Willkommen zur September-Ausgabe der monatlichen Sicherheitsübersicht von SSL.com! Heute sprechen wir über:
- SSL.com ist brandneu Newsletter
- Änderungen am CA / B-Forum EV SSL-Richtlinien
- Russlands Pläne zu Protokolle verbieten die das Ziel des Internetverkehrs verbergen
- Der Waschbärenangriff on TLS Versionen 1.2 und früher
- Unsicher Internet der Dinge (IoT) Praktiken
Ankündigung des SSL.com Newsletters!
SSL.com ist stolz darauf, unseren neuen monatlichen E-Mail-Newsletter bekannt zu geben! Jeden Monat senden wir Ihnen Nachrichten und Informationen zur Internetsicherheit. PKIund digitale Zertifikate sowie Informationen zu neuen Produkten und Dienstleistungen von SSL.com. Um sich anzumelden, füllen Sie einfach das folgende Formular aus. (Sie können sich jederzeit einfach abmelden, indem Sie auf klicken abmelden Link in jeder E-Mail, die wir senden.):
CA / B Forum Ballot SC30: Änderungen der Richtlinien für EV SSL-Zertifikate
In Nachrichten von Interesse für SSL.com EV-SSL Kunden, die aktuelle Version (1.7.3) des CA / Browser-Forums Richtlinien für EV-SSL-ZertifikateDas am 20. August 2020 in Kraft getretene Unternehmen hat einige neue Anforderungen. Insbesondere wie im CA / B-Forum beschrieben Stimmzettel SC30Zertifizierungsstellen (CAs) wie SSL.com müssen nun die Liste der Registrierungs- und Einbeziehungsagenturen veröffentlichen, die sie bei der Validierung von EV-SSL-Zertifikatanforderungen verwenden. (Der Schritt steht im Einklang mit einem größeren Ziel, die EV-Validierungsquellen zwischen den Zertifizierungsstellen konsistent zu machen.)
Infolgedessen veröffentlicht SSL.com eine Liste der Informationsquellen, die wir bei der Validierung von Unternehmen und anderen Organisationen für EV-Zertifikate verwenden. Wenn wir die Organisation eines Antragstellers in unserer aktuellen Quellenliste nicht finden können, werden wir versuchen, eine andere brauchbare Informationsquelle zu finden und sie unserer veröffentlichten Liste hinzuzufügen, bevor wir die Bestellung validieren und das Zertifikat ausstellen.
Russland plant, Protokolle zu verbieten, die das Ziel des Verkehrs verbergen
Diese Geschichte kommt Ihnen vielleicht bekannt vor, wenn Sie über digitale Sicherheitsnachrichten auf dem Laufenden gehalten haben. In der Tat im letzten Monat wir haben berichtet über eine Geschichte, dass Chinas „Great Firewall“ jetzt den verwendeten HTTPS-Verkehr blockiert TLS 1.3 und ENSI (Encrypted Server Name Indication), um es chinesischen Zensoren zu erleichtern, zu sehen, welche Websites die Bürger besuchen möchten, und den Zugriff auf diese Websites zu kontrollieren.
Diesen Monat, ein Bericht von Catalin Cimpanu in ZDNet erklärte, dass Russland nun versucht, die Verwendung einiger Protokolle mit einer Aktualisierung der Technologiegesetze zu verbieten, die "die Verwendung von Verschlüsselungsprotokollen, die das Ziel des Verkehrs vollständig verbergen, illegal machen würde". Wie im Artikel erwähnt, würden diese Protokolle enthalten TLS 1.3, DoH, DoT und ESNI. Die Argumentation ähnelt natürlich der Argumentation hinter Chinas Verbot - die Protokolle behindern die Reichweite von Überwachung und Zensur durch den Staat. Aus dem Artikel:
Russland verwendet kein nationales Firewall-System, aber das Moskauer Regime stützt sich auf ein System namens SORM Dadurch können Strafverfolgungsbehörden den Internetverkehr für Strafverfolgungszwecke direkt an der Quelle in Telekommunikations-Rechenzentren abfangen.
Darüber hinaus hat das russische Telekommunikationsministerium, Roskomnadzor, aufgrund seiner Regulierungsbefugnis über die lokalen ISPs eine de facto nationale Firewall eingerichtet. In den letzten zehn Jahren hat Roskomnadzor Websites, die als gefährlich eingestuft wurden, verboten und ISPs gebeten, ihren Datenverkehr zu filtern und den Zugriff auf die jeweiligen Websites zu blockieren.
Mit TLS 1.3, DoH, DoT und ESNI werden eingeführt. Alle aktuellen Überwachungs- und Zensur-Tools Russlands werden unbrauchbar, da sie auf den Zugriff auf die Website-IDs angewiesen sind, die aus dem verschlüsselten Web-Verkehr austreten.
Das Gesetz wird derzeit geprüft, bis ein öffentliches Feedback vorliegt, und wird Anfang Oktober zur Abstimmung zurückkehren. ZDNet stellt fest, dass angesichts des Klimas „es fast sicher ist, dass die Änderung verabschiedet wird“.
Neue TLS Angriff: Waschbär
Wir haben schon eine Blog-Post über den "Waschbärenangriff", aber es ist noch einmal erwähnenswert, da der Angriff es Dritten ermöglichen kann, SSL / zu brechenTLS Verschlüsselung zum Lesen der Kommunikation soll sicher gehalten werden. Wie in einem kürzlich veröffentlichten erklärt akademisches Papiernutzt der Angriff eine Timing-Schwachstelle in TLS Versionen 1.2 und früher und können die Kommunikation entschlüsseln, die Benutzernamen, Kennwörter, Kreditkartendaten und andere vertrauliche Informationen enthält. Aus unserem Beitrag Anfang dieses Monats:
Denken Sie daran, dass dieser Angriff nur unter ganz bestimmten und seltenen Umständen stattfinden kann: Der Server muss öffentliche Diffie-Hellman-Schlüssel in der wiederverwenden Handschlag (bereits als schlechte Praxis angesehen), und der Angreifer muss in der Lage sein, präzise Timing-Messungen durchzuführen. Darüber hinaus muss der Browser die anfälligen Cipher Suites unterstützen (ab Juni 2020 haben sie alle gängigen Browser gelöscht).
Das Internet der (verletzlichen) Dinge, Coffee Maker Edition
Während die obige Geschichte nicht war berührt das Schneidwerkzeug Über Angriffe von Waschbären handelt diese Geschichte wirklich von Kaffeemaschinen. Genauer gesagt, Dan Goodins Artikel in Ars Technica geht es darum wie Eine Kaffeemaschine wurde in eine „Lösegeldmaschine“ verwandelt. durch Ausnutzen allgemeiner Schwachstellen in IoT-Geräten (Internet of Things).
Grundsätzlich ist der iKettle der (schlecht benannten) Smarter-Produkte seit langem ein Ziel für diejenigen, die die Gefahren leicht zu hackender Geräte veranschaulichen möchten. Seit 2015 Versionen des Wasserkochers wurden aus der Ferne kommandiert durch Reverse Engineering. Obwohl das Unternehmen seitdem eine neue Version des Pots herausgebracht hat, werden die alten immer noch verwendet, und Junge, sind sie anfällig für "out of the box" -Angriffe in den Artikelnotizen. Kürzlich hat ein Programmierer namens Martin Hron beschlossen, die Grenzen einer Sicherheitsverletzung an einer Kaffeekanne im schlimmsten Fall zu testen:
Als Hron seine Smarter-Kaffeemaschine zum ersten Mal anschloss, stellte er fest, dass sie sofort als Wi-Fi-Zugangspunkt fungierte, der eine ungesicherte Verbindung für die Kommunikation mit einer Smartphone-App verwendete. Die App wird wiederum verwendet, um das Gerät zu konfigurieren und, falls der Benutzer dies wünscht, eine Verbindung zu einem Wi-Fi-Heimnetzwerk herzustellen. Ohne Verschlüsselung hatte der Forscher kein Problem damit, zu erfahren, wie das Telefon die Kaffeemaschine steuerte und wie eine betrügerische Telefon-App dasselbe tun könnte, da es auch keine Authentifizierung gab.
Diese Fähigkeit ließ Hron immer noch nur ein kleines Menü von Befehlen übrig, von denen keiner besonders schädlich war. Dann untersuchte er den Mechanismus, mit dem die Kaffeemaschine Firmware-Updates erhielt. Es stellte sich heraus, dass sie vom Telefon empfangen wurden - Sie haben es erraten - ohne Verschlüsselung, ohne Authentifizierung und ohne Codesignatur.
Es gibt einen umfangreichen Blog-Beitrag zum Kaffeemaschinen-Hack mit dem Titel „Der frische Geruch von Lösegeldkaffee. ” Es gibt auch ein amüsantes Video Demonstration des Chaos, das sich aus der Ausnutzung der Schwachstellen der Kaffeemaschine ergab. Es ist zwar unwahrscheinlich, dass ein solcher Angriff bald in die Küche eines anderen kommt, aber es ist eine gute Erinnerung daran, dass „klug“ mehr bedeutet als „bequem“.
Für IoT-Hersteller bietet SSL.com alle Werkzeuge und Fachwissen Wird benötigt, um Geräte mit vertrauenswürdigen X.509-Zertifikaten zu sichern. Weitere Informationen finden Sie in diesen SSL.com-Artikeln: