sslstrip und hsts - owasp.orgdie auswertung blackhat 2010 vorgehensweise von 10/2012 von 01/2014...
TRANSCRIPT
sslstrip und HSTS
Sven Schleier
Der AngriffVorfuhrung sslstrip
Vorstellung sslstrip
DieGegenmaßnahmeHSTS-Header - Syntax
HSTS-Header - Details
Zertifikatswarnung - ohneHSTS
Zertifikatswarnung - mitHSTS
Adressierte Bedrohungen
Preloaded HSTS Sites
Implementierung inBrowsern
Die AuswertungBlackHat 2010
Vorgehensweise
Von 10/2012
Von 01/2014
Deutsche Seiten undBanken Seiten
HSTS - DieLosung?
Referenzen
sslstrip und HSTS
sslstrip und HSTS
Sven Schleier
OWASP Stammtisch Munchen, 18. Februar 2014
sslstrip und HSTS
Sven Schleier
Der AngriffVorfuhrung sslstrip
Vorstellung sslstrip
DieGegenmaßnahmeHSTS-Header - Syntax
HSTS-Header - Details
Zertifikatswarnung - ohneHSTS
Zertifikatswarnung - mitHSTS
Adressierte Bedrohungen
Preloaded HSTS Sites
Implementierung inBrowsern
Die AuswertungBlackHat 2010
Vorgehensweise
Von 10/2012
Von 01/2014
Deutsche Seiten undBanken Seiten
HSTS - DieLosung?
Referenzen
sslstrip und HSTS
Inhaltsverzeichnis
Der Angriff
Die Gegenmaßnahme
Die Auswertung
HSTS - Die Losung?
Referenzen
sslstrip und HSTS
Sven Schleier
Der AngriffVorfuhrung sslstrip
Vorstellung sslstrip
DieGegenmaßnahmeHSTS-Header - Syntax
HSTS-Header - Details
Zertifikatswarnung - ohneHSTS
Zertifikatswarnung - mitHSTS
Adressierte Bedrohungen
Preloaded HSTS Sites
Implementierung inBrowsern
Die AuswertungBlackHat 2010
Vorgehensweise
Von 10/2012
Von 01/2014
Deutsche Seiten undBanken Seiten
HSTS - DieLosung?
Referenzen
sslstrip und HSTSDer Angriff
Vorfuhrung sslstrip
Vorfuhrung sslstrip
I Vorfuhrung von sslstrip
I # arpspoof -i <interface>-t <targetIP><gatewayIP>I # iptables -t nat -A PREROUTING -p tcp
–destination-port 80 -j REDIRECT –to-port 10000I # sslstrip.py -l 10000
sslstrip und HSTS
Sven Schleier
Der AngriffVorfuhrung sslstrip
Vorstellung sslstrip
DieGegenmaßnahmeHSTS-Header - Syntax
HSTS-Header - Details
Zertifikatswarnung - ohneHSTS
Zertifikatswarnung - mitHSTS
Adressierte Bedrohungen
Preloaded HSTS Sites
Implementierung inBrowsern
Die AuswertungBlackHat 2010
Vorgehensweise
Von 10/2012
Von 01/2014
Deutsche Seiten undBanken Seiten
HSTS - DieLosung?
Referenzen
sslstrip und HSTSDer Angriff
Vorfuhrung sslstrip
Vorfuhrung sslstrip
I Vorfuhrung von sslstripI # arpspoof -i <interface>-t <targetIP><gatewayIP>
I # iptables -t nat -A PREROUTING -p tcp–destination-port 80 -j REDIRECT –to-port 10000
I # sslstrip.py -l 10000
sslstrip und HSTS
Sven Schleier
Der AngriffVorfuhrung sslstrip
Vorstellung sslstrip
DieGegenmaßnahmeHSTS-Header - Syntax
HSTS-Header - Details
Zertifikatswarnung - ohneHSTS
Zertifikatswarnung - mitHSTS
Adressierte Bedrohungen
Preloaded HSTS Sites
Implementierung inBrowsern
Die AuswertungBlackHat 2010
Vorgehensweise
Von 10/2012
Von 01/2014
Deutsche Seiten undBanken Seiten
HSTS - DieLosung?
Referenzen
sslstrip und HSTSDer Angriff
Vorfuhrung sslstrip
Vorfuhrung sslstrip
I Vorfuhrung von sslstripI # arpspoof -i <interface>-t <targetIP><gatewayIP>I # iptables -t nat -A PREROUTING -p tcp
–destination-port 80 -j REDIRECT –to-port 10000
I # sslstrip.py -l 10000
sslstrip und HSTS
Sven Schleier
Der AngriffVorfuhrung sslstrip
Vorstellung sslstrip
DieGegenmaßnahmeHSTS-Header - Syntax
HSTS-Header - Details
Zertifikatswarnung - ohneHSTS
Zertifikatswarnung - mitHSTS
Adressierte Bedrohungen
Preloaded HSTS Sites
Implementierung inBrowsern
Die AuswertungBlackHat 2010
Vorgehensweise
Von 10/2012
Von 01/2014
Deutsche Seiten undBanken Seiten
HSTS - DieLosung?
Referenzen
sslstrip und HSTSDer Angriff
Vorfuhrung sslstrip
Vorfuhrung sslstrip
I Vorfuhrung von sslstripI # arpspoof -i <interface>-t <targetIP><gatewayIP>I # iptables -t nat -A PREROUTING -p tcp
–destination-port 80 -j REDIRECT –to-port 10000I # sslstrip.py -l 10000
sslstrip und HSTS
Sven Schleier
Der AngriffVorfuhrung sslstrip
Vorstellung sslstrip
DieGegenmaßnahmeHSTS-Header - Syntax
HSTS-Header - Details
Zertifikatswarnung - ohneHSTS
Zertifikatswarnung - mitHSTS
Adressierte Bedrohungen
Preloaded HSTS Sites
Implementierung inBrowsern
Die AuswertungBlackHat 2010
Vorgehensweise
Von 10/2012
Von 01/2014
Deutsche Seiten undBanken Seiten
HSTS - DieLosung?
Referenzen
sslstrip und HSTSDer Angriff
Vorfuhrung sslstrip
sslstrip in Aktion [3]
sslstrip und HSTS
Sven Schleier
Der AngriffVorfuhrung sslstrip
Vorstellung sslstrip
DieGegenmaßnahmeHSTS-Header - Syntax
HSTS-Header - Details
Zertifikatswarnung - ohneHSTS
Zertifikatswarnung - mitHSTS
Adressierte Bedrohungen
Preloaded HSTS Sites
Implementierung inBrowsern
Die AuswertungBlackHat 2010
Vorgehensweise
Von 10/2012
Von 01/2014
Deutsche Seiten undBanken Seiten
HSTS - DieLosung?
Referenzen
sslstrip und HSTSDer Angriff
Vorstellung sslstrip
Vorstellung sslstrip
I Moxie Marlinspike stellt das Tool sslstrip auf der BlackHat DC 2009 vor [4]
I sslstrip ist ein MitM Angriff der alle HTTPS:// Linksmit HTTP:// austauscht [5]
I Dadurch wird der Aufbau einer SSL/TLSVerschlusselung verhindert
I Kein Angriff auf die Verschlusselung selbst
sslstrip und HSTS
Sven Schleier
Der AngriffVorfuhrung sslstrip
Vorstellung sslstrip
DieGegenmaßnahmeHSTS-Header - Syntax
HSTS-Header - Details
Zertifikatswarnung - ohneHSTS
Zertifikatswarnung - mitHSTS
Adressierte Bedrohungen
Preloaded HSTS Sites
Implementierung inBrowsern
Die AuswertungBlackHat 2010
Vorgehensweise
Von 10/2012
Von 01/2014
Deutsche Seiten undBanken Seiten
HSTS - DieLosung?
Referenzen
sslstrip und HSTSDie Gegenmaßnahme
HSTS-Header - Syntax
HSTS-Header - Syntax
GET / ServiceLogin HTTP /1.1Host: accounts . google .com...
HTTP /1.1 200 OK...Strict -Transport - Security : max -age
=10893354; includeSubDomains
sslstrip und HSTS
Sven Schleier
Der AngriffVorfuhrung sslstrip
Vorstellung sslstrip
DieGegenmaßnahmeHSTS-Header - Syntax
HSTS-Header - Details
Zertifikatswarnung - ohneHSTS
Zertifikatswarnung - mitHSTS
Adressierte Bedrohungen
Preloaded HSTS Sites
Implementierung inBrowsern
Die AuswertungBlackHat 2010
Vorgehensweise
Von 10/2012
Von 01/2014
Deutsche Seiten undBanken Seiten
HSTS - DieLosung?
Referenzen
sslstrip und HSTSDie Gegenmaßnahme
HSTS-Header - Details
HSTS-Header - Details
I HSTS ist in RFC 6797 beschrieben und ist im Momentein Proposed Standard der IETF [2]
I max-age Direktive muss angegeben werden, includesubdomains ist optional [8]
I Browser ruft nach setzen des Headers die Seite nurnoch per HTTPS auf
I Zertifikatswarnungen konnen nicht mehr umgangenwerden
sslstrip und HSTS
Sven Schleier
Der AngriffVorfuhrung sslstrip
Vorstellung sslstrip
DieGegenmaßnahmeHSTS-Header - Syntax
HSTS-Header - Details
Zertifikatswarnung - ohneHSTS
Zertifikatswarnung - mitHSTS
Adressierte Bedrohungen
Preloaded HSTS Sites
Implementierung inBrowsern
Die AuswertungBlackHat 2010
Vorgehensweise
Von 10/2012
Von 01/2014
Deutsche Seiten undBanken Seiten
HSTS - DieLosung?
Referenzen
sslstrip und HSTSDie Gegenmaßnahme
Zertifikatswarnung - ohne HSTS
Zertifikatswarnung - ohne HSTS
sslstrip und HSTS
Sven Schleier
Der AngriffVorfuhrung sslstrip
Vorstellung sslstrip
DieGegenmaßnahmeHSTS-Header - Syntax
HSTS-Header - Details
Zertifikatswarnung - ohneHSTS
Zertifikatswarnung - mitHSTS
Adressierte Bedrohungen
Preloaded HSTS Sites
Implementierung inBrowsern
Die AuswertungBlackHat 2010
Vorgehensweise
Von 10/2012
Von 01/2014
Deutsche Seiten undBanken Seiten
HSTS - DieLosung?
Referenzen
sslstrip und HSTSDie Gegenmaßnahme
Zertifikatswarnung - mit HSTS
Zertifikatswarnung - mit HSTS
sslstrip und HSTS
Sven Schleier
Der AngriffVorfuhrung sslstrip
Vorstellung sslstrip
DieGegenmaßnahmeHSTS-Header - Syntax
HSTS-Header - Details
Zertifikatswarnung - ohneHSTS
Zertifikatswarnung - mitHSTS
Adressierte Bedrohungen
Preloaded HSTS Sites
Implementierung inBrowsern
Die AuswertungBlackHat 2010
Vorgehensweise
Von 10/2012
Von 01/2014
Deutsche Seiten undBanken Seiten
HSTS - DieLosung?
Referenzen
sslstrip und HSTSDie Gegenmaßnahme
Adressierte Bedrohungen
Adressierte Bedrohungen
I Passive Netzwerk AttackenI tcpdump (fur Nerds)I Firesheep (einfachere Alternative)I Attacken werden unterstutzt durch Setzen von falschen
Bookmarks, HTTP Links in HTTPS-ApplikationenI Aktive Netzwerk Attacken
I sslstripI Rogue Access Point um MiTM-Angriffe auszufuhren
I Web Site Entwicklung und Deployment FehlerI Mixed-ContentI kaputte SSL-Zertifikate
I Phishing, Malware und Browser Schwachstellenweiterhin ausnutzbar
sslstrip und HSTS
Sven Schleier
Der AngriffVorfuhrung sslstrip
Vorstellung sslstrip
DieGegenmaßnahmeHSTS-Header - Syntax
HSTS-Header - Details
Zertifikatswarnung - ohneHSTS
Zertifikatswarnung - mitHSTS
Adressierte Bedrohungen
Preloaded HSTS Sites
Implementierung inBrowsern
Die AuswertungBlackHat 2010
Vorgehensweise
Von 10/2012
Von 01/2014
Deutsche Seiten undBanken Seiten
HSTS - DieLosung?
Referenzen
sslstrip und HSTSDie Gegenmaßnahme
Preloaded HSTS Sites
Preloaded HSTS Sites
I Die allerste Verbindung zur Webseite MUSS uber einegesicherte Verbindung erfolgen.
I Benutzer ist wieder verwundbar, z.B. nachNeuinstallation von Betriebssystem
I Fest verankerte Liste in Firefox und Chrome [6]I HSTS out-of-the-box fur Google, Paypal, Twitter usw.I Jede Webseite kann auf die HSTS Preloaded List
aufgenommen werden.
sslstrip und HSTS
Sven Schleier
Der AngriffVorfuhrung sslstrip
Vorstellung sslstrip
DieGegenmaßnahmeHSTS-Header - Syntax
HSTS-Header - Details
Zertifikatswarnung - ohneHSTS
Zertifikatswarnung - mitHSTS
Adressierte Bedrohungen
Preloaded HSTS Sites
Implementierung inBrowsern
Die AuswertungBlackHat 2010
Vorgehensweise
Von 10/2012
Von 01/2014
Deutsche Seiten undBanken Seiten
HSTS - DieLosung?
Referenzen
sslstrip und HSTSDie Gegenmaßnahme
Implementierung in Browsern
Implementierung in Browsern [1]
sslstrip und HSTS
Sven Schleier
Der AngriffVorfuhrung sslstrip
Vorstellung sslstrip
DieGegenmaßnahmeHSTS-Header - Syntax
HSTS-Header - Details
Zertifikatswarnung - ohneHSTS
Zertifikatswarnung - mitHSTS
Adressierte Bedrohungen
Preloaded HSTS Sites
Implementierung inBrowsern
Die AuswertungBlackHat 2010
Vorgehensweise
Von 10/2012
Von 01/2014
Deutsche Seiten undBanken Seiten
HSTS - DieLosung?
Referenzen
sslstrip und HSTSDie Auswertung
BlackHat 2010
Auswertung von 2010 - Qualys SSL Labs
sslstrip und HSTS
Sven Schleier
Der AngriffVorfuhrung sslstrip
Vorstellung sslstrip
DieGegenmaßnahmeHSTS-Header - Syntax
HSTS-Header - Details
Zertifikatswarnung - ohneHSTS
Zertifikatswarnung - mitHSTS
Adressierte Bedrohungen
Preloaded HSTS Sites
Implementierung inBrowsern
Die AuswertungBlackHat 2010
Vorgehensweise
Von 10/2012
Von 01/2014
Deutsche Seiten undBanken Seiten
HSTS - DieLosung?
Referenzen
sslstrip und HSTSDie Auswertung
Vorgehensweise
Vorgehensweise
I Grundlage ist die Alexa Top 1 MillionenI Perl-Skript das an alle Domains einen HEAD-Request
ausfuhrtI Zusatzlich GET-Request, der in Response nach Links
mit password, login usw. sucht
sslstrip und HSTS
Sven Schleier
Der AngriffVorfuhrung sslstrip
Vorstellung sslstrip
DieGegenmaßnahmeHSTS-Header - Syntax
HSTS-Header - Details
Zertifikatswarnung - ohneHSTS
Zertifikatswarnung - mitHSTS
Adressierte Bedrohungen
Preloaded HSTS Sites
Implementierung inBrowsern
Die AuswertungBlackHat 2010
Vorgehensweise
Von 10/2012
Von 01/2014
Deutsche Seiten undBanken Seiten
HSTS - DieLosung?
Referenzen
sslstrip und HSTSDie Auswertung
Von 10/2012
Auswertung von Oktober 2012 [7]
sslstrip und HSTS
Sven Schleier
Der AngriffVorfuhrung sslstrip
Vorstellung sslstrip
DieGegenmaßnahmeHSTS-Header - Syntax
HSTS-Header - Details
Zertifikatswarnung - ohneHSTS
Zertifikatswarnung - mitHSTS
Adressierte Bedrohungen
Preloaded HSTS Sites
Implementierung inBrowsern
Die AuswertungBlackHat 2010
Vorgehensweise
Von 10/2012
Von 01/2014
Deutsche Seiten undBanken Seiten
HSTS - DieLosung?
Referenzen
sslstrip und HSTSDie Auswertung
Von 01/2014
Auswertung von Januar 2014
sslstrip und HSTS
Sven Schleier
Der AngriffVorfuhrung sslstrip
Vorstellung sslstrip
DieGegenmaßnahmeHSTS-Header - Syntax
HSTS-Header - Details
Zertifikatswarnung - ohneHSTS
Zertifikatswarnung - mitHSTS
Adressierte Bedrohungen
Preloaded HSTS Sites
Implementierung inBrowsern
Die AuswertungBlackHat 2010
Vorgehensweise
Von 10/2012
Von 01/2014
Deutsche Seiten undBanken Seiten
HSTS - DieLosung?
Referenzen
sslstrip und HSTSDie Auswertung
Deutsche Seiten und Banken Seiten
Verbreitung von HSTS bei Banken undDeutschen Webseiten
I Deutsche Seiten (insgesamt 40471 deutsche Seiten ausAlexa Top 1 Millionen)
I Oktober 2012: 12 Seiten mit HSTS HeaderI Februar 2014: 112 Seiten mit HSTS Header
I Bank Webseiten (insgesamt 423 Webseiten vondeutschen Banken)
I Oktober 2012: 4 Seiten mit HSTS HeaderI Februar 2014: 7 Seiten mit HSTS Header
sslstrip und HSTS
Sven Schleier
Der AngriffVorfuhrung sslstrip
Vorstellung sslstrip
DieGegenmaßnahmeHSTS-Header - Syntax
HSTS-Header - Details
Zertifikatswarnung - ohneHSTS
Zertifikatswarnung - mitHSTS
Adressierte Bedrohungen
Preloaded HSTS Sites
Implementierung inBrowsern
Die AuswertungBlackHat 2010
Vorgehensweise
Von 10/2012
Von 01/2014
Deutsche Seiten undBanken Seiten
HSTS - DieLosung?
Referenzen
sslstrip und HSTSHSTS - Die Losung?
HSTS - Die Losung?
I HSTS ist nur ein kleiner Baustein zur Sicherstellungeiner sicheren Verbindung uber SSL/TLS
I HTTPS Everywhere von EFFI Preloaded Lists in Firefox und Chrome [6]I Certificate PinningI Awareness bei Benutzern (Bookmarks setzen, auf das
’Schloss’ achten usw.)
sslstrip und HSTS
Sven Schleier
Der AngriffVorfuhrung sslstrip
Vorstellung sslstrip
DieGegenmaßnahmeHSTS-Header - Syntax
HSTS-Header - Details
Zertifikatswarnung - ohneHSTS
Zertifikatswarnung - mitHSTS
Adressierte Bedrohungen
Preloaded HSTS Sites
Implementierung inBrowsern
Die AuswertungBlackHat 2010
Vorgehensweise
Von 10/2012
Von 01/2014
Deutsche Seiten undBanken Seiten
HSTS - DieLosung?
Referenzen
sslstrip und HSTSHSTS - Die Losung?
Ende...
I Noch Fragen?
sslstrip und HSTS
Sven Schleier
Der AngriffVorfuhrung sslstrip
Vorstellung sslstrip
DieGegenmaßnahmeHSTS-Header - Syntax
HSTS-Header - Details
Zertifikatswarnung - ohneHSTS
Zertifikatswarnung - mitHSTS
Adressierte Bedrohungen
Preloaded HSTS Sites
Implementierung inBrowsern
Die AuswertungBlackHat 2010
Vorgehensweise
Von 10/2012
Von 01/2014
Deutsche Seiten undBanken Seiten
HSTS - DieLosung?
Referenzen
sslstrip und HSTSReferenzen
Referenzen I
[1] caniuse.com.aktuelle verbreitung von hsts in browsern.http://caniuse.com/#search=hsts, February 2014.
[2] IETF.rfc 6797.https://tools.ietf.org/html/rfc6797, November2012.
[3] jahfire.Abbildung zu sslstrip angriff.http://forum.wifi4free.info/bilder/backtrack/ettercapsslstriphttpspwsnif/sslstrip.png,February 2014.
sslstrip und HSTS
Sven Schleier
Der AngriffVorfuhrung sslstrip
Vorstellung sslstrip
DieGegenmaßnahmeHSTS-Header - Syntax
HSTS-Header - Details
Zertifikatswarnung - ohneHSTS
Zertifikatswarnung - mitHSTS
Adressierte Bedrohungen
Preloaded HSTS Sites
Implementierung inBrowsern
Die AuswertungBlackHat 2010
Vorgehensweise
Von 10/2012
Von 01/2014
Deutsche Seiten undBanken Seiten
HSTS - DieLosung?
Referenzen
sslstrip und HSTSReferenzen
Referenzen II
[4] Moxie Marlinspike.blackhat prasentation von sslstrip.https://www.blackhat.com/presentations/bh-dc-09/Marlinspike/BlackHat-DC-09-Marlinspike-Defeating-SSL.pdf,August 2009.
[5] Moxie Marlinspike.sslstrip projekt.http://www.thoughtcrime.org/software/sslstrip/,February 2014.
sslstrip und HSTS
Sven Schleier
Der AngriffVorfuhrung sslstrip
Vorstellung sslstrip
DieGegenmaßnahmeHSTS-Header - Syntax
HSTS-Header - Details
Zertifikatswarnung - ohneHSTS
Zertifikatswarnung - mitHSTS
Adressierte Bedrohungen
Preloaded HSTS Sites
Implementierung inBrowsern
Die AuswertungBlackHat 2010
Vorgehensweise
Von 10/2012
Von 01/2014
Deutsche Seiten undBanken Seiten
HSTS - DieLosung?
Referenzen
sslstrip und HSTSReferenzen
Referenzen III[6] The Chromium Projects.
preloaded lists in chrome und firefox.http://dev.chromium.org/sts, February 2014.
[7] Sven Schleier und Thomas Schreiber.Hsts verbreitung.http://www.securenet.de/fileadmin/papers/HTTP_Strict_Transport_Security_HSTS_Verbreitung.pdf, November 2012.
[8] Sven Schleier und Thomas Schreiber.Hsts whitepaper.http://www.securenet.de/fileadmin/papers/HTTP_Strict_Transport_Security_HSTS_Whitepaper.pdf, November 2012.