(oder: die Lehren aus dem Heartbleed bug)
Guys, Guys! What about Truecrypt? Machen wir en-passant, siehe Nerd News. “Willst du drueber reden?”
Teasertext auf Fritz.de
Seit Snowden wird uns gesagt: Verschlüsselt! Gleichzeitig tauchen immer wieder Verschlüsselungslücken bei https-Verbindungen auf, eine der grundlegenden Methoden um Datenverbindungen im Internet zu verschlüsseln. Im aktuellen Chaosradio im Blue Moon sollen zwei Fragen geklärt werden: Warum ist die Technologie hinter dem https: so häufig kaputt? Und sollte genau diese Software nicht bombensicher sein, weil sie Open Source ist, also jeder den Quellcode anschauen kann? Marcus Richter erwartet den Chaos Computer Club ab 22:00 Uhr in den Fritz-Studios und Euch und Eure Fragen unter 0331/70 97 110.
Moderation: Marcus Richter
Gäste bis jetzt: Atoth, THS, Danimo Eventuell Nico Golde
?? Florian(mutax)
Einleitung
http://de.slideshare.net/lgrangeia/heartbleed-35236317 – heartblead wie in den medien erwähnt ist nur die spitze des Eisbergs -
Genereller Teil
(Code-Review Policies, Handling von Incidents, Mindset)
* Wer entwickelt ein “OpenSource” Programm? Welchen Sachzwaengen/Einschraenkungen sind die Entwickler unterlegen?
* Fände auch gut die Sendung nicht so sehr über alle technischen Einzelheiten von SSL/TLS zu machen, sondern auch Security/OSS/Code Review als Themen zu bearbeiten, weil die in den letzten Fällen immer wieder auftauchten. So war das wohl auch dann wohl gedacht. Aber da stand halt SSL, nicht “Security am Beispiel von OpenSSL”, deswegen hatte ich mal losgebraindumped → Weg damit Ist auch besser, wegen starker Ueberlappung zu CR172. Nee. Nicht einfach löschen. Können wir immer noch als Anregung nehmen. Ein bisschen müssen wir ja schon erklären, worum es geht und es ist leichter eine ausführliche Liste einzukürzen, als sich alles selber aus den Fingern zu saugen… Ok, readded…
Nagut, dann mal meta-dump: * Schutzziele: Vertraulichkeit, Integrität, Authentizität (oft: Zertifikat beim Server, Passwort beim Client) * Ende zu Ende crypto erklären, warum man dass will, dass letztlich nur sowas wie gnupg hilft
* DANE?
Kann uns weg von der Kaputten certification authorities Infra bringen Besser als 'Email made in Germany' weil jeder Mitmachen kann wird z.B. für Mail benutzt, der bund.de benutzt es schon, posteo(?) auch TLSA in DNS, erfordert aber wieder DNSSEC, damit nicht mehr an CA gebunden Der Inhaber der Domain sagt welches Zertifikat gilt, es gibt nicht mehr tausende CAs die ein Zertifikat ausstellen können nicht mehr 'jede ca kann zertifikat für xyz ausstellen', Wurde DigiNotar schon erwähnt früher?Das Email Drama?
(in semi-random order)
Trust on First Use, aka dreckige Hacks, die SSL wenigstens brauchbar machen
Referenzen:
https://daniel.molkentin.net/2014/04/21/fighting-cargo-cult-the-incomplete-ssltls-bookmark-collection/ https://www.ssllabs.com/
Vorschlaege bitte (URLs, Stichwoerter)
iPhone als Geisel genommen:
Unbekannte haben die Apple IDs etlicher iPhone-Benutzer in Australien und Neuseeland uebernommen. Ueber die eingebaute “Find-my-iPhone”-Funktion sperrten sie die iPhones der Besitzer und stellten eine Loesegeldforderung. Die Unbekannten drohen darin mit dem Loeschen des iPhones, falls der Besitzer der Forderung nicht nachkommt. Apple gab in einer Stellungnahme bekannt, dass der Cloud-Dienst selbst nicht gehackt worden sei.
BSI warnt vor gehackten FTP-Servern:
Das Bundesamt fuer Sicherheit in der Informationstechnik hat bei der Analyse eines sogenannten Botnetzes 200.000 Passwoerter zu FTP-Servern gefunden. Diese werden vermutlich verwendet, um dort Schadsoftware abzulegen. Diese nutzt Sicherheitsluecken im Browsers und kommt durch manipulierte Webseiten als “Drive-By-Download” auf den Rechner.
TrueCrypt-Projekt angeblich beendet:
Auf der Webseite der Festplattenverschluesselungssoftware findet sich eine Ankuendigung, die die Entwicklung von TrueCrypt fuer beendet erklaert. Mit der Abkuendigung von Windows XP sei Bitlocker unnoetig geworden. Windows 7 biete die Windows-eigene Verschluesselungssoftware Bitlocker an. Beobachter wundern sich ueber die ploetzliche Ankuendigungen die zudem davor warnt, TrueCrypt sei als unsicher anzusehen.
Erste Spekulationen vermuten einem umfangreichen Hack der Infrastruktur oder einer Reaktion auf eine staatlich angeordnete Verfuegung mit Geheimhaltungsklausel.
Eine solche sogenannte GAG-Order zwang auch den Cryto-Mail-Anbieter Lavabit zur Aufgabe.