Coraz więcej komunikacji w świecie WWW/mobile odbywa się teoretycznie w sposób bezpieczny. Synonimem bezpieczeństwa w sieci stała się zielona kłódka połączenia HTTPS. Podczas prezentacji zostaną omówione: - ogólna zasada działania połączeń SSL/TLS - zestawy szyfrów wykorzystywane podczas połączeń - głośne podatności (BEAST, CRIME, Heartbleed, POODLE, FREAK) związane z szyfrowaną komunikacją - narzędzia do testowania konfiguracji i bezpieczeństwa połączeń SSL/TLS - SSL/TLs a świat smartfonów w sposób przystępny dla specjalistów do spraw jakości oprogramowania. W trakcie prezentacji uczestnikom zostanną pokazane narzędzia, które pozwolą na samodzielne zweryfikowanie, czy testowana aplikacja bądź odwiedzana w sieci strona WWW zapewnia właściwy poziom bezpieczeństwa, jeśli chodzi o kwestie komunikacji.

1. Testy bezpieczeństwa
SSL/TLS
Mateusz Olejarka
Test Well 2015, 21.04.2015

2. • Starszy specjalista ds. bezpieczeństwa IT, SecuRing
• Ocena bezpieczeństwa aplikacji webowych i mobilnych
• Trener
• (Były) programista
• OWASP Polska
O mnie

3. • Komunikacja z wykorzystaniem SSL/TLS
• Trochę teorii
• Co uznajemy za błąd?
• Głośne podatności
• Testowanie
• Narzędzia
• DEMO
• Q&A
Agenda

4. KOMUNIKACJA
Z wykorzystaniem SSL/TLS

5. • Kryptografia
• Symetryczna
• Asymetryczna
– Klucz publiczny
– Klucz prywatny
• Funkcje skrótu
• Niezaprzeczalność
Trochę teorii

6. • Infrastruktura klucza publicznego (PKI)
• Certyfikat cyfrowy
– Składowe
– Podpis cyfrowy
– Generowanie
• Urząd certyfikacji (CA)
• DEMO
Trochę teorii

7. • SSL, czyli Secure Socket Layer
• SSL 1.0
• SSL 2.0 (1995)
• SSL 3.0 (1996)
Trochę teorii

8. • TLS, czyli Transport Layer Security
• TLS 1.0 (1999)
• TLS 1.1 (2006)
• TLS 1.2 (2008)
Trochę teorii

9. • Nawiązanie połączenia SSL/TLS
Trochę teorii
Klient Serwer
Client hello
• Wspierane zestawy szyfrów
• Wartość losowa
• Wersja protokołu

10. • Nawiązanie połączenia SSL/TLS
Trochę teorii
Klient Serwer
Client hello
• Wybrany zestaw szyfrów
• Wartość losowa
Server hello

11. • Nawiązanie połączenia SSL/TLS
Trochę teorii
Klient Serwer
Client hello
Server hello
Certificate

12. • Nawiązanie połączenia SSL/TLS
Trochę teorii
Klient Serwer
Client hello
Server hello
Certificate
Server hello done

13. • Nawiązanie połączenia SSL/TLS
Trochę teorii
Klient Serwer
Server hello done
Client key exchange
Przesłanie PreMasterSecret zaszyfrowanego
kluczem publicznym serwera

14. • Nawiązanie połączenia SSL/TLS
Trochę teorii
Klient Serwer
Server hello done
Client key exchange
Change cipher spec

15. • Nawiązanie połączenia SSL/TLS
Trochę teorii
Klient Serwer
Server hello done
Client key exchange
Change cipher spec
Finished

16. • Nawiązanie połączenia SSL/TLS
Trochę teorii
Klient Serwer
Finished
Change cipher spec

17. • Nawiązanie połączenia SSL/TLS
Trochę teorii
Klient Serwer
Finished
Change cipher spec
Finished

18. DEMO
Wireshark

19. • Klucz publiczny serwera wystawiony przez niezaufane CA
• Wykorzystanie kryptograficznie słabych algorytmów
• RC4
• SHA1
• Wsparcie dla komunikacji z wykorzystaniem
• SSL2
• SSL3
• Błędy konfiguracyjne innego rodzaju ;)
• Wykorzystanie oprogramowania posiadającego znane błędy
błędy bezpieczeństwa
Co uznajemy za błąd?

20. • BEAST
• CRIME & BREACH
• Heartbleed
• POODLE
• FREAK
Głośne podatności

21. TESTOWANIE

22. • SSL Server Test
• OpenSSL
Narzędzia

23. DEMO
SSL ServerTest

24. DEMO
OpenSSL

25. Q&A

26. Dziękuję za uwagę,
zapraszam do kontaktu:
mateusz.olejarka@securing.pl

27. http://en.wikipedia.org/wiki/Public-key_cryptography
http://en.wikipedia.org/wiki/X.509
http://en.wikipedia.org/wiki/Transport_Layer_Security
https://www.ietf.org/rfc/rfc2459
https://www.ssllabs.com/ssltest/
https://www.openssl.org/
http://heartbleed.com/
http://en.wikipedia.org/wiki/Secure_Hash_Algorithm
http://en.wikipedia.org/wiki/CRIME
http://en.wikipedia.org/wiki/POODLE
http://en.wikipedia.org/wiki/FREAK
Materiały