Sicherheitsübersicht September 2020

Willkommen zur September-Ausgabe der monatlichen Sicherheitsübersicht von SSL.com! Heute sprechen wir über:

Ankündigung des SSL.com Newsletters!

SSL.com ist stolz darauf, unseren neuen monatlichen E-Mail-Newsletter bekannt zu geben! Jeden Monat senden wir Ihnen Nachrichten und Informationen zur Internetsicherheit. PKIund digitale Zertifikate sowie Informationen zu neuen Produkten und Dienstleistungen von SSL.com. Um sich anzumelden, füllen Sie einfach das folgende Formular aus. (Sie können sich jederzeit einfach abmelden, indem Sie auf klicken abmelden Link in jeder E-Mail, die wir senden.):




CA / B Forum Ballot SC30: Änderungen der Richtlinien für EV SSL-Zertifikate

In Nachrichten von Interesse für SSL.com EV-SSL Kunden, die aktuelle Version (1.7.3) des CA / Browser-Forums Richtlinien für EV-SSL-ZertifikateDas am 20. August 2020 in Kraft getretene Unternehmen hat einige neue Anforderungen. Insbesondere wie im CA / B-Forum beschrieben Stimmzettel SC30Zertifizierungsstellen (CAs) wie SSL.com müssen nun die Liste der Registrierungs- und Einbeziehungsagenturen veröffentlichen, die sie bei der Validierung von EV-SSL-Zertifikatanforderungen verwenden. (Der Schritt steht im Einklang mit einem größeren Ziel, die EV-Validierungsquellen zwischen den Zertifizierungsstellen konsistent zu machen.)

Infolgedessen veröffentlicht SSL.com eine Liste der Informationsquellen, die wir bei der Validierung von Unternehmen und anderen Organisationen für EV-Zertifikate verwenden. Wenn wir die Organisation eines Antragstellers in unserer aktuellen Quellenliste nicht finden können, werden wir versuchen, eine andere brauchbare Informationsquelle zu finden und sie unserer veröffentlichten Liste hinzuzufügen, bevor wir die Bestellung validieren und das Zertifikat ausstellen.

Das Mitnehmen von SSL.com: SSL.com unterstützt diese Änderungen an den EV SSL-Richtlinien und hat bei Ballot SC30, der von der CA und den Browsermitgliedern des CA / B-Forums einstimmig angenommen wurde, mit „Ja“ gestimmt. Wenn Sie Fragen zu diesen Änderungen haben und wissen möchten, wie sie sich auf Sie auswirken können, zögern Sie bitte nicht, uns unter zu kontaktieren Support@SSL.com.

Russland plant, Protokolle zu verbieten, die das Ziel des Verkehrs verbergen

Diese Geschichte kommt Ihnen vielleicht bekannt vor, wenn Sie über digitale Sicherheitsnachrichten auf dem Laufenden gehalten haben. In der Tat im letzten Monat wir haben berichtet über eine Geschichte, dass Chinas „Great Firewall“ jetzt den verwendeten HTTPS-Verkehr blockiert TLS 1.3 und ENSI (Encrypted Server Name Indication), um es chinesischen Zensoren zu erleichtern, zu sehen, welche Websites die Bürger besuchen möchten, und den Zugriff auf diese Websites zu kontrollieren.

Diesen Monat, ein Bericht von Catalin Cimpanu in ZDNet erklärte, dass Russland nun versucht, die Verwendung einiger Protokolle mit einer Aktualisierung der Technologiegesetze zu verbieten, die "die Verwendung von Verschlüsselungsprotokollen, die das Ziel des Verkehrs vollständig verbergen, illegal machen würde". Wie im Artikel erwähnt, würden diese Protokolle enthalten TLS 1.3, DoH, DoT und ESNI. Die Argumentation ähnelt natürlich der Argumentation hinter Chinas Verbot - die Protokolle behindern die Reichweite von Überwachung und Zensur durch den Staat. Aus dem Artikel:

Russland verwendet kein nationales Firewall-System, aber das Moskauer Regime stützt sich auf ein System namens SORM Dadurch können Strafverfolgungsbehörden den Internetverkehr für Strafverfolgungszwecke direkt an der Quelle in Telekommunikations-Rechenzentren abfangen.
Darüber hinaus hat das russische Telekommunikationsministerium, Roskomnadzor, aufgrund seiner Regulierungsbefugnis über die lokalen ISPs eine de facto nationale Firewall eingerichtet. In den letzten zehn Jahren hat Roskomnadzor Websites, die als gefährlich eingestuft wurden, verboten und ISPs gebeten, ihren Datenverkehr zu filtern und den Zugriff auf die jeweiligen Websites zu blockieren.
Mit der TLS 1.3, DoH, DoT und ESNI werden eingeführt. Alle aktuellen Überwachungs- und Zensur-Tools Russlands werden unbrauchbar, da sie auf den Zugriff auf die Website-IDs angewiesen sind, die aus dem verschlüsselten Web-Verkehr austreten.

Das Gesetz wird derzeit geprüft, bis ein öffentliches Feedback vorliegt, und wird Anfang Oktober zur Abstimmung zurückkehren. ZDNet stellt fest, dass angesichts des Klimas „es fast sicher ist, dass die Änderung verabschiedet wird“.

Das Mitnehmen von SSL.com: Wie die Nachrichten vom letzten Monat über China Große FirewallDies ist ein weiteres Beispiel für einen autoritären Staat, der die Online-Aktivitäten seiner Bürger beschnüffelt. SSL.com ist nach wie vor entschieden gegen die staatliche Überwachung des Webbrowsings.

Neu TLS Angriff: Waschbär

Wir haben schon eine Blog-Post über den "Waschbärenangriff", aber es ist noch einmal erwähnenswert, da der Angriff es Dritten ermöglichen kann, SSL / zu brechenTLS Verschlüsselung zum Lesen der Kommunikation soll sicher gehalten werden. Wie in einem kürzlich veröffentlichten erklärt akademisches Papiernutzt der Angriff eine Timing-Schwachstelle in TLS Versionen 1.2 und früher und können die Kommunikation entschlüsseln, die Benutzernamen, Kennwörter, Kreditkartendaten und andere vertrauliche Informationen enthält. Aus unserem Beitrag Anfang dieses Monats:

Denken Sie daran, dass dieser Angriff nur unter ganz bestimmten und seltenen Umständen stattfinden kann: Der Server muss öffentliche Diffie-Hellman-Schlüssel in der wiederverwenden Handschlag (bereits als schlechte Praxis angesehen), und der Angreifer muss in der Lage sein, präzise Timing-Messungen durchzuführen. Darüber hinaus muss der Browser die anfälligen Cipher Suites unterstützen (ab Juni 2020 haben sie alle gängigen Browser gelöscht).

Das Mitnehmen von SSL.com: Obwohl die Chancen für einen erfolgreichen Waschbärenangriff selten sind, können Sie einige einfache Maßnahmen ergreifen, um dies vollständig zu verhindern: Deaktivieren TLS 1.2 oder stellen Sie sicher, dass Ihr Server keine öffentlichen Diffie-Hellman-Schlüssel wiederverwendet. Bitte beachten Sie unsere Blog-Post um mehr zu erfahren.

Das Internet der (verletzlichen) Dinge, Coffee Maker Edition

Während die obige Geschichte nicht war berührt das Schneidwerkzeug Über Angriffe von Waschbären handelt diese Geschichte wirklich von Kaffeemaschinen. Genauer gesagt, Dan Goodins Artikel in Ars Technica geht es darum wie Eine Kaffeemaschine wurde in eine „Lösegeldmaschine“ verwandelt. durch Ausnutzen allgemeiner Schwachstellen in IoT-Geräten (Internet of Things).

Grundsätzlich ist der iKettle der (schlecht benannten) Smarter-Produkte seit langem ein Ziel für diejenigen, die die Gefahren leicht zu hackender Geräte veranschaulichen möchten. Seit 2015 Versionen des Wasserkochers wurden aus der Ferne kommandiert durch Reverse Engineering. Obwohl das Unternehmen seitdem eine neue Version des Pots herausgebracht hat, werden die alten immer noch verwendet, und Junge, sind sie anfällig für "out of the box" -Angriffe in den Artikelnotizen. Kürzlich hat ein Programmierer namens Martin Hron beschlossen, die Grenzen einer Sicherheitsverletzung an einer Kaffeekanne im schlimmsten Fall zu testen:

Als Hron seine Smarter-Kaffeemaschine zum ersten Mal anschloss, stellte er fest, dass sie sofort als Wi-Fi-Zugangspunkt fungierte, der eine ungesicherte Verbindung für die Kommunikation mit einer Smartphone-App verwendete. Die App wird wiederum verwendet, um das Gerät zu konfigurieren und, falls der Benutzer dies wünscht, eine Verbindung zu einem Wi-Fi-Heimnetzwerk herzustellen. Ohne Verschlüsselung hatte der Forscher kein Problem damit, zu erfahren, wie das Telefon die Kaffeemaschine steuerte und wie eine betrügerische Telefon-App dasselbe tun könnte, da es auch keine Authentifizierung gab.
Diese Fähigkeit ließ Hron immer noch nur ein kleines Menü von Befehlen übrig, von denen keiner besonders schädlich war. Dann untersuchte er den Mechanismus, mit dem die Kaffeemaschine Firmware-Updates erhielt. Es stellte sich heraus, dass sie vom Telefon empfangen wurden - Sie haben es erraten - ohne Verschlüsselung, ohne Authentifizierung und ohne Codesignatur.

Es gibt einen umfangreichen Blog-Beitrag zum Kaffeemaschinen-Hack mit dem Titel „Der frische Geruch von Lösegeldkaffee. ” Es gibt auch ein amüsantes Video Demonstration des Chaos, das sich aus der Ausnutzung der Schwachstellen der Kaffeemaschine ergab. Es ist zwar unwahrscheinlich, dass ein solcher Angriff bald in die Küche eines anderen kommt, aber es ist eine gute Erinnerung daran, dass „klug“ mehr bedeutet als „bequem“.

Das Mitnehmen von SSL.com: Dieses Experiment und dieser Artikel bieten einen Einblick in das, was in der wachsenden Welt des Internet der Dinge möglich sein könnte. In dem Artikel und Blog von Ars Technica gibt es viel darüber, wie man sich am besten selbst schützen kann, und wir empfehlen Ihnen, sowohl praktische Ideen als auch einen Rahmen durchzulesen, um darüber nachzudenken, was wir in unsere Häuser einladen, wenn diese „intelligenter“ werden klüger.

Für IoT-Hersteller bietet SSL.com alle Werkzeuge und Fachwissen Wird benötigt, um Geräte mit vertrauenswürdigen X.509-Zertifikaten zu sichern. Weitere Informationen finden Sie in diesen SSL.com-Artikeln:

Abonnieren Sie den Newsletter von SSL.com

Verpassen Sie keine neuen Artikel und Updates von SSL.com

Wir würden uns über Ihr Feedback freuen

Nehmen Sie an unserer Umfrage teil und teilen Sie uns Ihre Meinung zu Ihrem letzten Kauf mit.