SlideShare une entreprise Scribd logo

Comodogate

T
Thomas Steinbrenner

Slides of a Lightning talk I held at Metalab on April 1st, 2011.

Technologie
1  sur  31
Télécharger pour lire hors ligne
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Comodogate ?!? Version 1.1 2. April 2011
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Inhalt Inhalt
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Inhalt Inhalt SSL-Grundlagen Symmetrische Kryptografie Asymmetrische Kryptografie Public key infrastructure
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Inhalt Inhalt SSL-Grundlagen Symmetrische Kryptografie Asymmetrische Kryptografie Public key infrastructure Der Hack Gef¨lschte Zertifikate a (Wo)man In The Middle Wie kann so etwas passieren?
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Inhalt Inhalt SSL-Grundlagen Symmetrische Kryptografie Asymmetrische Kryptografie Public key infrastructure Der Hack Gef¨lschte Zertifikate a (Wo)man In The Middle Wie kann so etwas passieren? L¨sungen o Zertifikate widerrufen TOFU/POP DNSSEC Perspectives
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Inhalt Inhalt SSL-Grundlagen Symmetrische Kryptografie Asymmetrische Kryptografie Public key infrastructure Der Hack Gef¨lschte Zertifikate a (Wo)man In The Middle Wie kann so etwas passieren? L¨sungen o Zertifikate widerrufen TOFU/POP DNSSEC Perspectives Was kann *ich* tun?
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Symmetrische Kryptografie Ver- und Entschl¨sselung mit dem selben Schl¨ssel u u (DES, 3DES, AES, RC4, ...)
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Asymmetrische Kryptografie Verschl¨sselung mit dem ¨ffentlichen Schl¨ssel des Empf¨ngers. u o u a Entschl¨sselung mit dem geheimen Schl¨ssel des Empf¨ngers. u u a Signieren genau umgekehrt.
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Public key infrastructure ¨ Offentlicher Schl¨ssel wird in einem Zertifikat gespeichert. u Echte Zertifikate werden von der Root CA ”unterschrieben”. Root CA-Zertifikat wird mit OS/Browser mitgeliefert.
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Gef¨lschte Zertifikate a Hacker hat sich durch eine L¨cke in einer RA folgende Zertifikate u ausstellen lassen k¨nnen: o • mail.google.com (GMail) • login.live.com (Hotmail et al) • www.google.com • login.yahoo.com (drei Zertifikate) • login.skype.com • addons.mozilla.org (Firefox extensions) • Global Trustee
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? (Wo)man In The Middle Falls Traffic uber den Angreifer umgeleitet werden kann → :/ ¨
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren?
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren? • Niemand will schuld sein...
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren? • Niemand will schuld sein... • Browser will Benutzer nicht mit Fehlermeldungen nerven → eher liberal
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren? • Niemand will schuld sein... • Browser will Benutzer nicht mit Fehlermeldungen nerven → eher liberal • Browser m¨ssen uber Vertrauen entscheiden → eher liberal u ¨ (z.B.:CNNIC)
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren? • Niemand will schuld sein... • Browser will Benutzer nicht mit Fehlermeldungen nerven → eher liberal • Browser m¨ssen uber Vertrauen entscheiden → eher liberal u ¨ (z.B.:CNNIC) • Systemadmins wollen keinen Aufwand. → nichts ¨ndert sich. a
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren? • Niemand will schuld sein... • Browser will Benutzer nicht mit Fehlermeldungen nerven → eher liberal • Browser m¨ssen uber Vertrauen entscheiden → eher liberal u ¨ (z.B.:CNNIC) • Systemadmins wollen keinen Aufwand. → nichts ¨ndert sich. a • CAs geben Implementierungen die Schuld. → nichts ¨ndert a sich.
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Zertifikate widerrufen • Einfachste Reaktion.
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Zertifikate widerrufen • Einfachste Reaktion. ¨ • Uberpr¨fung via Certificate Revocation Lists u
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Zertifikate widerrufen • Einfachste Reaktion. ¨ • Uberpr¨fung via Certificate Revocation Lists u • oder Online Certificate Status Protocol
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Zertifikate widerrufen • Einfachste Reaktion. ¨ • Uberpr¨fung via Certificate Revocation Lists u • oder Online Certificate Status Protocol ¨ • Uberpr¨fung h¨ngt von Implementierung ab (think mobile u a devices)
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? TOFU/POP Trust on first use/then popup ”Certificate Patrol” Quelle: https://addons.mozilla.org/de/firefox/addon/certificate-patrol/
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? TOFU/POP Quelle: https://addons.mozilla.org/de/firefox/addon/certificate-patrol/
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? DNSSEC Quelle: http(s)://dankaminsky.com/ DNS sicher? → Zertifikat mit DNS abfragen!
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Perspectives Quelle: https://www.networknotary.org/ Mehrere Server im Internet fragen → MITM erkennbar.
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Was kann *ich* tun?
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Was kann *ich* tun? • Probleme verstehen → sich informieren!
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Was kann *ich* tun? • Probleme verstehen → sich informieren! • Entsprechende Plugins installieren und unterst¨tzen! u (Certivicate Patrol, Perspectives, ...)
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Was kann *ich* tun? • Probleme verstehen → sich informieren! • Entsprechende Plugins installieren und unterst¨tzen! u (Certivicate Patrol, Perspectives, ...) • DNSSEC einsetzen und pushen! (z.B.: Phreebird (zeroconfig proxy by Dan Kaminsky))
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Was kann *ich* tun? • Probleme verstehen → sich informieren! • Entsprechende Plugins installieren und unterst¨tzen! u (Certivicate Patrol, Perspectives, ...) • DNSSEC einsetzen und pushen! (z.B.: Phreebird (zeroconfig proxy by Dan Kaminsky)) • Weitererz¨hlen. a
Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Thomas Steinbrenner, B.Sc. http(s)://www.thomas-steinbrenner.net https://twitter.com/#!/Tie fighter Feel free to share this! Creative Commons - Attribution

Recommandé

Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Warum verschlüsseln? Dein Leben - Deine Daten - Deine FreiheitWarum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Arian Kriesch
 
Verschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und PraxisVerschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und Praxis
Peter Tröger
 
Kryptographie Präsentation für den Kurs Online Kommunikation @ #WebWi
Kryptographie Präsentation für den Kurs Online Kommunikation @ #WebWiKryptographie Präsentation für den Kurs Online Kommunikation @ #WebWi
Kryptographie Präsentation für den Kurs Online Kommunikation @ #WebWi
mgoldb
 
EN 6.3: 4 Kryptographie
EN 6.3: 4 KryptographieEN 6.3: 4 Kryptographie
EN 6.3: 4 Kryptographie
Sven Wohlgemuth
 
Erasmus soest 2014
Erasmus soest 2014Erasmus soest 2014
Erasmus soest 2014
Ewa Kowalska
 
Las mejores imagenes de 2007
Las mejores imagenes de 2007Las mejores imagenes de 2007
Las mejores imagenes de 2007
lekue
 
FileMaker Go 12: Entwicklerhandbuch
FileMaker Go 12: EntwicklerhandbuchFileMaker Go 12: Entwicklerhandbuch
FileMaker Go 12: Entwicklerhandbuch
FileMaker GmbH
 
Ronald Schild: Bücher in der Cloud
Ronald Schild: Bücher in der CloudRonald Schild: Bücher in der Cloud
Ronald Schild: Bücher in der Cloud
Börsenverein des Deutschen Buchhandels
 

Recommandé

Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Warum verschlüsseln? Dein Leben - Deine Daten - Deine FreiheitWarum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Arian Kriesch
 
Verschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und PraxisVerschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und Praxis
Peter Tröger
 
Kryptographie Präsentation für den Kurs Online Kommunikation @ #WebWi
Kryptographie Präsentation für den Kurs Online Kommunikation @ #WebWiKryptographie Präsentation für den Kurs Online Kommunikation @ #WebWi
Kryptographie Präsentation für den Kurs Online Kommunikation @ #WebWi
mgoldb
 
EN 6.3: 4 Kryptographie
EN 6.3: 4 KryptographieEN 6.3: 4 Kryptographie
EN 6.3: 4 Kryptographie
Sven Wohlgemuth
 
Erasmus soest 2014
Erasmus soest 2014Erasmus soest 2014
Erasmus soest 2014
Ewa Kowalska
 
Las mejores imagenes de 2007
Las mejores imagenes de 2007Las mejores imagenes de 2007
Las mejores imagenes de 2007
lekue
 
FileMaker Go 12: Entwicklerhandbuch
FileMaker Go 12: EntwicklerhandbuchFileMaker Go 12: Entwicklerhandbuch
FileMaker Go 12: Entwicklerhandbuch
FileMaker GmbH
 
Ronald Schild: Bücher in der Cloud
Ronald Schild: Bücher in der CloudRonald Schild: Bücher in der Cloud
Ronald Schild: Bücher in der Cloud
Börsenverein des Deutschen Buchhandels
 
Sin Sonidos
Sin SonidosSin Sonidos
Sin Sonidos
misa2
 
Gladys
GladysGladys
Gladys
ecursocig
 
WEB 2.0
WEB 2.0WEB 2.0
WEB 2.0
Tanyklim
 
Netzpolitik - Die Machtfrage im Internet
Netzpolitik - Die Machtfrage im InternetNetzpolitik - Die Machtfrage im Internet
Netzpolitik - Die Machtfrage im Internet
Thomas Lohninger
 
Wo Oder Wohin
Wo Oder WohinWo Oder Wohin
Wo Oder Wohin
torip
 
Executive Business Breakfast
Executive Business BreakfastExecutive Business Breakfast
Executive Business Breakfast
emotion banking
 
DaF Blog Präsentation
DaF Blog PräsentationDaF Blog Präsentation
DaF Blog Präsentation
Eva Birger
 
Lut De Bruyne
Lut De BruyneLut De Bruyne
Lut De Bruyne
LutDeBruyne
 
Representaciones Visuales y Diseño de Experiencia de Usuario
Representaciones Visuales y Diseño de Experiencia de UsuarioRepresentaciones Visuales y Diseño de Experiencia de Usuario
Representaciones Visuales y Diseño de Experiencia de Usuario
Omar Sosa-Tzec
 
Introducción al
Introducción al Introducción al
Introducción al
Omar Sosa-Tzec
 
Giochifarwest2013
Giochifarwest2013Giochifarwest2013
Giochifarwest2013
Narcisa Busi
 
Bestech Ananda | Ananda
Bestech Ananda | AnandaBestech Ananda | Ananda
Bestech Ananda | Ananda
Invest Gurgaon Properties
 
130313 fo wisnet ikt nrw iu k tag 190213 01
130313 fo wisnet ikt nrw iu k tag 190213 01130313 fo wisnet ikt nrw iu k tag 190213 01
130313 fo wisnet ikt nrw iu k tag 190213 01
ErichBehrendt
 
B rnext präsentation gpa-djp bv
B rnext präsentation gpa-djp bvB rnext präsentation gpa-djp bv
B rnext präsentation gpa-djp bv
Werner Drizhal
 
The variables for excellent color quality
The variables for excellent color qualityThe variables for excellent color quality
The variables for excellent color quality
WAN-IFRA
 
Declaración de la pintana. 23 nov-1
Declaración de la pintana. 23 nov-1Declaración de la pintana. 23 nov-1
Declaración de la pintana. 23 nov-1
asalinasc
 
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
Carsten Cordes
 
Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)
tschikarski
 
JavaScript Days 2015: Security
JavaScript Days 2015: SecurityJavaScript Days 2015: Security
JavaScript Days 2015: Security
Mayflower GmbH
 
HTTPS
HTTPSHTTPS
HTTPS
Stephan Lindauer
 
BetterCrypto: Applied Crypto Hardening
BetterCrypto: Applied Crypto HardeningBetterCrypto: Applied Crypto Hardening
BetterCrypto: Applied Crypto Hardening
Aaron Zauner
 
Transportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPSTransportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPS
Markus Groß
 

Contenu connexe

En vedette

Sin Sonidos
Sin SonidosSin Sonidos
Sin Sonidos
misa2
 
Wo Oder Wohin
Wo Oder WohinWo Oder Wohin
Wo Oder Wohin
torip
 
DaF Blog Präsentation
DaF Blog PräsentationDaF Blog Präsentation
DaF Blog Präsentation
Eva Birger
 
Bestech Ananda | Ananda
Bestech Ananda | AnandaBestech Ananda | Ananda
Bestech Ananda | Ananda
Invest Gurgaon Properties
 
130313 fo wisnet ikt nrw iu k tag 190213 01
130313 fo wisnet ikt nrw iu k tag 190213 01130313 fo wisnet ikt nrw iu k tag 190213 01
130313 fo wisnet ikt nrw iu k tag 190213 01
ErichBehrendt
 
B rnext präsentation gpa-djp bv
B rnext präsentation gpa-djp bvB rnext präsentation gpa-djp bv
B rnext präsentation gpa-djp bv
Werner Drizhal
 

En vedette (16)

Sin Sonidos
Sin SonidosSin Sonidos
Sin Sonidos
 
Gladys
GladysGladys
Gladys
 
WEB 2.0
WEB 2.0WEB 2.0
WEB 2.0
 
Netzpolitik - Die Machtfrage im Internet
Netzpolitik - Die Machtfrage im InternetNetzpolitik - Die Machtfrage im Internet
Netzpolitik - Die Machtfrage im Internet
 
Wo Oder Wohin
Wo Oder WohinWo Oder Wohin
Wo Oder Wohin
 
Executive Business Breakfast
Executive Business BreakfastExecutive Business Breakfast
Executive Business Breakfast
 
DaF Blog Präsentation
DaF Blog PräsentationDaF Blog Präsentation
DaF Blog Präsentation
 
Lut De Bruyne
Lut De BruyneLut De Bruyne
Lut De Bruyne
 
Representaciones Visuales y Diseño de Experiencia de Usuario
Representaciones Visuales y Diseño de Experiencia de UsuarioRepresentaciones Visuales y Diseño de Experiencia de Usuario
Representaciones Visuales y Diseño de Experiencia de Usuario
 
Introducción al
Introducción al Introducción al
Introducción al
 
Giochifarwest2013
Giochifarwest2013Giochifarwest2013
Giochifarwest2013
 
Bestech Ananda | Ananda
Bestech Ananda | AnandaBestech Ananda | Ananda
Bestech Ananda | Ananda
 
130313 fo wisnet ikt nrw iu k tag 190213 01
130313 fo wisnet ikt nrw iu k tag 190213 01130313 fo wisnet ikt nrw iu k tag 190213 01
130313 fo wisnet ikt nrw iu k tag 190213 01
 
B rnext präsentation gpa-djp bv
B rnext präsentation gpa-djp bvB rnext präsentation gpa-djp bv
B rnext präsentation gpa-djp bv
 
The variables for excellent color quality
The variables for excellent color qualityThe variables for excellent color quality
The variables for excellent color quality
 
Declaración de la pintana. 23 nov-1
Declaración de la pintana. 23 nov-1Declaración de la pintana. 23 nov-1
Declaración de la pintana. 23 nov-1
 

Similaire à Comodogate

IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
Carsten Cordes
 
BetterCrypto: Applied Crypto Hardening
BetterCrypto: Applied Crypto HardeningBetterCrypto: Applied Crypto Hardening
BetterCrypto: Applied Crypto Hardening
Aaron Zauner
 
Transportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPSTransportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPS
Markus Groß
 

Similaire à Comodogate (6)

IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
 
Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)
 
JavaScript Days 2015: Security
JavaScript Days 2015: SecurityJavaScript Days 2015: Security
JavaScript Days 2015: Security
 
HTTPS
HTTPSHTTPS
HTTPS
 
BetterCrypto: Applied Crypto Hardening
BetterCrypto: Applied Crypto HardeningBetterCrypto: Applied Crypto Hardening
BetterCrypto: Applied Crypto Hardening
 
Transportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPSTransportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPS
 

Comodogate

  • 1. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Comodogate ?!? Version 1.1 2. April 2011
  • 2. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Inhalt Inhalt
  • 3. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Inhalt Inhalt SSL-Grundlagen Symmetrische Kryptografie Asymmetrische Kryptografie Public key infrastructure
  • 4. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Inhalt Inhalt SSL-Grundlagen Symmetrische Kryptografie Asymmetrische Kryptografie Public key infrastructure Der Hack Gef¨lschte Zertifikate a (Wo)man In The Middle Wie kann so etwas passieren?
  • 5. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Inhalt Inhalt SSL-Grundlagen Symmetrische Kryptografie Asymmetrische Kryptografie Public key infrastructure Der Hack Gef¨lschte Zertifikate a (Wo)man In The Middle Wie kann so etwas passieren? L¨sungen o Zertifikate widerrufen TOFU/POP DNSSEC Perspectives
  • 6. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Inhalt Inhalt SSL-Grundlagen Symmetrische Kryptografie Asymmetrische Kryptografie Public key infrastructure Der Hack Gef¨lschte Zertifikate a (Wo)man In The Middle Wie kann so etwas passieren? L¨sungen o Zertifikate widerrufen TOFU/POP DNSSEC Perspectives Was kann *ich* tun?
  • 7. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Symmetrische Kryptografie Ver- und Entschl¨sselung mit dem selben Schl¨ssel u u (DES, 3DES, AES, RC4, ...)
  • 8. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Asymmetrische Kryptografie Verschl¨sselung mit dem ¨ffentlichen Schl¨ssel des Empf¨ngers. u o u a Entschl¨sselung mit dem geheimen Schl¨ssel des Empf¨ngers. u u a Signieren genau umgekehrt.
  • 9. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Public key infrastructure ¨ Offentlicher Schl¨ssel wird in einem Zertifikat gespeichert. u Echte Zertifikate werden von der Root CA ”unterschrieben”. Root CA-Zertifikat wird mit OS/Browser mitgeliefert.
  • 10. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Gef¨lschte Zertifikate a Hacker hat sich durch eine L¨cke in einer RA folgende Zertifikate u ausstellen lassen k¨nnen: o • mail.google.com (GMail) • login.live.com (Hotmail et al) • www.google.com • login.yahoo.com (drei Zertifikate) • login.skype.com • addons.mozilla.org (Firefox extensions) • Global Trustee
  • 11. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? (Wo)man In The Middle Falls Traffic uber den Angreifer umgeleitet werden kann → :/ ¨
  • 12. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren?
  • 13. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren? • Niemand will schuld sein...
  • 14. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren? • Niemand will schuld sein... • Browser will Benutzer nicht mit Fehlermeldungen nerven → eher liberal
  • 15. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren? • Niemand will schuld sein... • Browser will Benutzer nicht mit Fehlermeldungen nerven → eher liberal • Browser m¨ssen uber Vertrauen entscheiden → eher liberal u ¨ (z.B.:CNNIC)
  • 16. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren? • Niemand will schuld sein... • Browser will Benutzer nicht mit Fehlermeldungen nerven → eher liberal • Browser m¨ssen uber Vertrauen entscheiden → eher liberal u ¨ (z.B.:CNNIC) • Systemadmins wollen keinen Aufwand. → nichts ¨ndert sich. a
  • 17. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren? • Niemand will schuld sein... • Browser will Benutzer nicht mit Fehlermeldungen nerven → eher liberal • Browser m¨ssen uber Vertrauen entscheiden → eher liberal u ¨ (z.B.:CNNIC) • Systemadmins wollen keinen Aufwand. → nichts ¨ndert sich. a • CAs geben Implementierungen die Schuld. → nichts ¨ndert a sich.
  • 18. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Zertifikate widerrufen • Einfachste Reaktion.
  • 19. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Zertifikate widerrufen • Einfachste Reaktion. ¨ • Uberpr¨fung via Certificate Revocation Lists u
  • 20. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Zertifikate widerrufen • Einfachste Reaktion. ¨ • Uberpr¨fung via Certificate Revocation Lists u • oder Online Certificate Status Protocol
  • 21. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Zertifikate widerrufen • Einfachste Reaktion. ¨ • Uberpr¨fung via Certificate Revocation Lists u • oder Online Certificate Status Protocol ¨ • Uberpr¨fung h¨ngt von Implementierung ab (think mobile u a devices)
  • 22. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? TOFU/POP Trust on first use/then popup ”Certificate Patrol” Quelle: https://addons.mozilla.org/de/firefox/addon/certificate-patrol/
  • 23. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? TOFU/POP Quelle: https://addons.mozilla.org/de/firefox/addon/certificate-patrol/
  • 24. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? DNSSEC Quelle: http(s)://dankaminsky.com/ DNS sicher? → Zertifikat mit DNS abfragen!
  • 25. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Perspectives Quelle: https://www.networknotary.org/ Mehrere Server im Internet fragen → MITM erkennbar.
  • 26. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Was kann *ich* tun?
  • 27. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Was kann *ich* tun? • Probleme verstehen → sich informieren!
  • 28. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Was kann *ich* tun? • Probleme verstehen → sich informieren! • Entsprechende Plugins installieren und unterst¨tzen! u (Certivicate Patrol, Perspectives, ...)
  • 29. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Was kann *ich* tun? • Probleme verstehen → sich informieren! • Entsprechende Plugins installieren und unterst¨tzen! u (Certivicate Patrol, Perspectives, ...) • DNSSEC einsetzen und pushen! (z.B.: Phreebird (zeroconfig proxy by Dan Kaminsky))
  • 30. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Was kann *ich* tun? • Probleme verstehen → sich informieren! • Entsprechende Plugins installieren und unterst¨tzen! u (Certivicate Patrol, Perspectives, ...) • DNSSEC einsetzen und pushen! (z.B.: Phreebird (zeroconfig proxy by Dan Kaminsky)) • Weitererz¨hlen. a
  • 31. Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Thomas Steinbrenner, B.Sc. http(s)://www.thomas-steinbrenner.net https://twitter.com/#!/Tie fighter Feel free to share this! Creative Commons - Attribution