In Sammlung (en) In der gespeicherten
  1. Keine Kategorie

Security-Webinar - Thomas

Werbung 
Security-Webinar
November 2015
Dr. Christopher Kunz, filoo GmbH
Ihr Webinar-Team
_ Referent:Dr.ChristopherKunz
_ CEOHostingfilooGmbH/TKAG
_ PromotionITSecurity
_ VorträgeaufKonferenzen
_ AutorvonArtikeln&Büchern
_ Moderation:SibylleBlöchl
_ MarketingThomas-Krenn.AG
_ SammeltFragen/Feedback
Security-Webinar November 2015
filoo GmbH
_ Wir sind die Hosting-Tochter der ThomasKrenn.AG
_ Sicheres, hochperformantes Hosting in Frankfurt
_ Mitarbeiter in Gütersloh und Freyung
_ Primärer Rechenzentrumsstandort Frankfurt
_ Tier3, ISO 27001
_ Fläche in zwei Brandabschnitten
_ Managed Services
_ Planung & Deployment
_ Security Services
_ Systemadministration
Security-Webinar November 2015
Agenda
_ SecurityimOktober/November
_ Java0days
_ Safe-Harbourgekippt
_ Security-BugsinTypo3/Wordpress
_ MalwareinXcode
_ JoomlaSecurity
_ Xen VM-Ausbruch
_ SchwerpunktthemaVerschlüsselung
_ Verschlüsselungrichtignutzen– waswofür?
_ VerschlüsselteE-Mailmitfiloo Webmail
_ AktuelleSecurity-VorfällemitVerschlüsselung
Security-Webinar November 2015
Java 0days
_ SicherheitsprobleminbeliebterBibliothekssammlung
_ „CommonCollections“
_ ProbleminSerialisierungsroutinen
_ BetrifftvieleJava-(Server-)Anwendungen
_
_
_
_
_
Weblogic
WebSphere
Jboss
Jenkins
OpenNMS
_ SehrdetaillierteBeschreibung:
http://foxglovesecurity.com/2015/11/06/what-doweblogic-websphere-jboss-jenkins-opennms-and-yourapplication-have-in-common-this-vulnerability/
Security-Webinar November 2015
Safe Harbor gekippt
_ Safe-Harbor-Abkommen zw.EUundUSAgekippt
_ NachKlageeinesÖsterreichersu.a.gegenFacebook
_ ÜbertragungpersönlicherDateninUSA
grundrechtswidrig
_ VerstoßgegenArt.7derEU-Charta
_ EinschätzungSchaar:KeineeinfacheLösung
_ Sog.StandardvertragsklauselnundBindingCorporateRules
ebenfallsgrundrechtswidrig
_ ExpliziteEinwilligungdesNutzersvermutlichunwirksam
_ EuropäischeServervonUS-UnternehmenebenfallsUSJurisdiktionunterworfen
Security-Webinar November 2015
Safe Harbor – und nun?
_ KundendatennichtinUSAspeichernundverarbeiten
lassen
_ GoogleDrive,Dropbox,Amazon...
_ Salesforce
_ Evernote
_ Womöglich,aufEU-Speicherung bestehen
_ EinigeAnbieterhabenWahlmöglichkeit
_ Festlegungfordern!
_ Cloud-HostinginDeutschland
_ ...gibt‘sbeifiloo!
Security-Webinar November 2015
XSS in Typo3, Wordpress
_ Cross-SiteScriptinginTypo3
_ Speziellpräparierter LinksinsBackendkannJSenthalten
_ Besonders gefährlich:Administratoren/Redakteureangreifen
_ Angreifbar:Typo36.2.0bis6.2.14,7.0.0bis7.3.0
_ XSSinWordpress
_ VerarbeitungvonShortcodesangreifbar
_ Nutzerkontenlisteauch
_ LückeimRechtesystem
_ PrivatePostsöffentlichmachen
_ Nutzerkontoerforderlich
_ Updateauf4.3.1dringendempfohlen
Security-Webinar November 2015
Malware in XCode
_ FieseLeutehabenMalwareinXcode eingebaut...
_ ...unddanndiese(raubkopierte)VersioninChinaverteilt
_ AberXcode istdochkostenlos?
_ Ja,abernichtfreiinChinaverfügbar!
_ DieseMalwarewirdinApp-Codeübertragen
_ DieAppsführenunerwünschteAktionenaus
_ Clipboardauslesen
_ Phishing
_ Allerdings(noch)inaktiv
_ MehrereHundertchinesischeAppsbetroffen
Security-Webinar November 2015
Joomla SQL Injection
_ Seit22.10.neuerSQLInjection 0dayfürJoomla
_ SeitdemauchmassiveExploitversuche
_ Automatisierunginkl.False-Positive-Filter
_ Betroffen:Joomla3.X(X<4.5)
_ /index.php?option=com_contenthistory&view=history
&list[ordering]=&item_id=75&type_id=1%20&list[selec
t]=%20(select%201%20FROM(select%20count(*),conca
t((select%20(select%20concat(session_id))%20FROM%
20jml_session%20LIMIT%200,1),floor(rand(0)*2))x%20
FROM%20information_schema.tables%20GROUP%20B
Y%20x)a)
Security-Webinar November 2015
XEN VM-Ausbruch
_ LückeinSpeicherverwaltung fürXen-Gäste(VMs)
_ Xen 3.4x86
_ 32und64Bit
_ Auswirkungen:AusbruchausVM
_ KontrolledesHostsystems
_ (Wenig)mehrInfos:XSA-148
_ http://xenbits.xen.org/xsa/advisory-148.html
Security-Webinar November 2015
Schwerpunkt
Verschlüsselung
_ SymmetrischeVerschlüsselung
_ EsexistierteinSchlüssel,denbeidevorabkennenmüssen
_ AlleDatenwerdengegendiesenSchlüsselverschlüsselt
_ Sehrschnell
_ Verwendetu.a.inTLS
_
_ AsymmetrischeVerschlüsselung
_ JederNutzerhateinenöffentlichenundprivatenSchlüssel
_ MitdemöffentlichenSchlüsselwirdverschlüsselt
_ MitdemprivatenSchlüsselwirdentschlüsselt
_ DeutlichlangsameralssymmetrischeKryptographie
Security-Webinar November 2015
Wofür welche
Verschlüsselung?
_ Transportverschlüsselung
_ IPSec
_ SSL/TLS
_ ...
_ Ende-zu-Ende-Verschlüsselung
_ PGP/GnuPG
_ S/MIME
_ TransparenteVerschlüsselung
_ Crypto-Filesysteme
_ Datenbankverschlüsselung(MariaDB,...)
Security-Webinar November 2015
Asymmetrische
Verschlüsselung
_ Alice&Bobhabenprivatenundöffentlichen Schlüssel
_ AlicewillmitBobkommunizieren
_ SiegibtBobihrenöffentlichenSchlüssel
_ Bobgibtihrseinen
_ AliceschreibtdieNachrichtundverschlüsseltsiemit
BobsöffentlichemSchlüssel
_ ErbrauchtseinenprivatenSchlüsselzumEntschlüsseln
_ AlicesigniertdieNachrichtmitihremprivaten
Schlüssel
_ BobbrauchtihrenöffentlichenSchlüsselzumPrüfen
Security-Webinar November 2015
Verschlüsselung falsch
_ Belkin baut„smarte“LichtschalteraufLinuxbasis...
_ ...undvergißt einenprivatenGPG-Schlüsseldarin
_ MitdiesemwardieFirmwaresigniert
_ SomitkönnenAngreifereigeneFirmwares einspielen
_ Exploits füreinenLichtschalter?
_ D-LinkbautÜberwachungskamera...
_ ...undvergißt einCode-Signing-Zertifikatnebst
Key...
_ SomitkönnenAngreiferWindows-Schadcodein
D-LinksNamenveröffentlichen
_ Zertifikatbereitsrevoked
Security-Webinar November 2015
Verschlüsselung vs.
Hashing
_ Prüfsummen/Hashes sindKEINEVerschlüsselung!
_ EsgibttheoretischunendlichvieleKlartextefürdenselben
Ciphertext
_ One-Way-Funktion:EsgibtkeinenWegzurück
_ HashfunktionenerfüllenzentraleAufgabeninCrypto
_ DigitaleSignatur:HasheinesTexteswirdverschlüsselt
_ ModifiziereichdieOriginal-Nachricht,ändertderHashsich
_ KannichdenselbenHashfürandereNachrichterzeugen?
_ Ichkann.à Hash-Kollision
Security-Webinar November 2015
SHA1-Hashkollision
_ SHA-1istu.A. derHashalgorithmusfürvieleSSLZertifikate
_ Erfolgreicher AngriffdurchbritischeForscher
_ Clustermit64GPUs
_ MöglichepraktischeAuswirkung:GefälschteSSLZertifikate
_ BesitzervonSHA-1-signiertenZertifikatensolltensie
tauschen
_ Meist(jenachCA)kostenlos
Security-Webinar November 2015
Sichere E-Mail
_ SichereE-MailwarletztenMonatThema
_ Ichhabenochetwasnachgearbeitet...
_ Ende-zu-Ende-Verschlüsselungmuß imMail-Client
passieren
_ Sonstkannjemandmithören...
_ DasgehtmitPGPundeinemBrowser-Plugin
_ Funktioniertprimaimfiloo Webmailer!
Security-Webinar November 2015
Sichere E-Mail bei filoo
Security-Webinar November 2015
Vorschau
_ NächsterTermin:09.12.2015
_ IchfreuemichaufIhreThemenvorschläge!
Security-Webinar November 2015
Vielen Dank
_ IchfreuemichaufIhreThemenvorschlägeundFragen!
_ Kontaktdaten:
_ E-Mail:[email protected]
_ Telefon:05241/86730-0
_ BesuchenSiefiloo!
_ https://www.filoo.de/
_ http://twitter.com/filoogmbh
Security-Webinar November 2015
Zugehörige Unterlagen
Word
Word
Wir suchen Sie!
Wir suchen Sie!
März 2016 Herunterladen
März 2016 Herunterladen
Infos zum Webinar Ende-zu-Ende Verschlüsselung
Infos zum Webinar Ende-zu-Ende Verschlüsselung
Kommunikation mit IT IS enbex
Kommunikation mit IT IS enbex
Fachbegriffe im E-Business
Fachbegriffe im E-Business
Prüfung / Besondere Leistungsfeststellung Informatik
Prüfung / Besondere Leistungsfeststellung Informatik
Web Entwickler mit Schwerpunkt Back-End (m/w)
Web Entwickler mit Schwerpunkt Back-End (m/w)
Internet / Intranet / Extranetsicherheit
Internet / Intranet / Extranetsicherheit
ORACLE Deutschland - Allianz für Cybersicherheit
ORACLE Deutschland - Allianz für Cybersicherheit
Content Management Joomla! Hinter jedem Internetauftritt
Content Management Joomla! Hinter jedem Internetauftritt
Als PDF Downloaden!
Als PDF Downloaden!
Herunterladen
Werbung