• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Comodogate
 

Comodogate

on

  • 874 views

Slides of a Lightning talk I held at Metalab on April 1st, 2011.

Slides of a Lightning talk I held at Metalab on April 1st, 2011.

Statistics

Views

Total Views
874
Views on SlideShare
791
Embed Views
83

Actions

Likes
0
Downloads
1
Comments
0

2 Embeds 83

http://www.thomas-steinbrenner.net 79
https://www.thomas-steinbrenner.net 4

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

CC Attribution License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Comodogate Comodogate Presentation Transcript

    • Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Comodogate ?!? Version 1.1 2. April 2011
    • Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Inhalt Inhalt
    • Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Inhalt Inhalt SSL-Grundlagen Symmetrische Kryptografie Asymmetrische Kryptografie Public key infrastructure
    • Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Inhalt Inhalt SSL-Grundlagen Symmetrische Kryptografie Asymmetrische Kryptografie Public key infrastructure Der Hack Gef¨lschte Zertifikate a (Wo)man In The Middle Wie kann so etwas passieren?
    • Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Inhalt Inhalt SSL-Grundlagen Symmetrische Kryptografie Asymmetrische Kryptografie Public key infrastructure Der Hack Gef¨lschte Zertifikate a (Wo)man In The Middle Wie kann so etwas passieren? L¨sungen o Zertifikate widerrufen TOFU/POP DNSSEC Perspectives
    • Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Inhalt Inhalt SSL-Grundlagen Symmetrische Kryptografie Asymmetrische Kryptografie Public key infrastructure Der Hack Gef¨lschte Zertifikate a (Wo)man In The Middle Wie kann so etwas passieren? L¨sungen o Zertifikate widerrufen TOFU/POP DNSSEC Perspectives Was kann *ich* tun?
    • Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Symmetrische Kryptografie Ver- und Entschl¨sselung mit dem selben Schl¨ssel u u (DES, 3DES, AES, RC4, ...)
    • Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Asymmetrische Kryptografie Verschl¨sselung mit dem ¨ffentlichen Schl¨ssel des Empf¨ngers. u o u a Entschl¨sselung mit dem geheimen Schl¨ssel des Empf¨ngers. u u a Signieren genau umgekehrt.
    • Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Public key infrastructure ¨ Offentlicher Schl¨ssel wird in einem Zertifikat gespeichert. u Echte Zertifikate werden von der Root CA ”unterschrieben”. Root CA-Zertifikat wird mit OS/Browser mitgeliefert.
    • Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Gef¨lschte Zertifikate a Hacker hat sich durch eine L¨cke in einer RA folgende Zertifikate u ausstellen lassen k¨nnen: o • mail.google.com (GMail) • login.live.com (Hotmail et al) • www.google.com • login.yahoo.com (drei Zertifikate) • login.skype.com • addons.mozilla.org (Firefox extensions) • Global Trustee
    • Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? (Wo)man In The Middle Falls Traffic uber den Angreifer umgeleitet werden kann → :/ ¨
    • Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren?
    • Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren? • Niemand will schuld sein...
    • Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren? • Niemand will schuld sein... • Browser will Benutzer nicht mit Fehlermeldungen nerven → eher liberal
    • Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren? • Niemand will schuld sein... • Browser will Benutzer nicht mit Fehlermeldungen nerven → eher liberal • Browser m¨ssen uber Vertrauen entscheiden → eher liberal u ¨ (z.B.:CNNIC)
    • Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren? • Niemand will schuld sein... • Browser will Benutzer nicht mit Fehlermeldungen nerven → eher liberal • Browser m¨ssen uber Vertrauen entscheiden → eher liberal u ¨ (z.B.:CNNIC) • Systemadmins wollen keinen Aufwand. → nichts ¨ndert sich. a
    • Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Wie kann so etwas passieren? • Niemand will schuld sein... • Browser will Benutzer nicht mit Fehlermeldungen nerven → eher liberal • Browser m¨ssen uber Vertrauen entscheiden → eher liberal u ¨ (z.B.:CNNIC) • Systemadmins wollen keinen Aufwand. → nichts ¨ndert sich. a • CAs geben Implementierungen die Schuld. → nichts ¨ndert a sich.
    • Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Zertifikate widerrufen • Einfachste Reaktion.
    • Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Zertifikate widerrufen • Einfachste Reaktion. ¨ • Uberpr¨fung via Certificate Revocation Lists u
    • Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Zertifikate widerrufen • Einfachste Reaktion. ¨ • Uberpr¨fung via Certificate Revocation Lists u • oder Online Certificate Status Protocol
    • Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Zertifikate widerrufen • Einfachste Reaktion. ¨ • Uberpr¨fung via Certificate Revocation Lists u • oder Online Certificate Status Protocol ¨ • Uberpr¨fung h¨ngt von Implementierung ab (think mobile u a devices)
    • Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? TOFU/POP Trust on first use/then popup ”Certificate Patrol” Quelle: https://addons.mozilla.org/de/firefox/addon/certificate-patrol/
    • Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? TOFU/POP Quelle: https://addons.mozilla.org/de/firefox/addon/certificate-patrol/
    • Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? DNSSEC Quelle: http(s)://dankaminsky.com/ DNS sicher? → Zertifikat mit DNS abfragen!
    • Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Perspectives Quelle: https://www.networknotary.org/ Mehrere Server im Internet fragen → MITM erkennbar.
    • Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Was kann *ich* tun?
    • Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Was kann *ich* tun? • Probleme verstehen → sich informieren!
    • Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Was kann *ich* tun? • Probleme verstehen → sich informieren! • Entsprechende Plugins installieren und unterst¨tzen! u (Certivicate Patrol, Perspectives, ...)
    • Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Was kann *ich* tun? • Probleme verstehen → sich informieren! • Entsprechende Plugins installieren und unterst¨tzen! u (Certivicate Patrol, Perspectives, ...) • DNSSEC einsetzen und pushen! (z.B.: Phreebird (zeroconfig proxy by Dan Kaminsky))
    • Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Was kann *ich* tun? • Probleme verstehen → sich informieren! • Entsprechende Plugins installieren und unterst¨tzen! u (Certivicate Patrol, Perspectives, ...) • DNSSEC einsetzen und pushen! (z.B.: Phreebird (zeroconfig proxy by Dan Kaminsky)) • Weitererz¨hlen. a
    • Inhalt SSL-Grundlagen Der Hack L¨sungen o Was kann *ich* tun? Thomas Steinbrenner, B.Sc. http(s)://www.thomas-steinbrenner.net https://twitter.com/#!/Tie fighter Feel free to share this! Creative Commons - Attribution