Hur man kan testa sin
HTTPS-server
Michael Boman
Omegapoint AB
Bakgrund
• Jag saknade ett bra verktyg för att utföra
OWASP-CM-001 tester (Testing for SSL-TLS,
OWASP Testing Guide)
o Kun...
Bakgrund (2)
• Skriv om SSLAudit eller porta SSLScan?
o http://sourceforge.net/projects/sslscan/
• Portade SSLScan till Wi...
Vad är det vi letar efter igen....?
Protokoll:
• SSLv2 har inget skydd mot
man-in-the-middle attacker
• SSLv2 använder sam...
SSLSCAN IN ACTION, SINGLE
INSTANCE
Demo
Varför skanna en massa HTTPS-
servrar?
• Jag upptäckte att vissa organisationer hade
väldigt dåliga HTTPS-inställningar, ä...
Första försöket
• En instans med en stor samling av servrar
• Tog en evighet och var inte stabilt
• Kunde inte lätt fortsä...
Andra försöket
• Multipla instanser med ett fåtal servrar
vadera
• Mycket snabbare, men tar fortfarande en
evighet att kör...
Tredje försöket
• Använde Amazon AWS
• SQS (Simple Queueing service) för att hantera
jobb
• S3 (Simple Storage Service) fö...
Fjärde försöket
• Lade till Amazon EC2 till lösningen
• Nu har jag (teoretiskt) obegränsat antal
system att scanna från
• ...
Fjärde försöket: skanner design
Fjärde försöket: skanner design
SSLSCAN PÅ AMAZON EC2
Demo
Den stora frågan
• Vilka är nyckel-faktorerna för att ha en bra
HTTPS-konfiguration?
– Pengar?
– Populäritet?
– Industri?
Resultatet…
Så vad upptäckte jag?
Detaljer om data-insammlandet
• Alexa lista från 18 Apr 2010
• Fortune 500 (2010)
• Data införskaffades 26 Apr 2010
Hur många av de testade servrarna
stödjer SSL/TLS till att börja med?
Money vs. Popularity:
HTTPS enabled?
Money vs. Popularity:
SSLv2 enabled? (= bad)
Money vs. Popularity:
0-bit keys being enabled?(=bad)
Money vs. Popularity:
Weak keys being enabled?(=bad)
Money vs. Popularity:
No auth kx being enabled?(=bad)
Money vs. Popularity:
Secure Session Renegotation?
Banker
Slutsats
• Vad datan berättade för mig är att
• Pengar (Fortune) verkar ha något att göra med
att HTTPS finns påslaget
• P...
Men den svenska marknaden då?
Jag arbetar tillsammans med .SE (Stiftelsen
för Internetinfrastruktur) för att få in samma
t...
Frågestund & Länkar
• Research website:
• http://sslresearch.michaelboman.org
• Rådata, dokumentation, skript and verktyg
...
Upcoming SlideShare
Loading in …5
×

Hur man kan testa sin HTTPS-server

1,496 views
1,433 views

Published on

Hur man kan testa sin HTTPS-server

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,496
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Hur man kan testa sin HTTPS-server

  1. 1. Hur man kan testa sin HTTPS-server Michael Boman Omegapoint AB
  2. 2. Bakgrund • Jag saknade ett bra verktyg för att utföra OWASP-CM-001 tester (Testing for SSL-TLS, OWASP Testing Guide) o Kunde inte hitta några som uppfyllde mina krav  Gratis (även för kommersiellt bruk)  Körs lokalt (dvs. inte en webbtjänst)  Fungerar på Windows • Utvecklade SSLAudit i Perl (GPL) o http://code.google.com/p/sslaudit/ o Utvecklas inte längre
  3. 3. Bakgrund (2) • Skriv om SSLAudit eller porta SSLScan? o http://sourceforge.net/projects/sslscan/ • Portade SSLScan till Windows (GPL) o http://code.google.com/p/sslscan-win/ • Utökade SSLScan med ytterligare funktionalitet o Renegotiation tester o Förbättrat XML utskrifts-format o Refactored utskrifts-koden
  4. 4. Vad är det vi letar efter igen....? Protokoll: • SSLv2 har inget skydd mot man-in-the-middle attacker • SSLv2 använder samma nyckel används för autentisering och kryptering • SSLv2 har inte något skydd mot TCP-sessions stängning • SSLv3 & TLS har problem med session renegotioation Krypteringar: • Vissa chiffer använder anonym Key Exchange [nyckel-utbyte] (kan leda till man-in-the-middle attacker) • Vissa chiffer har svaga krypteringsalgoritmer • Vissa chiffer använder kort publika nyckel längd • Vissa chiffer använder kort privata nyckel längd
  5. 5. SSLSCAN IN ACTION, SINGLE INSTANCE Demo
  6. 6. Varför skanna en massa HTTPS- servrar? • Jag upptäckte att vissa organisationer hade väldigt dåliga HTTPS-inställningar, även sådana som borde ha bra säkerhet • Vad det otur i samplingen? Vad skiljer organisationer med bra HTTPS-inställningar från dom som inte har så bra HTTPS- inställningar? • Pengar? Popularitet? Industri?
  7. 7. Första försöket • En instans med en stor samling av servrar • Tog en evighet och var inte stabilt • Kunde inte lätt fortsätta efter en misslyckad körning
  8. 8. Andra försöket • Multipla instanser med ett fåtal servrar vadera • Mycket snabbare, men tar fortfarande en evighet att köra klart scanningen • Fortfarande problem med att återstarta en misslyckad scanning – Fast jag behövde inte starta från början, bara den misslyckade batchen
  9. 9. Tredje försöket • Använde Amazon AWS • SQS (Simple Queueing service) för att hantera jobb • S3 (Simple Storage Service) för att lagra resultaten • Multipla instanser scannar en server åt gången vaddera • Enkelt att återstarta misslyckade scanningar • Tog fortfarande lång tid att utföra scanningen…
  10. 10. Fjärde försöket • Lade till Amazon EC2 till lösningen • Nu har jag (teoretiskt) obegränsat antal system att scanna från • Kan scanna all data som behövs inom ett par dagar utan problem • Snabbare om jag vill betala för det
  11. 11. Fjärde försöket: skanner design
  12. 12. Fjärde försöket: skanner design
  13. 13. SSLSCAN PÅ AMAZON EC2 Demo
  14. 14. Den stora frågan • Vilka är nyckel-faktorerna för att ha en bra HTTPS-konfiguration? – Pengar? – Populäritet? – Industri?
  15. 15. Resultatet… Så vad upptäckte jag?
  16. 16. Detaljer om data-insammlandet • Alexa lista från 18 Apr 2010 • Fortune 500 (2010) • Data införskaffades 26 Apr 2010
  17. 17. Hur många av de testade servrarna stödjer SSL/TLS till att börja med?
  18. 18. Money vs. Popularity: HTTPS enabled?
  19. 19. Money vs. Popularity: SSLv2 enabled? (= bad)
  20. 20. Money vs. Popularity: 0-bit keys being enabled?(=bad)
  21. 21. Money vs. Popularity: Weak keys being enabled?(=bad)
  22. 22. Money vs. Popularity: No auth kx being enabled?(=bad)
  23. 23. Money vs. Popularity: Secure Session Renegotation?
  24. 24. Banker
  25. 25. Slutsats • Vad datan berättade för mig är att • Pengar (Fortune) verkar ha något att göra med att HTTPS finns påslaget • Popularitet (Alexa) verkar ha något att göra med att HTTPS har konfigurerats på ett säkert sätt • Det finns inte någon uppenbar trend mellan vilken industri organisationen är verksam i och deras HTTPS-säkerhet • Det verkar finnas ett svagt samband mellan företag som gör affärer över Internet och dess förmåga att erbjuda HTTPS på ett säkert sätt
  26. 26. Men den svenska marknaden då? Jag arbetar tillsammans med .SE (Stiftelsen för Internetinfrastruktur) för att få in samma typer av HTTPS-tester jag utförde mot Fortune 500 i .SEs hälsokoll
  27. 27. Frågestund & Länkar • Research website: • http://sslresearch.michaelboman.org • Rådata, dokumentation, skript and verktyg • Kontaktinformation: • michael@michaelboman.org • www.michaelboman.org • Referens-material: • http://www.owasp.org/index.php/Testing_for_ SSL-TLS_(OWASP-CM-001)

×