Security-Webinar. Jahresrückblick. Dr. Christopher Kunz, filoo GmbH

Ähnliche Dokumente
Security-Webinar. Februar Dr. Christopher Kunz, filoo GmbH

Security-Webinar. März Dr. Christopher Kunz, filoo GmbH

Security-Webinar. Dezember Dr. Christopher Kunz, filoo GmbH

Diese Anleitung enthält Anweisungen, die nur durch erfahrene Anwender durchgeführt werden sollten!

SSL-Zertifikate. Dr. Christopher Kunz

Schwachstellenanalyse 2012

Websites mit Dreamweaver MX und SSH ins Internet bringen

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank

Universal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite.

NTR-Support Die neue Fernwartung

Wie starte ich mit meinem Account?

Security-Webinar. Juni Dr. Christopher Kunz, filoo GmbH

Das Handbuch zu KNetAttach. Orville Bennett Übersetzung: Thomas Bögel

Erfahrungen mit Hartz IV- Empfängern

Sich einen eigenen Blog anzulegen, ist gar nicht so schwer. Es gibt verschiedene Anbieter. ist einer davon.

Anbindung des eibport an das Internet

Windows Server 2008 (R2): Anwendungsplattform

Anleitung Umstellung auf neuen Mail Server

Pfötchenhoffung e.v. Tier Manager

Ist meine WebSite noch sicher?

Anleitung. Schritt für Schritt: iphone und ipad. Richten Sie Ihr -Konto mit Ihrem iphone oder ipad Schritt für Schritt ein.

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

Einrichten eines POP-Mailkontos unter Thunderbird Mail DE:

Die Post hat eine Umfrage gemacht

Installation eblvd (Fernwartung)

Kurzanleitung OOVS. Reseller Interface. Allgemein

FTP Tutorial. Das File Transfer Protocol dient dem Webmaster dazu eigene Dateien wie z.b. die geschriebene Webseite auf den Webserver zu laden.

Anleitung. Update EBV 5.0 EBV Mehrplatz nach Andockprozess

WordPress installieren mit Webhosting

Ist meine Website noch sicher?

Installation des Authorware Webplayers für den Internet Explorer unter Windows Vista

Fotostammtisch-Schaumburg

So die eigene WEB-Seite von Pinterest verifizieren lassen!

5. Testen ob TLS 1.0 auf Ihrem System im Internet-Explorer fehlerfrei funktioniert

Zugriff Remote Windows Dieses Dokument beschreibt die Konfiguration von Windows für den Zugriff auf

Leichte-Sprache-Bilder

Step by Step Webserver unter Windows Server von Christian Bartl

Anmeldung und Zugang zum Webinar des Deutschen Bibliotheksverbandes e.v. (dbv)

COMPUTER MULTIMEDIA SERVICE

:: Anleitung Hosting Server 1cloud.ch ::

Version smarter mobile(zu finden unter Einstellungen, Siehe Bild) : Gerät/Typ(z.B. Panasonic Toughbook, Ipad Air, Handy Samsung S1):

OutLook 2003 Konfiguration

easysolution GmbH easynet Bessere Kommunikation durch die Weiterleitung von easynet-nachrichten per nach Hause

Einrichten von Windows Mail

Das RSA-Verschlüsselungsverfahren 1 Christian Vollmer

Kurzanleitung IP-Kamera AMGO IP 80 für Livebilder auf Smartphone/Iphone und PC

icloud nicht neu, aber doch irgendwie anders

Der Kalender im ipad

Alle gehören dazu. Vorwort

Wie Sie sich einen eigenen Blog einrichten können

FTP-Leitfaden RZ. Benutzerleitfaden

IT: SCHLUMBERGER. Office 365 Konten einbinden

Kurze Anleitung zum Guthaben-Aufladen bei.

Übersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software

Drägerware.ZMS/FLORIX Hessen

Sicherheit QUALITÄTSSICHERUNG DESIGNER24.CH V 1.2. ADRESSE Designer24.ch Web Print Development Postfach Turbenthal Schweiz

Download unter:

WinVetpro im Betriebsmodus Laptop

eduroam mit SecureW2 unter Windows 7 Stand: 27. Januar 2015

Internationales Altkatholisches Laienforum

Georedundante RZ. Doppelt gemoppelt hält besser. Dr. Christopher Kunz, filoo GmbH

Das Persönliche Budget in verständlicher Sprache

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

Der Support für Windows Server 2003 endet endgültig alles was Ihnen dann noch bleibt ist diese Broschüre.

Anmeldung und Zugang zum Webinar des Deutschen Bibliotheksverbandes e.v. (dbv)

Adminer: Installationsanleitung

Ist das so mit HTTPS wirklich eine gute Lösung?

Einrichten von Outlook Express

Nur für Partner die bereits einen Backoffice Zugang haben. Aber KEINEN Portal Zugang

Patch Management mit

Einen virtuellen Server von MetaQuotes anmieten

Was meinen die Leute eigentlich mit: Grexit?

Guide DynDNS und Portforwarding

Heartbleed beats hard

IBM Software Demos Tivoli Provisioning Manager for OS Deployment

BusinessMail X.400 Webinterface Gruppenadministrator V2.6

Einrichten einer Festplatte mit FDISK unter Windows 95/98/98SE/Me

kreativgeschoss.de Webhosting Accounts verwalten

SSL Konfiguration des Mailclients

40-Tage-Wunder- Kurs. Umarme, was Du nicht ändern kannst.

Die Wirtschaftskrise aus Sicht der Kinder

Wie erreiche ich was?

my.green.ch... 2 Domänenübersicht... 4

Infinigate (Schweiz) AG. Secure Guest Access. - Handout -

Anleitung mtan (SMS-Authentisierung) mit SSLVPN.TG.CH

INTERNETZUGANG WLAN-ROUTER ANLEITUNG INSTALLATION SIEMENS GIGASET

Glaube an die Existenz von Regeln für Vergleiche und Kenntnis der Regeln

Anleitung zur Einrichtung der IC-Print Drucker über Internet

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

BitDefender Client Security Kurzanleitung

Kombinierte Attacke auf Mobile Geräte

Sie finden im Folgenden drei Anleitungen, wie Sie sich mit dem Server der Schule verbinden können:

Schwachstellenanalyse 2013

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Anleitung. My Homepage. upc cablecom GmbH Industriestrasse Otelfingen Mehr Leistung, mehr Freude.

How to install freesshd

Anleitung für Autoren auf sv-bofsheim.de

Verwendung des IDS Backup Systems unter Windows 2000

Transkript:

Security-Webinar Jahresrückblick Dr. Christopher Kunz, filoo GmbH

Ihr Referent _ Dr. Christopher Kunz _ CEO Hos4ng filoo GmbH / TK AG _ Promo4on IT Security _ X.509 / SSL _ Vorträge auf Konferenzen _ OSDC 2012, 2014 _ Autor von Ar4keln & Büchern

filoo GmbH _ Wir sind die Hos4ng- Tochter der Thomas- Krenn.AG _ Sicheres, hochperformantes Hos4ng in Frankfurt _ Mitarbeiter in Gütersloh und Freyung _ Primärer Rechenzentrumsstandort Frankfurt _ Tier3, ISO 27001 _ Fläche in zwei Brandabschni^en _ Managed Services _ Security Services _ Systemadministra4on _ Planung & Deployment

Agenda _ Was ist das Security- Webinar? _ Themen für die nächsten Webinare _ Ihr Input ist gefragt _ Jahresrückblick 2014 _ Die wich4gsten Sicherheits- Themen jedes Monats

Was wird das hier? _ Regelmäßiges Webinar zum Thema Security _ Ein Termin jeden Monat _ Wechselnde Theman _ Themen aus allen Bereichen der Sicherheit _ Sicherer Betrieb von Cloud _ Exploits, Sicherheitslücken _ Sicherheitspoli4k _ Sicherheitskonzepte / neue Produkte _ Herstellerunabhängig!

Themen & Termine _ Themen: Ihr Input ist gefragt _ Wenn Sie eine Themenidee haben her damit! _ Kontak4nfos am Ende des Webinars _ Termine: _ Achtung: Verschiebung um je 1 Tag (Mi^woch sta^ Dienstag) _ 11.02. _ 11.03. _ 08.04. _ 13.05. _ 10.06.

Security-Jahresrückblick _ Turbulentes Jahr für IT- Security _ Nicht mehr Lücken als 2013... _...aber schlimmere Quelle: OSVDB

Januar: NSA/GCHQ _ Juni 2013: Enthüllung der NSA- Ak4vitäten _ Ganz 2013 und 2014 neue Details _ Umfassende Abhörung auch befreundeter Na4onen _ Koopera4on großer Internetkonzerne (wie etwa Yahoo, Level3) _ Präparierung von Netzwerkhardware _ Angriffe gegen Verschlüsselung _ Auch Abhörung in Deutschland (DE- CIX)

Februar: goto fail() _ Fehler in Apples SSL/TLS Signaturprüfung _ Überschüssige Sprunganweisung goto fail _ Auswirkung: Auch ungül4ge Verschlüsselung wird anerkannt _ Vertrauenswürdigkeit von SSL nicht mehr gegeben _ Betroffen: IOS und MacOSX

März: Typo3 Massenhack _ Mehrere Hundert Typo3- basierte Seiten gehackt _ Typo3 ist ein Open- Source CMS _ Casino- Seiten wurden an manche Besucher ausgeliefert _ Betroffen: Überwiegend Typo3 4.5.x _ Long- Term- Support _ Möglicherweise war gar nicht Typo3 der Schuldige

April: Heartbleed _ Security- Bug des Jahres? _ SSL- Bibliothek OpenSSL fehlerhas _ Bes4mmte Anfragen führen zu Ausgabe zufälligen Arbeitsspeichers _ Fehler in sehr selten genutzter Erweiterung _ Massive Auswirkungen bis hin zu Zer4fikats- Klau _ Betroffen: Prak4sch alle Betriebssysteme und Webserver

April: Heartbleed Server, bist Du noch da? Wenn ja, bi6e antworte Hut (500 Zeichen)! Die Nutzerin möchte diese 500 Zeichen: Hut. Username=admin secret key password password=foobar GET / HTTP/1.1 Host: adminhost ----BEGIN RSA PRIVATE KEY ---- MIIFJ DCCBA ygawi BAgID EFYlM A0GCS qgsib 3DQEB BQUAM h^p://xkcd.com/1354/ Hut. Username=admin secret key password password=foobar GET / HTTP/1.1 Host: adminhost ---- BEGIN RSA PRIVATE KEY ----MIIFJ DCCBA ygawi BAgID EFYlM A0GCS qgsib 3DQEB BQUAM Die Nutzerin möchte diese 500 Zeichen: Hut. Username=admin secret key password password=foobar GET / HTTP/1.1 Host: adminhost ----BEGIN RSA PRIVATE KEY ---- MIIFJ DCCBA ygawi BAgID EFYlM A0GCS qgsib 3DQEB BQUAM

April: Heartbleed Server, bist Du noch da? Wenn ja, bi6e antworte Hut (500 Zeichen)! Die Nutzerin möchte diese 500 Zeichen: Hut. Username=admin secret key password password=foobar GET / HTTP/1.1 Host: adminhost ----BEGIN RSA PRIVATE KEY ---- MIIFJ DCCBA ygawi BAgID EFYlM A0GCS qgsib 3DQEB BQUAM h^p://xkcd.com/1354/ Hut. Username=admin secret key password password=foobar GET / HTTP/1.1 Host: adminhost ---- BEGIN RSA PRIVATE KEY ----MIIFJ DCCBA ygawi BAgID EFYlM A0GCS qgsib 3DQEB BQUAM Die Nutzerin möchte diese 500 Zeichen: Hut. Username=admin secret key password password=foobar GET / HTTP/1.1 Host: adminhost ----BEGIN RSA PRIVATE KEY ---- MIIFJ DCCBA ygawi BAgID EFYlM A0GCS qgsib 3DQEB BQUAM

Mai: FTP-Paßwortklau _ Große Liste gestohlener FTP- Zugänge in Botnet entdeckt _ 200 Konten alleine bei filoo, 200.000 insgesamt _ Alle Konten auf den Clients ausgespäht keine Server- Lücke _ Betroffene Hoster wurden vom BSI benachrich4gt

August: The Fappening _ Massenweise Nacktbilder von Prominenten _ Aufgetaucht auf diversen Webseiten _ Quelle: Geknackte icloud- Accounts _ Fehlende Sperre gegen Paßwort- Bruteforcing

September: Shellshock _ Schwere Sicherheitslücke in GNU bash _ Shell für Unix- Systeme _ Lücke exis4ert seit 1989! _ Ausführung beliebiger Shellkommandos _ Exploit über Netzwerk möglich _ Viele angreivare Dienste _ Webserver mit CGI / PHP / Perl _ SSH _ CUPS _ Patches für alle wich4gen Betriebssysteme

Oktober: POODLE _ Angriff auf Verschlüsselung in TLS/SSL _ Bei SSL- 3.0- Verbindungen kann unsichere Verschlüsselung verwendet werden _ Browser können zum Downgrade von moderner TLS- Verschlüsselung auf SSL 3.0 gezwungen werden _ Lösung: SSL 3.0 im Webserver abschalten _ Aber dann funk4oniert IE auf WinXP nicht mehr! _ Deal with it.

November: Wordpress _ Cross- Site Scrip4ng (XSS) in Wordpress _ Kommentare im Blog konnten JavaScript enthalten _ Dieses wurde von Administratoren ausgeführt _ Übernahme von Admin- Accounts möglich _ Betroffen: Wordpress ab 3.0 bis 3.9.2 _ Patch: Wordpress 4.0.1

Dezember: NTP _ Das Admin- Weihnachtsgeschenk (21.12.) _ Remote Code Execu4on im NTP- Server ntpd _ Eigene Befehle auf dem Server mit Rechten des NTP- Nutzers ausführen _ Security- GAU _ Betroffen: Alle NTP- Server vor 4.2.8 _ Fast alle Betriebssysteme

Vielen Dank _ Ich freue mich auf Ihre Themenvorschläge und Fragen! _ Kontaktdaten: _ E- Mail: chris@filoo.de _ Telefon: 05241/86730-0 _ Besuchen Sie filoo! _ h^ps://www.filoo.de/ _ h^p://twi^er.com/filoogmbh

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback