[sage-hamburg] Vortrag Donnerstag, 12.11.: "Über die Herausforderungen SSL-Testing in einer Skriptsprache zu implementieren"

Dirk Wetter dirk.wetter at guug.de
So Nov 8 18:37:25 CET 2015 

Moin Hamburg,

hier nochmal die Details nachgeschoben:

Eckdaten
========
Lokation:        Uni RZ, Seminarraum 304, Schlüterstraße 7
Zeit:            19 Uhr
Vortragender:    Dirk Wetter
Titel:           Über die Herausforderungen SSL-Testing in einer Skriptsprache zu implementieren
Das Bier danach: TBD nach dem Vortrag


Da der Vortrag etwas dauern wird, werden wir sehen, dass wir noch
Kleinigkeiten zu Essen und zu Trinken organisieren.


Abstract:
========
Heute gibt es eine Reihe mehr oder weniger guter Werkzeuge zum Testen der
Transportverschlüsselung.

Vor 10 Jahren sah das anders aus. Eine Reihe OpenSSL-Kommandos genügten
allerdings auch, der Verschlüsselung auf den Zahn zu fühlen. 2015,
im Post-Heartbleed-Zeitalter und Zeit der Massenüberwachung, funktionieren
viele Checks mit einem Standard-OpenSSL-Client nicht mehr und es
genügt nicht.

Testssl ist mit den Anforderungen gewachsen, obwohl es in /bin/bash
entwickelt ist.  Seit 2014 ist die Entwicklung von testssl.sh auf
github zu Hause.  Was die Funktionen angeht, muss es sich nicht z.B. vor
SSLlabs verstecken, testssl ist nicht auf Port 443 oder Webserver beschränkt,
versteht STARTTLS, kann es in seinem eigenen LAN betreiben ohne Dritte
zu involvieren, ist ist 100% Open Source und läuft unter allen Unixoiden
Betriebssystemen, auch MacOS X und Cygwin/MSYS2.

Der Vortrag zeigt, was man mit testssl anfangen kann, dass /bin/bash
eher wieder was modernes geworden ist, was sogar einfache Stringmanipulation
ohne sed oder awk kann. Socket-Programmierung ist auch kein Ding, es gibt sogar
so etwas wie eine statische Source-Code-Analyse zu bash.

Damit die Praxis nicht zu kurz kommt: Es gibt eine Reihe Demos.

Wenn noch Zeit bleibt, geht er auf einige Abgründe  von SSL-Handshakes
und Bugs ein, die Browser und andere Clients glücklicherweise von uns fernhalten.


Bio
===
Dirk Wetter hat nach seiner Promotion fast zwei Berufsdekaden in der IT
verbracht – mit den Schwerpunkten (Web/Application) Security, Linux,
Unix, ein bisschen Projektmanagement. Er ist selbständiger Berater
für IT-Sicherheit, hat viele Publikationen verfasst und spricht auf
internationalen Konferenzen. Er ist in dem Open Web Application Security
Project (OWASP) und der German Unix User Group (GUUG e.V.) engagiert.

Wann immer möglich, verwendet er Open Source Software. In seinem
FOSS-Projekt testssl.sh zeigte er, dass Unix-Shell-Programmierung
alles andere als out ist.


-------------------
Wie immer: Alle Treffen sind frei und kostenlos. Falls Vortrag
oder Treffen möglicherweise für Kollegen/Bekannte interessant sein
könnte, leitet diese Mail gerne weiter. Auch sie sind herzlich
willkommen.

Über eine kurze Mail ~"Ja ich bin dabei" würden Olo und ich uns
freuen. Sie hilft bei der Planung, besonders bei dem Einkauf (s.o.)
Formlose E-Mail bitte an hamburg at guug.de .

Mehr zur GUUG-Lokalgruppe Hamburg, zur öffentlichen Mailing-Liste und
mehr unter http://guug.de/lokal/hamburg/


Schönen Gruß, Dirk


Am 10/14/2015 um 04:28 PM schrieb Dirk Wetter:
> 
> Moin Hamburg,
> 
> nächstes Mal (12.11.) gibt's einen Vortrag zum SSL-Testing, a.k,a, "Wie man
> mit bash die Welt rettet". ;-)
> 
> Den finalen Titel und einen Abstract reiche ich nach.
> 
> Es geht um das Projekt https://testssl.sh/, dass der Vortragende
> (das bin mal ich) vorstellt. Da es vermutlich länger dauern wird,
> werden wir wieder für Getränke und etwas Essen sorgen.
> 
> 
> Schönen Gruß, Dirk

Mehr Informationen über die Mailingliste SAGE-Hamburg