Secure Session Protocol Concept and Implementation of a Protocol to Securely Operate Web Applications Marco Ghiglieri Florian Oswald Florian Oswald –14. Deutscher IT Sicherheitskongress 19. – 21. Mai 1 Inhalt – (I) Einleitung & Motivation Aktuelle Entwicklung von Web Applikationen: sensitive Daten Angriffe Sicherheitskonzept Probleme & Motivation Vorstellung: „Secure Session Protocol“ Ausblick & Diskussion Florian Oswald –14. Deutscher IT Sicherheitskongress 19. – 21. Mai 2 Einleitung - Aktuelle Entwicklung Steigende Anzahl von Internetnutzern Web Applikationen gewinnen immer mehr an Bedeutung Angriffe zunehmend komplexer Florian Oswald –14. Deutscher IT Sicherheitskongress 19. – 21. Mai 3 Einleitung - Probleme & Motivation Zahlreiche Web Sicherheitskonzepte vorhanden: z.B. Same Origin Policy, Content Security Policy, Phishing Filter, Private Browsing … Zahlreiche Fälle von Hackerangriffen „Mehr Hackerangriffe auf Online-Banking“, FAZ Mai 2014 Florian Oswald –14. Deutscher IT Sicherheitskongress 19. – 21. Mai 4 Einleitung - Probleme & Motivation Zahlreiche Web Sicherheitskonzepte vorhanden: z.B. Same Origin Policy, Content Security Policy, Phishing Filter, Private Browsing … Zahlreiche Fälle von Hacking Angriffen „Mehr Hackerangriffe auf Online-Banking“, FAZ Mai 2014 Sind aktuelle Web Sicherheitskonzepte ausreichend? Florian Oswald –14. Deutscher IT Sicherheitskongress 19. – 21. Mai 5 Einleitung - Probleme & Motivation Client-Seite als Blackbox Florian Oswald –14. Deutscher IT Sicherheitskongress 19. – 21. Mai 6 Einleitung - Probleme & Motivation Client-Seite als Blackbox Wer ist der Client? Bekomme ich korrekte Informationen? Angreifer ist von Nutzer nicht unterscheidbar Identifizierung des Clients Florian Oswald –14. Deutscher IT Sicherheitskongress 19. – 21. Mai 12 Einleitung - Probleme & Motivation Security Policies sind zu allgemein (≈ Set von Sicherheitsregeln) eine Security Policy für alle Clients jeder Client ist unterschiedlich Individuelle Anpassung der Security Policies Wurden die Security Policies korrekt umgesetzt? derzeit keine Möglichkeit der Überprüfung Garantie für die Umsetzung? jeder Client ist unterschiedlich Überprüfbarkeit der Security Policies Florian Oswald –14. Deutscher IT Sicherheitskongress 19. – 21. Mai 8 Inhalt – (II) Einleitung & Motivation Vorstellung: „Secure Session Protocol“ Aufbau & Konzept Erklärung des Protokolls „Step-by-Step“ Beispiel anhand der Implementierung Sicherheitsmechanismen Zusammenfassung Ausblick & Diskussion Florian Oswald –14. Deutscher IT Sicherheitskongress 19. – 21. Mai 9 Secure Session Protocol – Definition Secure Session Protocol Concept and Implementation of a Protocol to Securely Operate Web Applications Konzept & Implementierung Ziele: gegenseitige Identifizierung Individualisierung von Security Policies Überprüfbarkeit der Security Polices Florian Oswald –14. Deutscher IT Sicherheitskongress 19. – 21. Mai 10 Secure Session Protocol – Definition Jede Web Applikation kann das Protokoll verwenden Secure Session Protocol verursacht Overhead Zielgruppe: Web Applikationen mit sensitiven Daten Online Banking E-Shopping Business Applikationen Florian Oswald –14. Deutscher IT Sicherheitskongress 19. – 21. Mai 11 Secure Session Protocol – Terminologie Secure Session Protocol Extension vertrauenswürdiger Partner der Web Applikation auf der Seite des Clients Florian Oswald –14. Deutscher IT Sicherheitskongress 19. – 21. Mai 12 Secure Session Protocol – Terminologie Secure Session Sichere Web Session im Browser Secure Session Key Verschlüsselung zwischen Extension und Web Applikation Florian Oswald –14. Deutscher IT Sicherheitskongress 19. – 21. Mai 13 Secure Session Protocol - Konzept Lebenszyklus des Secure Session Protocols Aus jedem Zustand ist Terminating erreichbar Nach Terminating folgt Ready Pairing ist nur beim ersten Mal notwendig* Florian Oswald –14. Deutscher IT Sicherheitskongress 19. – 21. Mai 14 Secure Session Protocol – Ready Finden einer passenden Gegenseite Signalisierung durch HTTP Header Feld Name: Secure-Session-Protocol Web Applikation ist bereits bekannt Pairing Informationen liegen vor Establishing Keine Unterstützung des Secure Session Protocols Transparent für den Nutzer Florian Oswald –14. Deutscher IT Sicherheitskongress 19. – 21. Mai 15 Secure Session Protocol – Ready Finden einer passenden Gegenseite Signalisierung durch HTTP Header Feld Name: Secure-Session-Protocol Web Applikation ist bereits bekannt Pairing Informationen liegen vor Establishing Keine Unterstützung des Secure Session Protocols Transparent für den Nutzer Florian Oswald –14. Deutscher IT Sicherheitskongress 19. – 21. Mai 16 Secure Session Protocol – Ready Finden einer passenden Gegenseite Signalisierung durch HTTP Header Feld Name: Secure-Session-Protocol Web Applikation ist bereits bekannt Pairing Informationen liegen vor Establishing Keine Unterstützung des Secure Session Protocols Transparent für den Nutzer Florian Oswald –14. Deutscher IT Sicherheitskongress 19. – 21. Mai 17 Secure Session Protocol – Pairing Secure Session benötigt einen Secure Session Key Triple: <User ID, Web Applikation, Extension> Diffie-Hellmann Key Agreement Zusätzliche Verifikation durch Out-of-Bounds Secret Eigenschaften: Beidseitige Identifizierung (HTTPS und Secure Session Key) Covert Channel zwischen Extension und Web Applikation Florian Oswald –14. Deutscher IT Sicherheitskongress 19. – 21. Mai 18 Secure Session Protocol – Pairing Secure Session benötigt einen Secure Session Key Triple: <User ID, Web Applikation, Extension> Diffie-Hellmann Key Agreement Zusätzliche Verifikation durch Out-of-Bounds Secret Eigenschaften: Beidseitige Identifizierung (HTTPS und Secure Session Key) Covert Channel zwischen Extension und Web Applikation Florian Oswald –14. Deutscher IT Sicherheitskongress 19. – 21. Mai 19 Secure Session Protocol - Establishing Secure Session generieren Hauptphase des Protokolls Verwendung des erstellten Kanals dynamische Erzeugung der Security Policies Secure Session Key Informationen sammeln Collecting Florian Oswald –14. Deutscher IT Sicherheitskongress 19. – 21. Mai Auswerten & Sicherheitskonzept festlegen Creating Secure Session erstellen Building 20 Secure Session Protocol - Collecting Extension sammelt korrekte Informationen über … den Browser … installierte Add-Ons … das Betriebssystem … das Netzwerk Informationen sammeln Florian Oswald –14. Deutscher IT Sicherheitskongress 19. – 21. Mai Auswerten & Sicherheitskonzept festlegen Secure Session erstellen 21 Secure Session Protocol - Creating Zustand hat zwei Aufgaben Security Checks individuelles Secure Set erstellen Browser Browser Version? Version? Flash Player Flash Player Version? Version? Informationen sammeln Florian Oswald –14. Deutscher IT Sicherheitskongress 19. – 21. Mai Ausreichendes … Sicherheitslevel? Modifikationen? Modifikationen? Auswerten & Sicherheitskonzept festlegen Secure Session erstellen 22 Secure Session Protocol - Creating Zustand hat zwei Aufgaben Security Checks individuelles Secure Set erstellen Parameter Private Browsing Entry Point Managing Plug-Ins Managing Extensions HTTPS Enforcement Extended* Content Security Policy Regel Informationen sammeln Florian Oswald –14. Deutscher IT Sicherheitskongress 19. – 21. Mai Auswerten & Sicherheitskonzept festlegen Secure Session erstellen 23 Secure Session Protocol – Building Secure Session wird erstellt anhand des Secure Sets alle Parameter & Regeln werden umgesetzt Start: Entry Point Informationen sammeln Florian Oswald –14. Deutscher IT Sicherheitskongress 19. – 21. Mai Auswerten & Sicherheitskonzept festlegen Secure Session erstellen 24 Secure Session Protocol - Running Timeout? Private Browsing • • HTTPS Integrität HTTPS Key Extended CSP Florian Oswald –14. Deutscher IT Sicherheitskongress 19. – 21. Mai 25 Secure Session Protocol - Terminating Secure Session endet … Web Applikation wurde beendet … Fehler auf der Seite des Browsers … Fehler durch Web Applikation erkannt Konzept: Warnungen & Fehler Ziel: Erhöhung des zukünftigen Sicherheitslevels Protokoll beginnt wieder im Zustand Ready Florian Oswald –14. Deutscher IT Sicherheitskongress 19. – 21. Mai 26 Secure Session Protocol - Zusammenfassung Ziele: gegenseitige Identifizierung Individualisierung von Security Policies Überprüfbarkeit der Security Polices Florian Oswald –14. Deutscher IT Sicherheitskongress 19. – 21. Mai 27 Inhalt – (III) Einleitung & Motivation Vorstellung: „Secure Session Protocol“ Ausblick & Diskussion Verbesserung der Implementierung Weitere Anwendungsfälle Florian Oswald –14. Deutscher IT Sicherheitskongress 19. – 21. Mai 28 Secure Session Protocol - Outlook Aktuelle Implementierung basiert auf einer Google Chrome Extension Probleme: Kein Zugriff auf HTTPS Zertifikate Kein Zugriff auf sicheren Speicher Maximale Sicherheit kann nur durch Implementierung im Browser erreicht werden Weitere Use-Cases z.B. Videoplattformen und AdBlocker z.B. Policy Management im Active Directory Florian Oswald –14. Deutscher IT Sicherheitskongress 19. – 21. Mai 29 Secure Session Protocol Concept and Implementation of a Protocol to Securely Operate Web Applications Vielen Dank für Ihre Aufmerksamkeit ! Fragen? Florian Oswald –14. Deutscher IT Sicherheitskongress 19. – 21. Mai 30 Quellen „Mehr Hackerangriffe auf Online-Banking“, FAZ Mai 2014 • http://www.faz.net/aktuell/finanzen/meine-finanzen/sparen-und-geld-anlegen/nachrichten/kriminalitaet-im-netz-mehrhackerangriffe-auf-online-banking-12939817.html Bilder Folie 20 • • • • • Chrome: http://www.mobiflip.de/wp-content/uploads/2014/06/Chrome-Logo.jpg IE: http://upload.wikimedia.org/wikipedia/it/a/aa/Internet_Explorer_logo_6.png Web Store: http://cdn.appstorm.net/web.appstorm.net/files/2010/12/Chrome-Store1.png Flash: http://tabletcommunity.de/blog/wp-content/uploads/2011/02/flash-player-logo.jpg Windows: http://1.bp.blogspot.com/-g_xAMTQ0L9k/UyRB4dM5dKI/AAAAAAAAAr4/Y0XKkKBVQsY/s1600/Windows-8-Metro-logo%255B9%255D.png Grafiken • yEd yWorks (yWorks GmbH 2014 ©) Florian Oswald – –14. Master Deutscher ThesisIT – 08.07.2014 Sicherheitskongress 19. – 21. Mai 31
© Copyright 2024 ExpyDoc
