Insecurities within automatic update systems

Vergelijkbare documenten

Het leven na de installatie 2005, deel 1

DigiNotar certificaten

HANDLEIDING Externe toegang tot het Vesteda netwerk voor Vesteda medewerkers

Aan Hoofd ICT Securityofficer. Datum 20 oktober 2011 Betreft Vrijgeven DVS na DigiNotar incident. Geacht heer, mevrouw

Perceptive Process. Technische Specificaties. Versie: 3.9.x

Perceptive Process. Technische Specificaties. Versie: 3.7.x

Handleiding. vworkspace VGGM. Handleiding voor gebruikers.

Beveiligen van PDF documenten (deel 3)

Installatie handleiding

HANDLEIDING Externe toegang tot het Vesteda netwerk voor leveranciers

Gratis bescherming tegen zero-days exploits

De webpagina kan niet worden weergegeven

Introductie Veiligheidseisen Exploiten Conclusie. Browser security. Wouter van Dongen. RP1 Project OS3 System and Network Engineering

Resultaten van de scan. Open poorten. High vulnerabilities. Medium vulnerabilites. Low vulnerabilities

Perceptive Process. Technische Specificaties. Versie: 3.4.x

Labo-sessie: Gegevensbeveiliging

eid middleware v2.6 voor Mac OS X

Keynote: Gevaren van zowel het GSM als het Wi-Fi netwerk

Perceptive Process Design & Enterprise Ondersteunde platformen

eid middleware v2.6 voor GNU/Linux

JAVA voor ALABUS (nieuwe softwaretoepassing Vlaamse Atletiekliga)

update windows (min versie 5.5 van internetexplorer) update office

Releasenotes versie 1.1 VERSIE A

Mijn HVW-dossier. Veel voorkomende vragen en problemen

Handleiding. Certificaat installeren

Handleiding. Certificaat installeren

ICT en de digitale handtekening. Door Peter Stolk

Windows XP Migratie opties. Bart van Dijk

Handleiding Certificaat installeren

Perceptive Process. Technische Specificaties. Version: 3.5.x

PCkring 01 maart 2011

Installatie Handleiding voor Modelit Applicatieprogrammatuur

Technische instructie Toegang tot Dienstenportaal via Webapplicatie (Internet Explorer) t.b.v. Repad

Voordat er optimaal gebruik gemaakt kan worden gemaakt van Magister 5 via het web, kan deze FAQ mogelijk van pas komen.

Transport Layer Security. Presentatie Security Tom Rijnbeek

Handleiding Inloggen met SSL VPN

Windows 10. Bart van Dijk

Linux Quickstart Cygwin

Ibis systeemvereisten

Werken met SNAP pakketten in Ubuntu 16.04

ALLES WAT U MOET WETEN OVER. HUPRA s CLOUDWERKPLEK. Werken waar en wanneer u maar wilt!

Google Chrome Windows Vista Windows 7 Windows Apple imac ibook Adobe Acrobat Reader

Mijn HVW-dossier. Veel voorkomende vragen en problemen

Thuiswerken. Auteur: Peter de Silva Datum laatste wijziging:

Handleiding. Handleiding

Inhoud Wat is mobiel werken?... 2 Installeren VPN Client... 3 Laptop... 3 Windows Windows Mac OS X Linux Tablet...

Gelre thuiswerk Portal

Handleiding ALGEMENE HANDLEIDING VWORKSPACE. Versie: 1.2. Datum: 10 april Eigenaar:

Van dvd naar webserver. Marcel Nijenhof 18 Juli

Plan van aanpak. 1 Inleiding. 2 Onderzoek. 3 Taken. Kwaliteitswaarborging van webapplicaties. Rachid Ben Moussa

Gerust aan het werk MET ALLE INFORMATIE OVER ONZE CLOUD WERKPLEK.

VMware ThinApp. Application Virtualization Platform that enables complex software to be delivered as self-contained EXE files

Software hoofdstuk Wat is de functie van een besturingssysteem? 2. Welke hoofdtaken heeft het besturingssysteem?

Voordeel van de RDP verbinding boven andere systemen is dat de resolutie wordt aangepast aan het lokale beeldscherm.

Handleiding Beveiligen van Wordpress

5W Security Improvement

SYSTEEMVEREISTEN TRACK VERZUIM 4

Handleiding Inloggen met SSL VPN

iprova Suite Systeemeisen iprova 5 Hosting

Perceptive Process Design & Enterprise 3.1. Ondersteunde platformen

Denit VMware vcenter Installatie VPN Client en VMware vsphere Client

Kenmerken Nomadesk Software

Je website veilig de zomer(vakantie) door

Nederlands Normalisatie Instituut

Veelgestelde vragen Server Back-up Online

Installatie Handleiding voor: TiC Narrow Casting Certified. System Integrators

Het is voorlopig nog onduidelijk wie achter deze aanvallen zit en wat de initiële infectievector is.

software & security antwoorden

volledig automatische back-up van uw bestanden uw bestanden worden uiterst veilig opgeslagen snel en gemakkelijk uw back-up instellen

Petya ransomware aanval

Systeemvereisten. Datum: Naam: Systeemvereisten versie 43 revisie 15 Status:

Stappen om EduVPN te activeren:

ITware maakt een directe verbinding met de database van uw webwinkel. Hiervoor Is een MySQL ODBC connector nodig, specifiek versie bit.

Toelichting SHA-2 Release Zorg CSP (UZI-register en ZOVAR)

Handleiding installatie en gebruik. Ahsay OBM. Windows server Apple OS X Linux en UNIX-varianten

Code signing. Door: Tom Tervoort

Externe Toegang installeren onder Linux

Identify and mitigate your IT risk

Gebruikershandleiding

Inventus Software. Encryption Services. Antum Secured Message System. Jan Muyldermans

Browser in the Box; een veilige manier van internetten

Tevens zou het niet compleet overbodig zijn om het fenomeen commercieel te bespreken

Aandachtspunten PKIoverheid

Veiligheid is een fundamenteel element in het kader van informatie-uitwisseling via internet

Gelre thuiswerk Portal

Project 4 - Centrale Bank. Rick van Vonderen TI1C

Handleiding voor aansluitingen

Security Pentest. 18 Januari Uitgevoerde Test(s): 1. Blackbox Security Pentest 2. Greybox Security Pentest

5/8 Patch management

Documentatie. Remote Access Voorziening Etam (RAVE)

Peelland ICT Online Back-up

Hyper-V vs ESX in het datacenter

Gebruikershandleiding

ACTUEEL: Uw speciale aandacht vragen wij voor hoofdstuk Wijzigen inlogmethodes. Datum: maandag 12 oktober 2015 Versie 1.

iprova Suite Systeemeisen client

Programma's installeren in Linux (toegespitst op Kanotix; Debian/sid)

Handleiding VANAD Comvio SBC Windows

Versie: 1.0. Datum: 19 november Eigenaar:

Transcriptie:

Can patching let a cracker in?. Peter Ruissen Robert Vloothuis RP2 Project OS3 System and Network Engineering University of Amsterdam June 28, 2007

1 2 3 4 Linux distributies Java Runtime Environment Mozilla & plugins 5 Risico model Risico overzicht 6

Onderzoeksvraag Onderzoeksvraag Welke eisen zijn er nodig voor een veilig update mechanisme en in welke mate voldoen de huidige besturingssystemen en applicaties hieraan?

ISO 9126 CIA Triad for updates ISO 9126-1 Functionality security Reliability Usability Efficiency Maintainability Portability

CIA Triad ISO 9126 CIA Triad for updates 1 Integriteit CRC/HASH Certificaten Ontwikkeling 2 Vertrouwenlijkheid Beveiligde verbinding (SSL/TLS) 3 Beschikbaarheid Meerdere update bronnen

Proces model ISO 9126 CIA Triad for updates 1 Ontwikkeling 2 Vertrouwelijkheid 3 Integriteit 4 Beschikbaarheid

Aanval methoden Windows XP/Vista Adobe Acrobat Command & conquer 3

Windows XP/Vista Aanval methoden Windows XP/Vista Adobe Acrobat Command & conquer 3 Windows XP Windows update versie 6 Automatische updates Windows Vista Ongeveer hetzelfde als XP Gentegreerde update mechaniek Update meer Microsoft applicaties Update beveiliging Certificaten TLS v1.0 - Vertrouwelijkheid BITS - Integriteit Centrale update server - Beschikbaarheid

Acrobat Reader 8 Aanval methoden Windows XP/Vista Adobe Acrobat Command & conquer 3 Certificaten Inc. Revocation List Public Acrobat key in installatie package Geen beveiligde verbinding Centrale update server

Command & conquer 3 Aanval methoden Windows XP/Vista Adobe Acrobat Command & conquer 3 Download update lijst van EA server in plain tekst FTP server File list File size (FTP command SIZE) Onbekende(?) Hash over bestanden GEEN certificaten GEEN encryptie ÉÉN enkele update server

Linux update (on)veiligheden Linux distributies Java Runtime Environment Mozilla & plugins Redhat yellow dog updater (YUM): Mirror chaining: (rsync en CVS) gevaarlijk.. Automatisch ophalen public keys slechte gewoonte... Debian Advanced Packaging tool (APT) 2003: GNU en Savannah FTP mirrors gekraakt: Gentoo Portage (Emerge and ebuild class files) 2003: enkele trojans vrijgegeven voor Portage: Signed Ebuilds Gebruiken allemaal GnuGPG om de host te authenticeren met signed binaries. GnuPG versie 1.4.6 is kwetsbaar.

Java Runtime Environment updates Linux distributies Java Runtime Environment Mozilla & plugins Figure: Sun raad onveilige updates aan... Online Java update unsigned, Sun raad aan om dit te negeren Java update gebruikt certificaten met SHA1 signatures Windows gebruikers zullen warnings negeren (lijkt op third party driver warning)

Java update exploit Linux distributies Java Runtime Environment Mozilla & plugins Figure: Simpele Java update spoofing aanval: (Download)

Java update exploit Linux distributies Java Runtime Environment Mozilla & plugins Figure: Simpele Java update spoofing aanval: (Run)

Java update exploit Linux distributies Java Runtime Environment Mozilla & plugins Figure: Simpele Java update spoofing aanval: (Hacked!) Juni 2007: Meerder trojans uitgebracht voor alle java versies (image buffer overflow): oude versie worden NIET gedeinstalleerd.

Mozilla & plugins Linux distributies Java Runtime Environment Mozilla & plugins Mozilla geprogrammeerd met beveiliging in gedachte (SSL, Manifest files, SHA2 hash; beloning voor vinden van critical security bugs) Zwakheden in third party plugins Automatic install XPI (Cross platform install) packages GEEN SSL: Google toolbar, Yahoo, Facebook, AOL en anderen Fake update response with malicious data.

Risico model Risico model Risico overzicht Figure: Simpele risico analyse gebaseerd op impact en hacker skills

Risico overzicht Risico model Risico overzicht App/OS Flaw Risk Windows XP/Vista Denial of updates MEDIUM Adobe Acrobat Denial of updates MEDIUM Linux distros Hacking one GPG LOW mirror compromises all Firefox extensions not using HIGH SSL Java Updates MIM attack, ignore MEDIUM warnings Java plugin Firefox unsigned MEDIUM CNC3 MIM attack crack hashing algorithm MEDIUM

De laatste jaren is veel gesleuteld aan de beveiliging van update mechanismen Er zijn nog steeds applicaties en bedrijven die veel concepten verkeerd toepassen Onwikkeling van een standaard en het toepassen risico analyse kan helpen bij het oplossen van deze issues.