![Page 1: Security-Webinar · Asymmetrische Verschlüsselung _Alice & Bob haben privaten und öffentlichen Schlüssel _Alice will mit Bob kommunizieren ... Vorschau _Nächster Termin: 09.12.2015](https://reader033.vdokument.com/reader033/viewer/2022041510/5e276e5ef7a3c83c8a1a53f5/html5/thumbnails/1.jpg)
Security-WebinarNovember 2015
Dr. Christopher Kunz, filoo GmbH
![Page 2: Security-Webinar · Asymmetrische Verschlüsselung _Alice & Bob haben privaten und öffentlichen Schlüssel _Alice will mit Bob kommunizieren ... Vorschau _Nächster Termin: 09.12.2015](https://reader033.vdokument.com/reader033/viewer/2022041510/5e276e5ef7a3c83c8a1a53f5/html5/thumbnails/2.jpg)
Ihr Webinar-Team
_ Referent:Dr.ChristopherKunz_ CEOHostingfilooGmbH/TKAG_ PromotionITSecurity_ VorträgeaufKonferenzen_ AutorvonArtikeln&Büchern
_Moderation:SibylleBlöchl_MarketingThomas-Krenn.AG_ SammeltFragen/Feedback
Security-Webinar November 2015
![Page 3: Security-Webinar · Asymmetrische Verschlüsselung _Alice & Bob haben privaten und öffentlichen Schlüssel _Alice will mit Bob kommunizieren ... Vorschau _Nächster Termin: 09.12.2015](https://reader033.vdokument.com/reader033/viewer/2022041510/5e276e5ef7a3c83c8a1a53f5/html5/thumbnails/3.jpg)
filoo GmbH
_Wir sind die Hosting-Tochter der Thomas-Krenn.AG_ Sicheres, hochperformantes Hosting in Frankfurt_ Mitarbeiter in Gütersloh und Freyung
_ Primärer Rechenzentrumsstandort Frankfurt_ Tier3, ISO 27001_ Fläche in zwei Brandabschnitten
_Managed Services_ Planung & Deployment_ Security Services_ Systemadministration
Security-Webinar November 2015
![Page 4: Security-Webinar · Asymmetrische Verschlüsselung _Alice & Bob haben privaten und öffentlichen Schlüssel _Alice will mit Bob kommunizieren ... Vorschau _Nächster Termin: 09.12.2015](https://reader033.vdokument.com/reader033/viewer/2022041510/5e276e5ef7a3c83c8a1a53f5/html5/thumbnails/4.jpg)
Agenda
_ SecurityimOktober/November_ Java0days_ Safe-Harbourgekippt_ Security-BugsinTypo3/Wordpress_MalwareinXcode_ JoomlaSecurity_ Xen VM-Ausbruch
_ SchwerpunktthemaVerschlüsselung_ Verschlüsselungrichtignutzen– waswofür?_ VerschlüsselteE-Mailmitfiloo Webmail_ AktuelleSecurity-VorfällemitVerschlüsselung
Security-Webinar November 2015
![Page 5: Security-Webinar · Asymmetrische Verschlüsselung _Alice & Bob haben privaten und öffentlichen Schlüssel _Alice will mit Bob kommunizieren ... Vorschau _Nächster Termin: 09.12.2015](https://reader033.vdokument.com/reader033/viewer/2022041510/5e276e5ef7a3c83c8a1a53f5/html5/thumbnails/5.jpg)
Java 0days
_ SicherheitsprobleminbeliebterBibliothekssammlung_ „CommonCollections“_ ProbleminSerialisierungsroutinen
_ BetrifftvieleJava-(Server-)Anwendungen_ Weblogic_ WebSphere_ Jboss_ Jenkins_ OpenNMS
_ SehrdetaillierteBeschreibung:http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/
Security-Webinar November 2015
![Page 6: Security-Webinar · Asymmetrische Verschlüsselung _Alice & Bob haben privaten und öffentlichen Schlüssel _Alice will mit Bob kommunizieren ... Vorschau _Nächster Termin: 09.12.2015](https://reader033.vdokument.com/reader033/viewer/2022041510/5e276e5ef7a3c83c8a1a53f5/html5/thumbnails/6.jpg)
Safe Harbor gekippt
_ Safe-Harbor-Abkommenzw.EUundUSAgekippt_ NachKlageeinesÖsterreichersu.a.gegenFacebook
_ÜbertragungpersönlicherDateninUSAgrundrechtswidrig_ VerstoßgegenArt.7derEU-Charta
_ EinschätzungSchaar:KeineeinfacheLösung_ Sog.StandardvertragsklauselnundBindingCorporateRulesebenfallsgrundrechtswidrig_ ExpliziteEinwilligungdesNutzersvermutlichunwirksam_ EuropäischeServervonUS-UnternehmenebenfallsUS-Jurisdiktionunterworfen
Security-Webinar November 2015
![Page 7: Security-Webinar · Asymmetrische Verschlüsselung _Alice & Bob haben privaten und öffentlichen Schlüssel _Alice will mit Bob kommunizieren ... Vorschau _Nächster Termin: 09.12.2015](https://reader033.vdokument.com/reader033/viewer/2022041510/5e276e5ef7a3c83c8a1a53f5/html5/thumbnails/7.jpg)
Safe Harbor – und nun?
_ KundendatennichtinUSAspeichernundverarbeitenlassen_ GoogleDrive,Dropbox,Amazon..._ Salesforce_ Evernote
_Womöglich,aufEU-Speicherungbestehen_ EinigeAnbieterhabenWahlmöglichkeit_ Festlegungfordern!
_ Cloud-HostinginDeutschland_ ...gibt‘sbeifiloo!
Security-Webinar November 2015
![Page 8: Security-Webinar · Asymmetrische Verschlüsselung _Alice & Bob haben privaten und öffentlichen Schlüssel _Alice will mit Bob kommunizieren ... Vorschau _Nächster Termin: 09.12.2015](https://reader033.vdokument.com/reader033/viewer/2022041510/5e276e5ef7a3c83c8a1a53f5/html5/thumbnails/8.jpg)
XSS in Typo3, Wordpress
_ Cross-SiteScriptinginTypo3_ SpeziellpräparierterLinksinsBackendkannJSenthalten_ Besondersgefährlich:Administratoren/Redakteureangreifen_ Angreifbar:Typo36.2.0bis6.2.14,7.0.0bis7.3.0
_ XSSinWordpress_ VerarbeitungvonShortcodesangreifbar_ Nutzerkontenlisteauch
_ LückeimRechtesystem_ PrivatePostsöffentlichmachen_ Nutzerkontoerforderlich
_ Updateauf4.3.1dringendempfohlen
Security-Webinar November 2015
![Page 9: Security-Webinar · Asymmetrische Verschlüsselung _Alice & Bob haben privaten und öffentlichen Schlüssel _Alice will mit Bob kommunizieren ... Vorschau _Nächster Termin: 09.12.2015](https://reader033.vdokument.com/reader033/viewer/2022041510/5e276e5ef7a3c83c8a1a53f5/html5/thumbnails/9.jpg)
Malware in XCode
_ FieseLeutehabenMalwareinXcode eingebaut..._ ...unddanndiese(raubkopierte)VersioninChinaverteilt_ AberXcode istdochkostenlos?_ Ja,abernichtfreiinChinaverfügbar!
_DieseMalwarewirdinApp-Codeübertragen_ DieAppsführenunerwünschteAktionenaus_ Clipboardauslesen_ Phishing_ Allerdings(noch)inaktiv
_MehrereHundertchinesischeAppsbetroffen
Security-Webinar November 2015
![Page 10: Security-Webinar · Asymmetrische Verschlüsselung _Alice & Bob haben privaten und öffentlichen Schlüssel _Alice will mit Bob kommunizieren ... Vorschau _Nächster Termin: 09.12.2015](https://reader033.vdokument.com/reader033/viewer/2022041510/5e276e5ef7a3c83c8a1a53f5/html5/thumbnails/10.jpg)
Joomla SQL Injection
_ Seit22.10.neuerSQLInjection 0dayfürJoomla_ SeitdemauchmassiveExploitversuche_ Automatisierunginkl.False-Positive-Filter_ Betroffen:Joomla3.X(X<4.5)
_ /index.php?option=com_contenthistory&view=history&list[ordering]=&item_id=75&type_id=1%20&list[select]=%20(select%201%20FROM(select%20count(*),concat((select%20(select%20concat(session_id))%20FROM%20jml_session%20LIMIT%200,1),floor(rand(0)*2))x%20FROM%20information_schema.tables%20GROUP%20BY%20x)a)
Security-Webinar November 2015
![Page 11: Security-Webinar · Asymmetrische Verschlüsselung _Alice & Bob haben privaten und öffentlichen Schlüssel _Alice will mit Bob kommunizieren ... Vorschau _Nächster Termin: 09.12.2015](https://reader033.vdokument.com/reader033/viewer/2022041510/5e276e5ef7a3c83c8a1a53f5/html5/thumbnails/11.jpg)
XEN VM-Ausbruch
_ LückeinSpeicherverwaltung fürXen-Gäste(VMs)_ Xen 3.4x86_ 32und64Bit
_Auswirkungen:AusbruchausVM_ KontrolledesHostsystems
_ (Wenig)mehrInfos:XSA-148_ http://xenbits.xen.org/xsa/advisory-148.html
Security-Webinar November 2015
![Page 12: Security-Webinar · Asymmetrische Verschlüsselung _Alice & Bob haben privaten und öffentlichen Schlüssel _Alice will mit Bob kommunizieren ... Vorschau _Nächster Termin: 09.12.2015](https://reader033.vdokument.com/reader033/viewer/2022041510/5e276e5ef7a3c83c8a1a53f5/html5/thumbnails/12.jpg)
Schwerpunkt Verschlüsselung_ SymmetrischeVerschlüsselung
_ EsexistierteinSchlüssel,denbeidevorabkennenmüssen_ AlleDatenwerdengegendiesenSchlüsselverschlüsselt_ Sehrschnell_ Verwendetu.a.inTLS
_
_AsymmetrischeVerschlüsselung_ JederNutzerhateinenöffentlichenundprivatenSchlüssel_MitdemöffentlichenSchlüsselwirdverschlüsselt_MitdemprivatenSchlüsselwirdentschlüsselt_ DeutlichlangsameralssymmetrischeKryptographie
Security-Webinar November 2015
![Page 13: Security-Webinar · Asymmetrische Verschlüsselung _Alice & Bob haben privaten und öffentlichen Schlüssel _Alice will mit Bob kommunizieren ... Vorschau _Nächster Termin: 09.12.2015](https://reader033.vdokument.com/reader033/viewer/2022041510/5e276e5ef7a3c83c8a1a53f5/html5/thumbnails/13.jpg)
Wofür welche Verschlüsselung?_ Transportverschlüsselung
_ IPSec_ SSL/TLS_ ...
_ Ende-zu-Ende-Verschlüsselung_ PGP/GnuPG_ S/MIME
_ TransparenteVerschlüsselung_ Crypto-Filesysteme_ Datenbankverschlüsselung(MariaDB,...)
Security-Webinar November 2015
![Page 14: Security-Webinar · Asymmetrische Verschlüsselung _Alice & Bob haben privaten und öffentlichen Schlüssel _Alice will mit Bob kommunizieren ... Vorschau _Nächster Termin: 09.12.2015](https://reader033.vdokument.com/reader033/viewer/2022041510/5e276e5ef7a3c83c8a1a53f5/html5/thumbnails/14.jpg)
Asymmetrische Verschlüsselung_Alice&BobhabenprivatenundöffentlichenSchlüssel_AlicewillmitBobkommunizieren
_ SiegibtBobihrenöffentlichenSchlüssel_ Bobgibtihrseinen
_AliceschreibtdieNachrichtundverschlüsseltsiemitBobsöffentlichemSchlüssel_ ErbrauchtseinenprivatenSchlüsselzumEntschlüsseln
_AlicesigniertdieNachrichtmitihremprivatenSchlüssel_ BobbrauchtihrenöffentlichenSchlüsselzumPrüfen
Security-Webinar November 2015
![Page 15: Security-Webinar · Asymmetrische Verschlüsselung _Alice & Bob haben privaten und öffentlichen Schlüssel _Alice will mit Bob kommunizieren ... Vorschau _Nächster Termin: 09.12.2015](https://reader033.vdokument.com/reader033/viewer/2022041510/5e276e5ef7a3c83c8a1a53f5/html5/thumbnails/15.jpg)
Verschlüsselung falsch
_ Belkin baut„smarte“LichtschalteraufLinuxbasis..._ ...undvergißt einenprivatenGPG-Schlüsseldarin_MitdiesemwardieFirmwaresigniert_ SomitkönnenAngreifereigeneFirmwares einspielen_ Exploits füreinenLichtschalter?
_D-LinkbautÜberwachungskamera..._ ...undvergißt einCode-Signing-ZertifikatnebstKey..._ SomitkönnenAngreiferWindows-SchadcodeinD-LinksNamenveröffentlichen_ Zertifikatbereitsrevoked
Security-Webinar November 2015
![Page 16: Security-Webinar · Asymmetrische Verschlüsselung _Alice & Bob haben privaten und öffentlichen Schlüssel _Alice will mit Bob kommunizieren ... Vorschau _Nächster Termin: 09.12.2015](https://reader033.vdokument.com/reader033/viewer/2022041510/5e276e5ef7a3c83c8a1a53f5/html5/thumbnails/16.jpg)
Verschlüsselung vs. Hashing_ Prüfsummen/Hashes sindKEINEVerschlüsselung!
_ EsgibttheoretischunendlichvieleKlartextefürdenselbenCiphertext_ One-Way-Funktion:EsgibtkeinenWegzurück
_HashfunktionenerfüllenzentraleAufgabeninCrypto_ DigitaleSignatur:HasheinesTexteswirdverschlüsselt_ModifiziereichdieOriginal-Nachricht,ändertderHashsich_ KannichdenselbenHashfürandereNachrichterzeugen?_ Ichkann.à Hash-Kollision
Security-Webinar November 2015
![Page 17: Security-Webinar · Asymmetrische Verschlüsselung _Alice & Bob haben privaten und öffentlichen Schlüssel _Alice will mit Bob kommunizieren ... Vorschau _Nächster Termin: 09.12.2015](https://reader033.vdokument.com/reader033/viewer/2022041510/5e276e5ef7a3c83c8a1a53f5/html5/thumbnails/17.jpg)
SHA1-Hashkollision
_ SHA-1istu.A. derHashalgorithmusfürvieleSSL-Zertifikate_ ErfolgreicherAngriffdurchbritischeForscher
_ Clustermit64GPUs
_MöglichepraktischeAuswirkung:GefälschteSSL-Zertifikate_ BesitzervonSHA-1-signiertenZertifikatensolltensietauschen_Meist(jenachCA)kostenlos
Security-Webinar November 2015
![Page 18: Security-Webinar · Asymmetrische Verschlüsselung _Alice & Bob haben privaten und öffentlichen Schlüssel _Alice will mit Bob kommunizieren ... Vorschau _Nächster Termin: 09.12.2015](https://reader033.vdokument.com/reader033/viewer/2022041510/5e276e5ef7a3c83c8a1a53f5/html5/thumbnails/18.jpg)
Sichere E-Mail
_ SichereE-MailwarletztenMonatThema_ Ichhabenochetwasnachgearbeitet...
_ Ende-zu-Ende-Verschlüsselungmuß imMail-Clientpassieren_ Sonstkannjemandmithören...
_DasgehtmitPGPundeinemBrowser-Plugin_ Funktioniertprimaimfiloo Webmailer!
Security-Webinar November 2015
![Page 19: Security-Webinar · Asymmetrische Verschlüsselung _Alice & Bob haben privaten und öffentlichen Schlüssel _Alice will mit Bob kommunizieren ... Vorschau _Nächster Termin: 09.12.2015](https://reader033.vdokument.com/reader033/viewer/2022041510/5e276e5ef7a3c83c8a1a53f5/html5/thumbnails/19.jpg)
Sichere E-Mail bei filoo
Security-Webinar November 2015
![Page 20: Security-Webinar · Asymmetrische Verschlüsselung _Alice & Bob haben privaten und öffentlichen Schlüssel _Alice will mit Bob kommunizieren ... Vorschau _Nächster Termin: 09.12.2015](https://reader033.vdokument.com/reader033/viewer/2022041510/5e276e5ef7a3c83c8a1a53f5/html5/thumbnails/20.jpg)
Vorschau
_NächsterTermin:09.12.2015
_ IchfreuemichaufIhreThemenvorschläge!
Security-Webinar November 2015
![Page 21: Security-Webinar · Asymmetrische Verschlüsselung _Alice & Bob haben privaten und öffentlichen Schlüssel _Alice will mit Bob kommunizieren ... Vorschau _Nächster Termin: 09.12.2015](https://reader033.vdokument.com/reader033/viewer/2022041510/5e276e5ef7a3c83c8a1a53f5/html5/thumbnails/21.jpg)
Vielen Dank
_ IchfreuemichaufIhreThemenvorschlägeundFragen!
_ Kontaktdaten:_ E-Mail:[email protected]_ Telefon:05241/86730-0
_ BesuchenSiefiloo!_ https://www.filoo.de/_ http://twitter.com/filoogmbh
Security-Webinar November 2015