Security-Webinar - Thomas
Werbung
Security-Webinar November 2015 Dr. Christopher Kunz, filoo GmbH Ihr Webinar-Team _ Referent:Dr.ChristopherKunz _ CEOHostingfilooGmbH/TKAG _ PromotionITSecurity _ VorträgeaufKonferenzen _ AutorvonArtikeln&Büchern _ Moderation:SibylleBlöchl _ MarketingThomas-Krenn.AG _ SammeltFragen/Feedback Security-Webinar November 2015 filoo GmbH _ Wir sind die Hosting-Tochter der ThomasKrenn.AG _ Sicheres, hochperformantes Hosting in Frankfurt _ Mitarbeiter in Gütersloh und Freyung _ Primärer Rechenzentrumsstandort Frankfurt _ Tier3, ISO 27001 _ Fläche in zwei Brandabschnitten _ Managed Services _ Planung & Deployment _ Security Services _ Systemadministration Security-Webinar November 2015 Agenda _ SecurityimOktober/November _ Java0days _ Safe-Harbourgekippt _ Security-BugsinTypo3/Wordpress _ MalwareinXcode _ JoomlaSecurity _ Xen VM-Ausbruch _ SchwerpunktthemaVerschlüsselung _ Verschlüsselungrichtignutzen– waswofür? _ VerschlüsselteE-Mailmitfiloo Webmail _ AktuelleSecurity-VorfällemitVerschlüsselung Security-Webinar November 2015 Java 0days _ SicherheitsprobleminbeliebterBibliothekssammlung _ „CommonCollections“ _ ProbleminSerialisierungsroutinen _ BetrifftvieleJava-(Server-)Anwendungen _ _ _ _ _ Weblogic WebSphere Jboss Jenkins OpenNMS _ SehrdetaillierteBeschreibung: http://foxglovesecurity.com/2015/11/06/what-doweblogic-websphere-jboss-jenkins-opennms-and-yourapplication-have-in-common-this-vulnerability/ Security-Webinar November 2015 Safe Harbor gekippt _ Safe-Harbor-Abkommen zw.EUundUSAgekippt _ NachKlageeinesÖsterreichersu.a.gegenFacebook _ ÜbertragungpersönlicherDateninUSA grundrechtswidrig _ VerstoßgegenArt.7derEU-Charta _ EinschätzungSchaar:KeineeinfacheLösung _ Sog.StandardvertragsklauselnundBindingCorporateRules ebenfallsgrundrechtswidrig _ ExpliziteEinwilligungdesNutzersvermutlichunwirksam _ EuropäischeServervonUS-UnternehmenebenfallsUSJurisdiktionunterworfen Security-Webinar November 2015 Safe Harbor – und nun? _ KundendatennichtinUSAspeichernundverarbeiten lassen _ GoogleDrive,Dropbox,Amazon... _ Salesforce _ Evernote _ Womöglich,aufEU-Speicherung bestehen _ EinigeAnbieterhabenWahlmöglichkeit _ Festlegungfordern! _ Cloud-HostinginDeutschland _ ...gibt‘sbeifiloo! Security-Webinar November 2015 XSS in Typo3, Wordpress _ Cross-SiteScriptinginTypo3 _ Speziellpräparierter LinksinsBackendkannJSenthalten _ Besonders gefährlich:Administratoren/Redakteureangreifen _ Angreifbar:Typo36.2.0bis6.2.14,7.0.0bis7.3.0 _ XSSinWordpress _ VerarbeitungvonShortcodesangreifbar _ Nutzerkontenlisteauch _ LückeimRechtesystem _ PrivatePostsöffentlichmachen _ Nutzerkontoerforderlich _ Updateauf4.3.1dringendempfohlen Security-Webinar November 2015 Malware in XCode _ FieseLeutehabenMalwareinXcode eingebaut... _ ...unddanndiese(raubkopierte)VersioninChinaverteilt _ AberXcode istdochkostenlos? _ Ja,abernichtfreiinChinaverfügbar! _ DieseMalwarewirdinApp-Codeübertragen _ DieAppsführenunerwünschteAktionenaus _ Clipboardauslesen _ Phishing _ Allerdings(noch)inaktiv _ MehrereHundertchinesischeAppsbetroffen Security-Webinar November 2015 Joomla SQL Injection _ Seit22.10.neuerSQLInjection 0dayfürJoomla _ SeitdemauchmassiveExploitversuche _ Automatisierunginkl.False-Positive-Filter _ Betroffen:Joomla3.X(X<4.5) _ /index.php?option=com_contenthistory&view=history &list[ordering]=&item_id=75&type_id=1%20&list[selec t]=%20(select%201%20FROM(select%20count(*),conca t((select%20(select%20concat(session_id))%20FROM% 20jml_session%20LIMIT%200,1),floor(rand(0)*2))x%20 FROM%20information_schema.tables%20GROUP%20B Y%20x)a) Security-Webinar November 2015 XEN VM-Ausbruch _ LückeinSpeicherverwaltung fürXen-Gäste(VMs) _ Xen 3.4x86 _ 32und64Bit _ Auswirkungen:AusbruchausVM _ KontrolledesHostsystems _ (Wenig)mehrInfos:XSA-148 _ http://xenbits.xen.org/xsa/advisory-148.html Security-Webinar November 2015 Schwerpunkt Verschlüsselung _ SymmetrischeVerschlüsselung _ EsexistierteinSchlüssel,denbeidevorabkennenmüssen _ AlleDatenwerdengegendiesenSchlüsselverschlüsselt _ Sehrschnell _ Verwendetu.a.inTLS _ _ AsymmetrischeVerschlüsselung _ JederNutzerhateinenöffentlichenundprivatenSchlüssel _ MitdemöffentlichenSchlüsselwirdverschlüsselt _ MitdemprivatenSchlüsselwirdentschlüsselt _ DeutlichlangsameralssymmetrischeKryptographie Security-Webinar November 2015 Wofür welche Verschlüsselung? _ Transportverschlüsselung _ IPSec _ SSL/TLS _ ... _ Ende-zu-Ende-Verschlüsselung _ PGP/GnuPG _ S/MIME _ TransparenteVerschlüsselung _ Crypto-Filesysteme _ Datenbankverschlüsselung(MariaDB,...) Security-Webinar November 2015 Asymmetrische Verschlüsselung _ Alice&Bobhabenprivatenundöffentlichen Schlüssel _ AlicewillmitBobkommunizieren _ SiegibtBobihrenöffentlichenSchlüssel _ Bobgibtihrseinen _ AliceschreibtdieNachrichtundverschlüsseltsiemit BobsöffentlichemSchlüssel _ ErbrauchtseinenprivatenSchlüsselzumEntschlüsseln _ AlicesigniertdieNachrichtmitihremprivaten Schlüssel _ BobbrauchtihrenöffentlichenSchlüsselzumPrüfen Security-Webinar November 2015 Verschlüsselung falsch _ Belkin baut„smarte“LichtschalteraufLinuxbasis... _ ...undvergißt einenprivatenGPG-Schlüsseldarin _ MitdiesemwardieFirmwaresigniert _ SomitkönnenAngreifereigeneFirmwares einspielen _ Exploits füreinenLichtschalter? _ D-LinkbautÜberwachungskamera... _ ...undvergißt einCode-Signing-Zertifikatnebst Key... _ SomitkönnenAngreiferWindows-Schadcodein D-LinksNamenveröffentlichen _ Zertifikatbereitsrevoked Security-Webinar November 2015 Verschlüsselung vs. Hashing _ Prüfsummen/Hashes sindKEINEVerschlüsselung! _ EsgibttheoretischunendlichvieleKlartextefürdenselben Ciphertext _ One-Way-Funktion:EsgibtkeinenWegzurück _ HashfunktionenerfüllenzentraleAufgabeninCrypto _ DigitaleSignatur:HasheinesTexteswirdverschlüsselt _ ModifiziereichdieOriginal-Nachricht,ändertderHashsich _ KannichdenselbenHashfürandereNachrichterzeugen? _ Ichkann.à Hash-Kollision Security-Webinar November 2015 SHA1-Hashkollision _ SHA-1istu.A. derHashalgorithmusfürvieleSSLZertifikate _ Erfolgreicher AngriffdurchbritischeForscher _ Clustermit64GPUs _ MöglichepraktischeAuswirkung:GefälschteSSLZertifikate _ BesitzervonSHA-1-signiertenZertifikatensolltensie tauschen _ Meist(jenachCA)kostenlos Security-Webinar November 2015 Sichere E-Mail _ SichereE-MailwarletztenMonatThema _ Ichhabenochetwasnachgearbeitet... _ Ende-zu-Ende-Verschlüsselungmuß imMail-Client passieren _ Sonstkannjemandmithören... _ DasgehtmitPGPundeinemBrowser-Plugin _ Funktioniertprimaimfiloo Webmailer! Security-Webinar November 2015 Sichere E-Mail bei filoo Security-Webinar November 2015 Vorschau _ NächsterTermin:09.12.2015 _ IchfreuemichaufIhreThemenvorschläge! Security-Webinar November 2015 Vielen Dank _ IchfreuemichaufIhreThemenvorschlägeundFragen! _ Kontaktdaten: _ E-Mail:[email protected] _ Telefon:05241/86730-0 _ BesuchenSiefiloo! _ https://www.filoo.de/ _ http://twitter.com/filoogmbh Security-Webinar November 2015
