Lernziel

Die Teilnehmer werden ein tieferes Verständnis für die verschiedenen Versionen der SSL- und TLS-Protokolle erwerben. Die historische Entwicklung der Protokolle wird zusammen mit den dazugehörigen Schwächen und Stärken erläutert. Anhand der heute vorliegenden Spezifikation von TLS Version 1.3 wird ein Blick in die Zukunft geworfen, um Trends und Weiterentwicklungen zu erkennen. Die verschiedenen Angriffe, die auf SSL bzw. TLS bekannt sind, werden anhand von Theorieblöcken und praktischen Übungen erklärt. Neben den Angriffen werden auch Massnahmen zum Schutz der eigenen Infrastruktur vorgestellt.

Die Übungen werden online auf www.hacking-lab.com absolviert. Die Laborumgebung steht den Teilnehmern auch nach dem Kursende während eines Monats zur Verfügung.

Abgrenzung: Der Kurs fokussiert auf SSL/TLS und die dazugehörigen bekannten Angriffe. Grundlagen über RSA, AES, Diffie Hellman und Betriebsmodi von Blockchiffrierungen sind nicht Gegenstand des Kurses.

 

Highlights aus dem Programm

  • Einführung in die verschiedenen Protokolle
    • SSL v3
    • TLS 1.0
    • TLS 1.1
    • TLS 1.2
    • TLS 1.3 und entsprechende Neuerungen
  • Bekannte Angriffe auf SSL/TLS
    • „Padding Oracle“-Angriffe
    • BEAST
    • Kompressionsangriffe
    • Seitenkanalangriffe
    • Heartbleed
  • Datagram Transport Layer Security (DTLS)
  • Sichere Konfiguration eins Apache HTTP Servers (HPKP, HSTS)
  • Inspection Proxies
  • Public Key Infrastructure

Zielgruppe

Security Officers, Technology Officers, Betreiber von Infrastrukturen, Entwickler von E-Businessanwendungen

Voraussetzung

  • Vertrautheit mit der Linux Kommandozeile
  • Grundkenntnisse Kryptografie
  • Netzwerktechnologie TCP/UDP

AGENDA

Securing Industrial IoT

Am 29. August 2019 treffen Experten aus Forschung und Praxis in Bremen zusammen, um gemeinsam zu diskutieren, wie sich Unternehmen aus dem... Weiterlesen

Beer-Talk #20 in Berlin: Keep Calm and Dump Your Memory

Cyberkriminelle finden immer wieder raffinierte Methoden, um Computer oder Mobilgeräte mit Schadsoftware zu infizieren. Was Sie (warum) nicht tun... Weiterlesen

Cyber Risks – von der abstrakten Gefahr zur täglichen Realität

Das Europa Institut an der Universität Zürich (EIZ) ist ein führendes Kompetenzzentren für Europarecht und wichtiger Anbieter von juristischen... Weiterlesen

KOMPLETTE agenda

aktuelles

Schwachstelle im "The Scheduler"-Plugin für Jira

Thierry Viaccoz hat eine XML External Entity (XXE) Schwachstelle im "The Scheduler"-Plugin für Jira identifiziert. Weiterlesen

Schwachstelle in der Email+ iOS-Anwendung bei MobileIron

Sylvain Heiniger hat eine "Cleartext Storage of Sensitive Information" Schwachstelle in der MobileIron Anwendung "Email+" identifiziert. Weiterlesen

Schwachstellen im Universal Automation Center (UAC)

Michael Fisler und Felix Aeppli haben Schwachstellen im Universal Automation Center (UAC) identifiziert. Weiterlesen

ArCHIV

Compass Security Blog

Privilege escalation in Windows Domains (2/3)

This second article about privilege escalation in Windows domains describes how to propagate by aiming for passwords that are lying around. mehr

Privilege escalation in Windows Domains (1/3)

This first article of our series about privilege escalation in Windows domains demonstrates how to get a foothold by relaying credentials from users. mehr

ZUM BLOG