SlideShare uma empresa Scribd logo

Hur man kan testa sin HTTPS-server

Transferir como PPT, PDF
Michael Boman
Michael Boman

Hur man kan testa sin HTTPS-server

1 de 27
Hur man kan testa sin HTTPS-server Michael Boman Omegapoint AB
Bakgrund • Jag saknade ett bra verktyg för att utföra OWASP-CM-001 tester (Testing for SSL-TLS, OWASP Testing Guide) o Kunde inte hitta några som uppfyllde mina krav  Gratis (även för kommersiellt bruk)  Körs lokalt (dvs. inte en webbtjänst)  Fungerar på Windows • Utvecklade SSLAudit i Perl (GPL) o http://code.google.com/p/sslaudit/ o Utvecklas inte längre
Bakgrund (2) • Skriv om SSLAudit eller porta SSLScan? o http://sourceforge.net/projects/sslscan/ • Portade SSLScan till Windows (GPL) o http://code.google.com/p/sslscan-win/ • Utökade SSLScan med ytterligare funktionalitet o Renegotiation tester o Förbättrat XML utskrifts-format o Refactored utskrifts-koden
Vad är det vi letar efter igen....? Protokoll: • SSLv2 har inget skydd mot man-in-the-middle attacker • SSLv2 använder samma nyckel används för autentisering och kryptering • SSLv2 har inte något skydd mot TCP-sessions stängning • SSLv3 & TLS har problem med session renegotioation Krypteringar: • Vissa chiffer använder anonym Key Exchange [nyckel-utbyte] (kan leda till man-in-the-middle attacker) • Vissa chiffer har svaga krypteringsalgoritmer • Vissa chiffer använder kort publika nyckel längd • Vissa chiffer använder kort privata nyckel längd
SSLSCAN IN ACTION, SINGLE INSTANCE Demo
Varför skanna en massa HTTPS- servrar? • Jag upptäckte att vissa organisationer hade väldigt dåliga HTTPS-inställningar, även sådana som borde ha bra säkerhet • Vad det otur i samplingen? Vad skiljer organisationer med bra HTTPS-inställningar från dom som inte har så bra HTTPS- inställningar? • Pengar? Popularitet? Industri?
Första försöket • En instans med en stor samling av servrar • Tog en evighet och var inte stabilt • Kunde inte lätt fortsätta efter en misslyckad körning
Andra försöket • Multipla instanser med ett fåtal servrar vadera • Mycket snabbare, men tar fortfarande en evighet att köra klart scanningen • Fortfarande problem med att återstarta en misslyckad scanning – Fast jag behövde inte starta från början, bara den misslyckade batchen
Tredje försöket • Använde Amazon AWS • SQS (Simple Queueing service) för att hantera jobb • S3 (Simple Storage Service) för att lagra resultaten • Multipla instanser scannar en server åt gången vaddera • Enkelt att återstarta misslyckade scanningar • Tog fortfarande lång tid att utföra scanningen…
Fjärde försöket • Lade till Amazon EC2 till lösningen • Nu har jag (teoretiskt) obegränsat antal system att scanna från • Kan scanna all data som behövs inom ett par dagar utan problem • Snabbare om jag vill betala för det
Fjärde försöket: skanner design
Fjärde försöket: skanner design
SSLSCAN PÅ AMAZON EC2 Demo
Den stora frågan • Vilka är nyckel-faktorerna för att ha en bra HTTPS-konfiguration? – Pengar? – Populäritet? – Industri?
Resultatet… Så vad upptäckte jag?
Detaljer om data-insammlandet • Alexa lista från 18 Apr 2010 • Fortune 500 (2010) • Data införskaffades 26 Apr 2010
Hur många av de testade servrarna stödjer SSL/TLS till att börja med?
Money vs. Popularity: HTTPS enabled?
Money vs. Popularity: SSLv2 enabled? (= bad)
Money vs. Popularity: 0-bit keys being enabled?(=bad)
Money vs. Popularity: Weak keys being enabled?(=bad)
Money vs. Popularity: No auth kx being enabled?(=bad)
Money vs. Popularity: Secure Session Renegotation?
Banker
Slutsats • Vad datan berättade för mig är att • Pengar (Fortune) verkar ha något att göra med att HTTPS finns påslaget • Popularitet (Alexa) verkar ha något att göra med att HTTPS har konfigurerats på ett säkert sätt • Det finns inte någon uppenbar trend mellan vilken industri organisationen är verksam i och deras HTTPS-säkerhet • Det verkar finnas ett svagt samband mellan företag som gör affärer över Internet och dess förmåga att erbjuda HTTPS på ett säkert sätt
Men den svenska marknaden då? Jag arbetar tillsammans med .SE (Stiftelsen för Internetinfrastruktur) för att få in samma typer av HTTPS-tester jag utförde mot Fortune 500 i .SEs hälsokoll
Frågestund & Länkar • Research website: • http://sslresearch.michaelboman.org • Rådata, dokumentation, skript and verktyg • Kontaktinformation: • michael@michaelboman.org • www.michaelboman.org • Referens-material: • http://www.owasp.org/index.php/Testing_for_ SSL-TLS_(OWASP-CM-001)

Recomendados

Sans och vett på Internet
Sans och vett på InternetSans och vett på Internet
Sans och vett på InternetMichael Boman
 
De Nieuwe Generatie In AcTIE
De Nieuwe Generatie In AcTIEDe Nieuwe Generatie In AcTIE
De Nieuwe Generatie In AcTIERobbert Homburg
 
Gastcollege HvA over EIM
Gastcollege HvA over EIMGastcollege HvA over EIM
Gastcollege HvA over EIMRobbert Homburg
 
Neuro en ux
Neuro en uxNeuro en ux
Neuro en uxRobbert Homburg
 
Biography Information Resources
Biography Information ResourcesBiography Information Resources
Biography Information Resourcesannbee
 
web 2.0 explained
web 2.0 explainedweb 2.0 explained
web 2.0 explainedRobbert Homburg
 
Malware Analysis on a Shoestring Budget
Malware Analysis on a Shoestring BudgetMalware Analysis on a Shoestring Budget
Malware Analysis on a Shoestring BudgetMichael Boman
 
How to drive a malware analyst crazy
How to drive a malware analyst crazyHow to drive a malware analyst crazy
How to drive a malware analyst crazyMichael Boman
 

Recomendados

Sans och vett på Internet
Sans och vett på InternetSans och vett på Internet
Sans och vett på InternetMichael Boman
 
De Nieuwe Generatie In AcTIE
De Nieuwe Generatie In AcTIEDe Nieuwe Generatie In AcTIE
De Nieuwe Generatie In AcTIERobbert Homburg
 
Gastcollege HvA over EIM
Gastcollege HvA over EIMGastcollege HvA over EIM
Gastcollege HvA over EIMRobbert Homburg
 
Neuro en ux
Neuro en uxNeuro en ux
Neuro en uxRobbert Homburg
 
Biography Information Resources
Biography Information ResourcesBiography Information Resources
Biography Information Resourcesannbee
 
web 2.0 explained
web 2.0 explainedweb 2.0 explained
web 2.0 explainedRobbert Homburg
 
Malware Analysis on a Shoestring Budget
Malware Analysis on a Shoestring BudgetMalware Analysis on a Shoestring Budget
Malware Analysis on a Shoestring BudgetMichael Boman
 
How to drive a malware analyst crazy
How to drive a malware analyst crazyHow to drive a malware analyst crazy
How to drive a malware analyst crazyMichael Boman
 
Testare i continuousvärlden - vad gör jag om dagarna.
Testare i continuousvärlden - vad gör jag om dagarna.Testare i continuousvärlden - vad gör jag om dagarna.
Testare i continuousvärlden - vad gör jag om dagarna.ADDQ
 
Säker utveckling med SDL
Säker utveckling med SDLSäker utveckling med SDL
Säker utveckling med SDLJohan Lindfors
 
Solidify continuous delivery 2014
Solidify continuous delivery 2014Solidify continuous delivery 2014
Solidify continuous delivery 2014Solidify
 
Välj rätt i teknikdjungeln
Välj rätt i teknikdjungeln Välj rätt i teknikdjungeln
Välj rätt i teknikdjungeln Creuna Sverige
 
Test av mobila applikationer
Test av mobila applikationerTest av mobila applikationer
Test av mobila applikationerSigma IT Management
 
TFS 2013 Deep-Dive på LabCenter 2014-02-06
TFS 2013 Deep-Dive på LabCenter 2014-02-06TFS 2013 Deep-Dive på LabCenter 2014-02-06
TFS 2013 Deep-Dive på LabCenter 2014-02-06Solidify
 
Varje resa börjar med ett litet steg (internetdagarna 2011)
Varje resa börjar med ett litet steg (internetdagarna 2011)Varje resa börjar med ett litet steg (internetdagarna 2011)
Varje resa börjar med ett litet steg (internetdagarna 2011)Per Åström
 
Enkla hackerknep för testare
Enkla hackerknep för testareEnkla hackerknep för testare
Enkla hackerknep för testareMichael Boman
 
VT2018 - DA355A - LocalStorage & Bootstrap
VT2018 - DA355A - LocalStorage & BootstrapVT2018 - DA355A - LocalStorage & Bootstrap
VT2018 - DA355A - LocalStorage & BootstrapAnton Tibblin
 
Tobbe Eklöv
Tobbe EklövTobbe Eklöv
Tobbe Eklöv.SE (Stiftelsen för Internetinfrastruktur)
 
Vad är webb för oss?
Vad är webb för oss?Vad är webb för oss?
Vad är webb för oss?Andreas Ek
 
Molntjänster som it superhjältar
Molntjänster som it superhjältarMolntjänster som it superhjältar
Molntjänster som it superhjältarPer Åström
 
TypeScript DevSum 2013
TypeScript DevSum 2013TypeScript DevSum 2013
TypeScript DevSum 2013Michael Herkommer
 
Continuous Delivery med Tutum och Docker
Continuous Delivery med Tutum och DockerContinuous Delivery med Tutum och Docker
Continuous Delivery med Tutum och DockerKristoffer Vidmo
 
Välj rätt i teknikdjungeln - Del 1: CMS och webbramverk
Välj rätt i teknikdjungeln - Del 1: CMS och webbramverkVälj rätt i teknikdjungeln - Del 1: CMS och webbramverk
Välj rätt i teknikdjungeln - Del 1: CMS och webbramverkCreuna Sverige
 
BigData med logganalys
BigData med logganalysBigData med logganalys
BigData med logganalysFindwise
 
Vad är webb
Vad är webbVad är webb
Vad är webbAndreas Ek
 
OPTIMERA STHLM! Loadimpact
OPTIMERA STHLM! LoadimpactOPTIMERA STHLM! Loadimpact
OPTIMERA STHLM! Loadimpact.SE (Stiftelsen för Internetinfrastruktur)
 
SQL Server 2014 In-Memory OLTP | TechDays Sweden 2014
SQL Server 2014 In-Memory OLTP | TechDays Sweden 2014SQL Server 2014 In-Memory OLTP | TechDays Sweden 2014
SQL Server 2014 In-Memory OLTP | TechDays Sweden 2014Johan Åhlén
 
eXtreme Programming
eXtreme Programming eXtreme Programming
eXtreme Programming Peter Antman
 
Indicators of compromise: From malware analysis to eradication
Indicators of compromise: From malware analysis to eradicationIndicators of compromise: From malware analysis to eradication
Indicators of compromise: From malware analysis to eradicationMichael Boman
 
44CON 2014: Using hadoop for malware, network, forensics and log analysis
44CON 2014: Using hadoop for malware, network, forensics and log analysis44CON 2014: Using hadoop for malware, network, forensics and log analysis
44CON 2014: Using hadoop for malware, network, forensics and log analysisMichael Boman
 

Mais conteúdo relacionado

Semelhante a Hur man kan testa sin HTTPS-server

Testare i continuousvärlden - vad gör jag om dagarna.
Testare i continuousvärlden - vad gör jag om dagarna.Testare i continuousvärlden - vad gör jag om dagarna.
Testare i continuousvärlden - vad gör jag om dagarna.ADDQ
 
Säker utveckling med SDL
Säker utveckling med SDLSäker utveckling med SDL
Säker utveckling med SDLJohan Lindfors
 
Solidify continuous delivery 2014
Solidify continuous delivery 2014Solidify continuous delivery 2014
Solidify continuous delivery 2014Solidify
 
Välj rätt i teknikdjungeln
Välj rätt i teknikdjungeln Välj rätt i teknikdjungeln
Välj rätt i teknikdjungeln Creuna Sverige
 
TFS 2013 Deep-Dive på LabCenter 2014-02-06
TFS 2013 Deep-Dive på LabCenter 2014-02-06TFS 2013 Deep-Dive på LabCenter 2014-02-06
TFS 2013 Deep-Dive på LabCenter 2014-02-06Solidify
 
Varje resa börjar med ett litet steg (internetdagarna 2011)
Varje resa börjar med ett litet steg (internetdagarna 2011)Varje resa börjar med ett litet steg (internetdagarna 2011)
Varje resa börjar med ett litet steg (internetdagarna 2011)Per Åström
 
Enkla hackerknep för testare
Enkla hackerknep för testareEnkla hackerknep för testare
Enkla hackerknep för testareMichael Boman
 
VT2018 - DA355A - LocalStorage & Bootstrap
VT2018 - DA355A - LocalStorage & BootstrapVT2018 - DA355A - LocalStorage & Bootstrap
VT2018 - DA355A - LocalStorage & BootstrapAnton Tibblin
 
Vad är webb för oss?
Vad är webb för oss?Vad är webb för oss?
Vad är webb för oss?Andreas Ek
 
Molntjänster som it superhjältar
Molntjänster som it superhjältarMolntjänster som it superhjältar
Molntjänster som it superhjältarPer Åström
 
Continuous Delivery med Tutum och Docker
Continuous Delivery med Tutum och DockerContinuous Delivery med Tutum och Docker
Continuous Delivery med Tutum och DockerKristoffer Vidmo
 
Välj rätt i teknikdjungeln - Del 1: CMS och webbramverk
Välj rätt i teknikdjungeln - Del 1: CMS och webbramverkVälj rätt i teknikdjungeln - Del 1: CMS och webbramverk
Välj rätt i teknikdjungeln - Del 1: CMS och webbramverkCreuna Sverige
 
BigData med logganalys
BigData med logganalysBigData med logganalys
BigData med logganalysFindwise
 
SQL Server 2014 In-Memory OLTP | TechDays Sweden 2014
SQL Server 2014 In-Memory OLTP | TechDays Sweden 2014SQL Server 2014 In-Memory OLTP | TechDays Sweden 2014
SQL Server 2014 In-Memory OLTP | TechDays Sweden 2014Johan Åhlén
 
eXtreme Programming
eXtreme Programming eXtreme Programming
eXtreme Programming Peter Antman
 

Semelhante a Hur man kan testa sin HTTPS-server (20)

Testare i continuousvärlden - vad gör jag om dagarna.
Testare i continuousvärlden - vad gör jag om dagarna.Testare i continuousvärlden - vad gör jag om dagarna.
Testare i continuousvärlden - vad gör jag om dagarna.
 
Säker utveckling med SDL
Säker utveckling med SDLSäker utveckling med SDL
Säker utveckling med SDL
 
Solidify continuous delivery 2014
Solidify continuous delivery 2014Solidify continuous delivery 2014
Solidify continuous delivery 2014
 
Välj rätt i teknikdjungeln
Välj rätt i teknikdjungeln Välj rätt i teknikdjungeln
Välj rätt i teknikdjungeln
 
Test av mobila applikationer
Test av mobila applikationerTest av mobila applikationer
Test av mobila applikationer
 
TFS 2013 Deep-Dive på LabCenter 2014-02-06
TFS 2013 Deep-Dive på LabCenter 2014-02-06TFS 2013 Deep-Dive på LabCenter 2014-02-06
TFS 2013 Deep-Dive på LabCenter 2014-02-06
 
Varje resa börjar med ett litet steg (internetdagarna 2011)
Varje resa börjar med ett litet steg (internetdagarna 2011)Varje resa börjar med ett litet steg (internetdagarna 2011)
Varje resa börjar med ett litet steg (internetdagarna 2011)
 
Enkla hackerknep för testare
Enkla hackerknep för testareEnkla hackerknep för testare
Enkla hackerknep för testare
 
VT2018 - DA355A - LocalStorage & Bootstrap
VT2018 - DA355A - LocalStorage & BootstrapVT2018 - DA355A - LocalStorage & Bootstrap
VT2018 - DA355A - LocalStorage & Bootstrap
 
Tobbe Eklöv
Tobbe EklövTobbe Eklöv
Tobbe Eklöv
 
Vad är webb för oss?
Vad är webb för oss?Vad är webb för oss?
Vad är webb för oss?
 
Molntjänster som it superhjältar
Molntjänster som it superhjältarMolntjänster som it superhjältar
Molntjänster som it superhjältar
 
TypeScript DevSum 2013
TypeScript DevSum 2013TypeScript DevSum 2013
TypeScript DevSum 2013
 
Continuous Delivery med Tutum och Docker
Continuous Delivery med Tutum och DockerContinuous Delivery med Tutum och Docker
Continuous Delivery med Tutum och Docker
 
Välj rätt i teknikdjungeln - Del 1: CMS och webbramverk
Välj rätt i teknikdjungeln - Del 1: CMS och webbramverkVälj rätt i teknikdjungeln - Del 1: CMS och webbramverk
Välj rätt i teknikdjungeln - Del 1: CMS och webbramverk
 
BigData med logganalys
BigData med logganalysBigData med logganalys
BigData med logganalys
 
Vad är webb
Vad är webbVad är webb
Vad är webb
 
OPTIMERA STHLM! Loadimpact
OPTIMERA STHLM! LoadimpactOPTIMERA STHLM! Loadimpact
OPTIMERA STHLM! Loadimpact
 
SQL Server 2014 In-Memory OLTP | TechDays Sweden 2014
SQL Server 2014 In-Memory OLTP | TechDays Sweden 2014SQL Server 2014 In-Memory OLTP | TechDays Sweden 2014
SQL Server 2014 In-Memory OLTP | TechDays Sweden 2014
 
eXtreme Programming
eXtreme Programming eXtreme Programming
eXtreme Programming
 

Mais de Michael Boman

Indicators of compromise: From malware analysis to eradication
Indicators of compromise: From malware analysis to eradicationIndicators of compromise: From malware analysis to eradication
Indicators of compromise: From malware analysis to eradicationMichael Boman
 
44CON 2014: Using hadoop for malware, network, forensics and log analysis
44CON 2014: Using hadoop for malware, network, forensics and log analysis44CON 2014: Using hadoop for malware, network, forensics and log analysis
44CON 2014: Using hadoop for malware, network, forensics and log analysisMichael Boman
 
DEEPSEC 2013: Malware Datamining And Attribution
DEEPSEC 2013: Malware Datamining And AttributionDEEPSEC 2013: Malware Datamining And Attribution
DEEPSEC 2013: Malware Datamining And AttributionMichael Boman
 
44CON 2013 - Controlling a PC using Arduino
44CON 2013 - Controlling a PC using Arduino44CON 2013 - Controlling a PC using Arduino
44CON 2013 - Controlling a PC using ArduinoMichael Boman
 
Malware analysis as a hobby (Owasp Göteborg)
Malware analysis as a hobby (Owasp Göteborg)Malware analysis as a hobby (Owasp Göteborg)
Malware analysis as a hobby (Owasp Göteborg)Michael Boman
 
Malware Analysis as a Hobby
Malware Analysis as a HobbyMalware Analysis as a Hobby
Malware Analysis as a HobbyMichael Boman
 
Malware analysis as a hobby - the short story (lightning talk)
Malware analysis as a hobby - the short story (lightning talk)Malware analysis as a hobby - the short story (lightning talk)
Malware analysis as a hobby - the short story (lightning talk)Michael Boman
 
Blackhat USA 2011 - Cesar Cerrudo - Easy and quick vulnerability hunting in W...
Blackhat USA 2011 - Cesar Cerrudo - Easy and quick vulnerability hunting in W...Blackhat USA 2011 - Cesar Cerrudo - Easy and quick vulnerability hunting in W...
Blackhat USA 2011 - Cesar Cerrudo - Easy and quick vulnerability hunting in W...Michael Boman
 
OWASP AppSec Research 2010 - The State of SSL in the World
OWASP AppSec Research 2010 - The State of SSL in the WorldOWASP AppSec Research 2010 - The State of SSL in the World
OWASP AppSec Research 2010 - The State of SSL in the WorldMichael Boman
 
Privacy In Wireless Networks Keeping Your Private Data Private 2008-08-08
Privacy In Wireless Networks Keeping Your Private Data Private 2008-08-08Privacy In Wireless Networks Keeping Your Private Data Private 2008-08-08
Privacy In Wireless Networks Keeping Your Private Data Private 2008-08-08Michael Boman
 
USB (In)Security 2008-08-22
USB (In)Security 2008-08-22USB (In)Security 2008-08-22
USB (In)Security 2008-08-22Michael Boman
 
Automatic Malware Analysis 2008-09-19
Automatic Malware Analysis 2008-09-19Automatic Malware Analysis 2008-09-19
Automatic Malware Analysis 2008-09-19Michael Boman
 
Overcoming USB (In)Security
Overcoming USB (In)SecurityOvercoming USB (In)Security
Overcoming USB (In)SecurityMichael Boman
 
Privacy in Wireless Networks
Privacy in Wireless NetworksPrivacy in Wireless Networks
Privacy in Wireless NetworksMichael Boman
 
Network Security Monitoring - Theory and Practice
Network Security Monitoring - Theory and PracticeNetwork Security Monitoring - Theory and Practice
Network Security Monitoring - Theory and PracticeMichael Boman
 
Introduction To Linux Security
Introduction To Linux SecurityIntroduction To Linux Security
Introduction To Linux SecurityMichael Boman
 
SoHo Honeypot (LUGS)
SoHo Honeypot (LUGS)SoHo Honeypot (LUGS)
SoHo Honeypot (LUGS)Michael Boman
 
Introduction To NIDS
Introduction To NIDSIntroduction To NIDS
Introduction To NIDSMichael Boman
 

Mais de Michael Boman (20)

Indicators of compromise: From malware analysis to eradication
Indicators of compromise: From malware analysis to eradicationIndicators of compromise: From malware analysis to eradication
Indicators of compromise: From malware analysis to eradication
 
44CON 2014: Using hadoop for malware, network, forensics and log analysis
44CON 2014: Using hadoop for malware, network, forensics and log analysis44CON 2014: Using hadoop for malware, network, forensics and log analysis
44CON 2014: Using hadoop for malware, network, forensics and log analysis
 
DEEPSEC 2013: Malware Datamining And Attribution
DEEPSEC 2013: Malware Datamining And AttributionDEEPSEC 2013: Malware Datamining And Attribution
DEEPSEC 2013: Malware Datamining And Attribution
 
44CON 2013 - Controlling a PC using Arduino
44CON 2013 - Controlling a PC using Arduino44CON 2013 - Controlling a PC using Arduino
44CON 2013 - Controlling a PC using Arduino
 
Malware analysis as a hobby (Owasp Göteborg)
Malware analysis as a hobby (Owasp Göteborg)Malware analysis as a hobby (Owasp Göteborg)
Malware analysis as a hobby (Owasp Göteborg)
 
Malware Analysis as a Hobby
Malware Analysis as a HobbyMalware Analysis as a Hobby
Malware Analysis as a Hobby
 
Malware analysis as a hobby - the short story (lightning talk)
Malware analysis as a hobby - the short story (lightning talk)Malware analysis as a hobby - the short story (lightning talk)
Malware analysis as a hobby - the short story (lightning talk)
 
Blackhat USA 2011 - Cesar Cerrudo - Easy and quick vulnerability hunting in W...
Blackhat USA 2011 - Cesar Cerrudo - Easy and quick vulnerability hunting in W...Blackhat USA 2011 - Cesar Cerrudo - Easy and quick vulnerability hunting in W...
Blackhat USA 2011 - Cesar Cerrudo - Easy and quick vulnerability hunting in W...
 
OWASP AppSec Research 2010 - The State of SSL in the World
OWASP AppSec Research 2010 - The State of SSL in the WorldOWASP AppSec Research 2010 - The State of SSL in the World
OWASP AppSec Research 2010 - The State of SSL in the World
 
Privacy In Wireless Networks Keeping Your Private Data Private 2008-08-08
Privacy In Wireless Networks Keeping Your Private Data Private 2008-08-08Privacy In Wireless Networks Keeping Your Private Data Private 2008-08-08
Privacy In Wireless Networks Keeping Your Private Data Private 2008-08-08
 
USB (In)Security 2008-08-22
USB (In)Security 2008-08-22USB (In)Security 2008-08-22
USB (In)Security 2008-08-22
 
Automatic Malware Analysis 2008-09-19
Automatic Malware Analysis 2008-09-19Automatic Malware Analysis 2008-09-19
Automatic Malware Analysis 2008-09-19
 
Overcoming USB (In)Security
Overcoming USB (In)SecurityOvercoming USB (In)Security
Overcoming USB (In)Security
 
Privacy in Wireless Networks
Privacy in Wireless NetworksPrivacy in Wireless Networks
Privacy in Wireless Networks
 
Network Security Monitoring - Theory and Practice
Network Security Monitoring - Theory and PracticeNetwork Security Monitoring - Theory and Practice
Network Security Monitoring - Theory and Practice
 
Introduction To Linux Security
Introduction To Linux SecurityIntroduction To Linux Security
Introduction To Linux Security
 
Snort
SnortSnort
Snort
 
SoHo Honeypot (LUGS)
SoHo Honeypot (LUGS)SoHo Honeypot (LUGS)
SoHo Honeypot (LUGS)
 
Sguil
SguilSguil
Sguil
 
Introduction To NIDS
Introduction To NIDSIntroduction To NIDS
Introduction To NIDS
 

Hur man kan testa sin HTTPS-server

  • 1. Hur man kan testa sin HTTPS-server Michael Boman Omegapoint AB
  • 2. Bakgrund • Jag saknade ett bra verktyg för att utföra OWASP-CM-001 tester (Testing for SSL-TLS, OWASP Testing Guide) o Kunde inte hitta några som uppfyllde mina krav  Gratis (även för kommersiellt bruk)  Körs lokalt (dvs. inte en webbtjänst)  Fungerar på Windows • Utvecklade SSLAudit i Perl (GPL) o http://code.google.com/p/sslaudit/ o Utvecklas inte längre
  • 3. Bakgrund (2) • Skriv om SSLAudit eller porta SSLScan? o http://sourceforge.net/projects/sslscan/ • Portade SSLScan till Windows (GPL) o http://code.google.com/p/sslscan-win/ • Utökade SSLScan med ytterligare funktionalitet o Renegotiation tester o Förbättrat XML utskrifts-format o Refactored utskrifts-koden
  • 4. Vad är det vi letar efter igen....? Protokoll: • SSLv2 har inget skydd mot man-in-the-middle attacker • SSLv2 använder samma nyckel används för autentisering och kryptering • SSLv2 har inte något skydd mot TCP-sessions stängning • SSLv3 & TLS har problem med session renegotioation Krypteringar: • Vissa chiffer använder anonym Key Exchange [nyckel-utbyte] (kan leda till man-in-the-middle attacker) • Vissa chiffer har svaga krypteringsalgoritmer • Vissa chiffer använder kort publika nyckel längd • Vissa chiffer använder kort privata nyckel längd
  • 5. SSLSCAN IN ACTION, SINGLE INSTANCE Demo
  • 6. Varför skanna en massa HTTPS- servrar? • Jag upptäckte att vissa organisationer hade väldigt dåliga HTTPS-inställningar, även sådana som borde ha bra säkerhet • Vad det otur i samplingen? Vad skiljer organisationer med bra HTTPS-inställningar från dom som inte har så bra HTTPS- inställningar? • Pengar? Popularitet? Industri?
  • 7. Första försöket • En instans med en stor samling av servrar • Tog en evighet och var inte stabilt • Kunde inte lätt fortsätta efter en misslyckad körning
  • 8. Andra försöket • Multipla instanser med ett fåtal servrar vadera • Mycket snabbare, men tar fortfarande en evighet att köra klart scanningen • Fortfarande problem med att återstarta en misslyckad scanning – Fast jag behövde inte starta från början, bara den misslyckade batchen
  • 9. Tredje försöket • Använde Amazon AWS • SQS (Simple Queueing service) för att hantera jobb • S3 (Simple Storage Service) för att lagra resultaten • Multipla instanser scannar en server åt gången vaddera • Enkelt att återstarta misslyckade scanningar • Tog fortfarande lång tid att utföra scanningen…
  • 10. Fjärde försöket • Lade till Amazon EC2 till lösningen • Nu har jag (teoretiskt) obegränsat antal system att scanna från • Kan scanna all data som behövs inom ett par dagar utan problem • Snabbare om jag vill betala för det
  • 13. SSLSCAN PÅ AMAZON EC2 Demo
  • 14. Den stora frågan • Vilka är nyckel-faktorerna för att ha en bra HTTPS-konfiguration? – Pengar? – Populäritet? – Industri?
  • 16. Detaljer om data-insammlandet • Alexa lista från 18 Apr 2010 • Fortune 500 (2010) • Data införskaffades 26 Apr 2010
  • 17. Hur många av de testade servrarna stödjer SSL/TLS till att börja med?
  • 19. Money vs. Popularity: SSLv2 enabled? (= bad)
  • 20. Money vs. Popularity: 0-bit keys being enabled?(=bad)
  • 21. Money vs. Popularity: Weak keys being enabled?(=bad)
  • 22. Money vs. Popularity: No auth kx being enabled?(=bad)
  • 23. Money vs. Popularity: Secure Session Renegotation?
  • 25. Slutsats • Vad datan berättade för mig är att • Pengar (Fortune) verkar ha något att göra med att HTTPS finns påslaget • Popularitet (Alexa) verkar ha något att göra med att HTTPS har konfigurerats på ett säkert sätt • Det finns inte någon uppenbar trend mellan vilken industri organisationen är verksam i och deras HTTPS-säkerhet • Det verkar finnas ett svagt samband mellan företag som gör affärer över Internet och dess förmåga att erbjuda HTTPS på ett säkert sätt
  • 26. Men den svenska marknaden då? Jag arbetar tillsammans med .SE (Stiftelsen för Internetinfrastruktur) för att få in samma typer av HTTPS-tester jag utförde mot Fortune 500 i .SEs hälsokoll
  • 27. Frågestund & Länkar • Research website: • http://sslresearch.michaelboman.org • Rådata, dokumentation, skript and verktyg • Kontaktinformation: • michael@michaelboman.org • www.michaelboman.org • Referens-material: • http://www.owasp.org/index.php/Testing_for_ SSL-TLS_(OWASP-CM-001)