites

Whitepaper. Produkt: List & Label 16. List & Label 16 unter Linux/Wine. combit GmbH Untere Laube Konstanz

Fotostammtisch-Schaumburg

Leichte-Sprache-Bilder

Konfiguration IKMZ / Universitätsrechenzentrum des Cisco VPN-Clients v3.6 Netze und Datenkommunikation

Audio/Video - Chat - System User Manual

Zahlen und das Hüten von Geheimnissen (G. Wiese, 23. April 2009)

Achung! User müssen unter Linux schon erstellt sein!

EIDAMO Webshop-Lösung - White Paper

Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)

Single User 8.6. Installationshandbuch

Live Streaming => Netzwerk ( Streaming Server )

Beschreibung Regeln z.b. Abwesenheitsmeldung und Weiterleitung

Grundlegende Informationen zur Einrichtung des SSLVPN beim DSR-1000N/DSR-500N(FW 1.03B27).

Installation. Danach wählen Sie das Installationsverzeichnis für den VPN-Client aus. Stand: Erstellt: M. Döring Seite 1

Legen Sie nun dieses Verzeichnis mit dem Namen "joomla" hier an: C:xampphtdocs.

Verwendung des IDS Backup Systems unter Windows 2000

Kurzanleitung Wireless Studenten (Windows 8) BGS - Bildungszentrum Gesundheit und Soziales Gürtelstrasse 42/ Chur

Security-Webinar. Februar Dr. Christopher Kunz, filoo GmbH

Installation der Eicon Diva PCI Karte unter Windows XP

Transkript:

QUO VADIS, IT-SICHERHEIT? Dr. Thomas Eisenbarth

Was wird das hier? IT-Security-Comedy Was war 2014, was wird 2015. Und: Industrie 4.0!

IT-SICHERHEIT? WIR KAPITULIEREN!

IT-SICHERHEIT? WIR KAPITULIEREN WIR HABEN KAPITULIERT! Microsoft Security Bulletin MS15-011 "Vulnerability in Group Policy Could Allow Remote Code Execution (3000483)"

THIS SECURITY UPDATE IS RATED CRITICAL FOR ALL SUPPORTED EDITIONS OF... Windows Server 2003 Windows Vista Windows Server 2008 Windows 7 Windows Server 2008 R2 Windows 8 Windows Server 2012 Windows RT Windows 8.1 Windows Server 2012 R2 und Windows RT 8.1.

"SECURITY BY ANTIQUITY" OHNE WORTE.

WIR KAPITULIEREN, EHRLICH! JAVA "Oracle s update brings Java 7 to Update 75 and Java 8 to Update 31, and fixes at least 19 security vulnerabilities in the program." "Security vendor Qualys notes that 13 of those flaws are remotely exploitable, with a CVSS score of 10 (the most severe possible score)." 1.7.0.72 kam im Oktober 2014 raus, 1.7.0.75 dann am 20. Januar

GOOGLE SECURITY-TEAM...veröffentlich 0-day für Windows & OS X. Project Zero, which Google officially launched in mid-2014, tasks researchers with uncovering any software flaws that have the potential of leading to targeted attacks on people's computers.

SECURITY-PARTY GOES ON!

KA-PI-TU- LIERT FLASH "Sicherheitslücke: Experten raten zum sofortigen Abschalten des Flash-Players" [SPON] "Flash-Player deaktivieren! Schon wieder Angriffe auf ungepatchte Lücke" [heise.de]

Bonn

BONN

"Rund 40.000 MongoDB-Datenbanken standen völlig ungesichert im Internet."

NEIN!

Chef: "Wir müssen dieses NoSQL jetzt auch machen!" sudo apt-get install mongodb redis riak memcached bigtable voldemort 0 upgraded, 638 newly installed, 0 to remove and 2 not upgraded. Need to get 67,7 GB of archives. After this operation, 181 GB of additional disk space will be used. Do you want to continue? [Y/n] Läuft!

Socket auf 0.0.0.0 (oder ::) ist meistens nicht cool. Schaut halt einmal mit nmap von aussen drauf.... bevor es das BSI macht.

NEUES VON DER SSL-FRONT... HEUTE: LIVE.FI Gefälschtes Microsoft-Zertifikat im Umlauf Microsoft warnt davor, dass Unbekannte es geschafft haben, ein SSL-Zertifikat für die Domain live.fi zu fälschen. "Diese Domain wird dafür benutzt, die finnische Version der Windows Live Services bereitzustellen. Mit dem gefälschten Zertifikat könnte sich ein Angreifer in die gesicherte Verbindung zu den Microsoft-Servern einklinken und Daten abgreifen." WIE KANN DAS DENN PASSIEREN?

WIE KOMMT MAN EIGENTLICH AN SSL-ZERTIFIKATE? Verkäufer und Produkt aussuchen (Thawte, Verisign, COMODO) CSR bauen und an Verkäufer schicken Domain verifizieren Zertifikat installieren

WIE KOMMT MAN EIGENTLICH AN SSL-ZERTIFIKATE? Domain validation E-Mail an bestimmte Adressen an Wunsch-Domain (z.b. ssladmin@your-domain.tld) Organization Validation Handelsregisterauszug, oft per Fax Extended Validation Telefonischer Kontakt, Unterschriften, Firmenstempel

LIVE.FI "Diese Domain wird dafür benutzt, die finnische Version der Windows Live Services bereitzustellen."? "Die Windows-Live-Dienste waren Windows Live Hotmail (vormals MSN Hotmail), Windows Live SkyDrive..."

HACK! E-Mail bei live.fi registrieren, z.b. hostmaster@live.fi oder ssladmin@live.fi SSL-Zertifikat für live.fi beantragen, Validierung per E-Mail H4><0r3d.

HEARTBLEED Sicherheitslücke mit dem besten Marketing ever.

HEARTBLEED Die Sau ist ja schon längst durchs Dorf. Die Fragen die sich dennoch stellen... Warum gabs da so einen Wirbel drum? (das stand auf SPON!!!1) Wie konnte das denn schon wieder passieren?

OpenSSL ist verbreitet wie Hölle Praktisch alles was SSL oder TLS terminiert (und nicht auf Windows läuft) ist mit relativ hoher Wahrscheinlichkeit OpenSSL. (Nicht böse sein, GnuTLS) nginx, Apache (HTTPs) Exim, Dovecot, Courier,... OpenSSH diverse Appliances

WIE KONNTE DAS PASSIEREN? OpenSSL ist eine C-Bibliothek PUNKT

COMMIT 96DB9023B881D7CD9F379B0C154650D6C108E9A3 - /* Read type and payload length first */ - hbtype = *p++; - n2s(p, payload); - pl = p; - if (s->msg_callback) s->msg_callback(0, s->version, TLS1_RT_HEARTBEAT, &s->s3->rrec.data[0], s->s3->rrec.length, s, s->msg_callback_arg); + /* Read type and payload length first */ + if (1 + 2 + 16 > s->s3->rrec.length) + return 0; /* silently discard */ + hbtype = *p++; + n2s(p, payload); + if (1 + 2 + payload + 16 > s->s3->rrec.length) + return 0; /* silently discard per RFC 6520 sec. 4 */ + pl = p;

+ if (1 + 2 + 16 > s->s3->rrec.length) + return 0; /* silently discard */ + hbtype = *p++; + n2s(p, payload); + if (1 + 2 + payload + 16 > s->s3->rrec.length) + return 0; /* silently discard per RFC 6520 sec. 4 */ + pl = p;

? Wo sind die Tests?

Das mit SSL geht weiter, keine Sorge. POODLE, FREAK, BEAST,...

# OpenSSL 1.0.1m: Totals grouped by language (dominant language first): ansic: 272198 (76.01%) perl: 69147 (19.31%) asm: 9007 (2.52%) cpp: 4375 (1.22%) sh: 3346 (0.93%) lisp: 24 (0.01%) Total Physical Source Lines of Code (SLOC) = 358,097

OPENSSL 1.0.1M 0,4 MIO SLOC

Year OS SLOC (Mio) 1994 Windows NT 3.5 7 8 1996 Windows NT 4.0 11 12 2000 Windows 2000 > 29 2001 Windows XP 45 2003 Windows Server 2003 50

Year OS SLOC (Mio) 2010 Linux kernel 2.6.35 13.5 2012 Linux kernel 3.6 15.9 2000 Debian 2.2 55-59 2012 Debian 7.0 419

AUSBLICK INDUSTRIE 4.0 Heisst dass wir künftig auf die offenen Redis und MongoDBs auf Windrädern kucken können. Oder so.

INDUSTRIE 4.0

Google ist so hilfreich! "wind farm portal" 11.06.11 193.253.196.156 http://www.thewindpower.net/windfarm_de_586_les-moulins-de-boulay.php

WETTER IN AUGSBURG... http://wetterstation.hs-augsburg.de rdns record for 141.82.59.1: wetterstation.informatik.fh-augsburg.de Not shown: 809 closed ports, 188 filtered ports PORT STATE SERVICE 80/tcp open http 3306/tcp open mysql 8180/tcp open unknown

ACH SCHAU AN

INTERESSANT, EIN PHP-SCRIPT... "DATABASE.PHP" /* * Schnittstelle zum Zugriff auf die Wetterstationsdatenbank und zur Rückgabe als JSON Datei * * Autor: Markus Görlich * */ error_reporting(e_all);

AHA! $Messdaten_Wetter = array("temperatur", "Luftfeuchtigkeit", "Luftdruck", "Windrichtung", "Ozon", "Niederschlag", "Globalstrahlung", "PHWert"); $Messdaten_Solar = array("pac", "ETotal", "Betriebszeit"); $Messdaten_Ceilometer = array("wolkenhoehe", "Aerosol");... $db = mysql_connect("localhost", "root", "wetter") or die (mysql_error()); AUTSCH!

OH. 11:34:00 fnordomat ~ > mysql -uroot -p -h wetterstation.hs-augsburg.de Enter password: Welcome to the MySQL monitor. Commands end with ; or \g. Your MySQL connection id is 260523 Server version: 5.5.41-0ubuntu0.12.04.1 (Ubuntu) mysql> show databases; +--------------------+ Database +--------------------+ information_schema Wetterdaten mysql performance_schema test wikidb +--------------------+ 6 rows in set (0.55 sec)

mysql> use Wetterdaten; mysql> select * from User; +----+-------+----------------------------------+-------+-------------+-------------+------------+ ID Name Passwort admin wetterdaten solaranlage ceilometer +----+-------+----------------------------------+-------+-------------+-------------+------------+ 1 Admin 3858f62230ac3c915f300c664312c63f 1 1 0 0 +----+-------+----------------------------------+-------+-------------+-------------+------------+

DAS WIRD INDUSTRIE 4.0

UND NU? "YOU ARE UNDER ATTACK"

WEITER VERSCHLÜSSELN! Die Nachrichtendienste sollen sich ja nicht langweilen. Apropos langweilen...

WERBUNG makandra.de www.buch7.de Web & Wine Nerdnight

CREDITS www.flickr.com/photos/neolao/3105372669 ENERCON 11_Scada_Remote.png www.bnd.de www.flickr.com/photos/gaylon/28051605 / 28051605_288674c4c2_b www.flickr.com/photos/robboudon/3040333241/ / 3040333241_839ef40ed3_o www.flickr.com/photos/eyeliam/2539194260/ / 2539194260_67c3b3443a_o Heartbleed-Logo

DANKE!

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback