Security-WebinarDezember 2015

Dr. Christopher Kunz, filoo GmbH

Ihr Webinar-Team

_ Referent:Dr.ChristopherKunz_ CEOHostingfilooGmbH/TKAG_ PromotionITSecurity_ VorträgeaufKonferenzen_ AutorvonArtikeln&Büchern

_Moderation:SibylleBlöchl_MarketingThomas-Krenn.AG_ SammeltFragen/Feedback

Security-Webinar Dezember 2015

filoo GmbH

_Wir sind die Hosting-Tochter der Thomas-Krenn.AG_ Sicheres, hochperformantes Hosting in Frankfurt_ Mitarbeiter in Gütersloh und Freyung

_ Primärer Rechenzentrumsstandort Frankfurt_ Tier3, ISO 27001_ Fläche in zwei Brandabschnitten

_Managed Services_ Planung & Deployment_ Security Services_ Systemadministration

Security-Webinar Dezember 2015

Agenda

_ SecurityimNovember/Dezember_ OpenSSL SecurityAdvisory_ DellschießtsichinsKnie_ Let‘s Encrypt_ Security-BugsinSpielzeug_ Telekom-Volksverschlüsselung

_ Jahresrückblick_ Security-BugdesJahres_ Zahlen&Fakten

Security-Webinar Dezember 2015

OpenSSL Security

_Mathemathischer Fehler_ MachtRechenoperationenetwasangreifbarer_ KeinepraktischenAuswirkungenbefürchtet_ Betroffen:1.0.1(<q)und1.0.2(<e)

_ Denial of ServicegegenZertifikatsprüfung_ VerifikationvonX.509-ZertifikatenkannzumAbsturzgebrachtwerden

_ JedeAnwendung,diedastut,istverwundbar_ API-Anbindungen, X.509-LoginzuWeb-GUIs,SMTPmitTLS,...

_ Betroffen:0.9.8(<zh),1.0.0(<t),1.0.1(<q),1.0.2(<e)_ PSKRace-Condition undmöglicherDoS inKey-Exchange

_ Gefahrstufe:Niedrig_ Außerdem:OpenSSL 0.9.8und1.0.0abgekündigt!

_ Dasbetrifftu.a.DebianSqueeze!

Security-Webinar Dezember 2015

Dell SSL GAU

_DellinstallierteigeneCAaufLaptops_ VertrauenswürdigeCA– kannbeliebigeZertifikateausstellen

_ SokannDellZertifikatefürMITMausstellen_ ...abernichtnurDell,denn:_ PrivateKeydesCA-Zertifikatswarauchvorinstalliert

_DiverseHotfixesvonDellundanderen_MicrosofthatPatchesherausgegeben

_ SecurityAdvisory3119884_ „DellSystem Detect“installiert noch ein solchesZertifikat

Security-Webinar Dezember 2015

Dell Foundation Bug

_DellFoundation ServicessindzuServicezweckeninstalliert_ ÖffnenWebserver aufPort7779_ EingehendeRequests müsseneigentlichsigniertsein_ ...außerbeieinerbestimmtenJSONAPI_ HierkanndasDellServiceTagremoteausgelesenwerden

_Auswirkungen_ Dell-PC-Besitzer könnenremoteidentifiziertwerden

_DellgelobtBesserungundtauschtAPIaus_ ...durcheine,dienochmehrInformationenpreisgibt

Security-Webinar Dezember 2015

Let‘s Encrypt

_NeueCA(Initiatorenu.a.EFF,Mozilla,Akamai,Cisco)_ VerteiltkostenloseTLS-Zertifikate_ PublicBetaseitAnfangDezember

_Motto:Zertifikatesoeinfachwiemöglich_ EsgibteinenUnix-ClientinPython

_ Github:letsencrypt/letsencrypt_ Deristnochbuggy_ Use Cases:Apache,(nginx),Standalone

_VerifizierungdesZertifikatsüberWebserver_ Zertifikatenurkurzgültig(90Tage)

Security-Webinar Dezember 2015

Let‘s Encrypt Verfahren

Security-Webinar Dezember 2015

Quelle:letsencrypt.org

Let‘s Encrypt Demo

Security-Webinar Dezember 2015

Security-Webinar Dezember 2015

Security-Webinar Dezember 2015

Security-Webinar Dezember 2015

Security-Webinar Dezember 2015

Security-Webinar Dezember 2015

Security-Webinar Dezember 2015

Geowntes Spielzeug

_ vTech isteinLernspielzeughersteller_ BetreibteigenesPortalfürKindermitAppstore&Chat_ Zugangs- undProfildatenwurdengestohlen_ BetroffeninD:900.000Konten

_ „Hello Barbie“mitSpracherkennung_UnsichereImplementierung_AngeblicheDatenlecks

Security-Webinar Dezember 2015

Volksverschlüsselung

_ Ende-zu-Ende-VerschlüsselungfürE-Mail_ KooperationmitFraunhoferSIT_Unterstützt:WindowsundOutlook/Tbird_ Später:Android,iOS,Linux,OSX,weitereMailclients_ TechnischeBasis:S/MIMEmitX.509-Zertifikaten_OpenSource!

Security-Webinar Dezember 2015

Jahresrückblick

Security-Webinar Dezember 2015

Quelle: OSVDB

2015 in Webinarzahlen

_Webinare: 11_ SommerpauseimJuli_ 2pre-recorded

_ Slides:173_MeistauffälligeAnwendungen:

_Wordpress- 5_ Virtualisierung(Xen,Citrix,KVM,vmWare)– 4_ SSL/OpenSSL – 3_ Typo3,Magento,glibc,Drupal,Froxlor,Joomla- 1

Security-Webinar Dezember 2015

Seltsamste Slide des Jahres_ $=~[];$={___:++$,$$$$:(![]+"")[$],__$:++$,$_$_:(![]+"")[$],_$_:++$,$_$$:({}+"")[$],$$_$:($[$]+"")[$],_$$:++$,$$$_:(!""+"")[$],$__:++$,$_$:++$,$$__:({}+"")[$],$$_:++$,$$$:++$,$___:++$,$__$:++$};$.$_=($.$_=$+"")[$.$_$]+($._$=$.$_[$.__$])+($.$$=($.$+"")[$.__$])+((!$)+"")[$._$$]+($.__=$.$_[$.$$_])+($.$=(!""+"")[$.__$])+($._=(!""+"")[$._$_])+$.$_[$.$_$]+$.__+$._$+$.$;$.$$=$.$+(!""+"")[$._$$]+$.__+$._+$.$+$.$$;$.$=($.___)[$.$_][$.$_];$.$($.$($.$$+"\""+$.$_$_+(![]+"")[$._$_]+$.$$$_+"\\"+$.__$+$.$$_+$._$_+$.__+"(\\\"\\"+$.__$+$.__$+$.___+$.$_$_+(![]+"")[$._$_]+(![]+"")[$._$_]+$._$+"\\"+$.$__+$.___+"\\"+$.__$+$._$_+$.$$$+$.$$$_+$.$_$$+"\\"+$.__$+$.$_$+$.__$+"\\"+$.__$+$.$_$+$.$$_+$.$_$_+"\\"+$.__$+$.$$_+$._$_+"\\\"\\"+$.$__+$.___+")"+"\"")())();

Security-Webinar Dezember 2015

Lücke des Jahres

Security-Webinar Dezember 2015

_Ghost-Lücke_ Lückeinglibc_ Pufferüberlauf ineinerDNS-Funktion_ SehrlangerHostnameinExim triggertBuffer Overflow_DamitkannmaneigenenCodeausführen_ LückedesJahreswegenImpactundKreativität

Vorschau

_NächsterTermin:13.01.2016

_ IchfreuemichaufIhreThemenvorschläge!

Security-Webinar Dezember 2015

Vielen Dank

_ IchfreuemichaufIhreThemenvorschlägeundFragen!

_ Kontaktdaten:_ E-Mail:chris@filoo.de_ Telefon:05241/86730-0

_ BesuchenSiefiloo!_ https://www.filoo.de/_ http://twitter.com/filoogmbh

Security-Webinar Dezember 2015