Το SSL.com εύχεται σε όλους τους πελάτες και τους επισκέπτες μας μια ευτυχισμένη, ασφαλή και υγιή περίοδο διακοπών και μια ευημερούσα περίοδο 2021! Ελπίζουμε ότι η νέα χρονιά θα αποδειχθεί ελαφρώς λιγότερο, umm… ενδιαφέρον από το 2020 υπήρξε με κάποιους τρόπους, αλλά είμαστε σίγουροι ότι δεν θα περάσει ένας μήνας χωρίς σημαντικές ειδήσεις από τον κόσμο της ασφάλειας δικτύου, ψηφιακών πιστοποιητικών και PKI.
OpenSSL DoS ευπάθεια
Καλύψαμε αυτό το ζήτημα σε ένα ανάρτηση νωρίτερα αυτό το μήνα, αλλά αξίζει να το επαναλάβω. Μια ευπάθεια υψηλής σοβαρότητας στο OpenSSL ανακαλύφθηκε ότι επηρεάζει όλες τις εκδόσεις του OpenSSL 1.0.2 και 1.1.1 πριν από το 1.1.1i. Αυτή η ευπάθεια θα μπορούσε να αξιοποιηθεί για να δημιουργήσει μια επίθεση άρνησης υπηρεσίας (DoS). OpenSSL 1.1.1i, κυκλοφόρησε στις 8 Δεκεμβρίου 2020, περιλαμβάνει μια ενημέρωση κώδικα.
Οι χρήστες του OpenSSL πρέπει να ενημερώσουν τις εγκαταστάσεις τους το συντομότερο δυνατό. Υπάρχουν δύο διαδρομές για την εφαρμογή της ενημέρωσης κώδικα:
- Οι χρήστες του OpenSSL 1.1.1 και οι μη υποστηριζόμενοι χρήστες 1.0.2 πρέπει να κάνουν αναβάθμιση σε 1.1.1i.
- Οι πελάτες υποστήριξης Premium του OpenSSL 1.0.2 θα πρέπει να αναβαθμίσουν σε 1.0.2x.
Το OpenSSL είναι εγκατεστημένο επί του παρόντος στους περισσότερους διακομιστές ιστού HTTPS. Μπορείτε να διαβάσετε περισσότερα σχετικά με την ευπάθεια στα SSL.com blog, και στο έργο OpenSSL Συμβουλευτική για την ασφάλεια.
Το Cloudflare υποστηρίζει νέα πρωτόκολλα απορρήτου
Τιμ Άντερσον αναφερθεί στο The Register ότι το Cloudflare «πιέζει για την υιοθέτηση νέων πρωτοκόλλων Διαδικτύου, λέει ότι θα επιτρέψει ένα« Διαδίκτυο που σέβεται την προστασία της ιδιωτικής ζωής ».» Αυτά τα πρωτόκολλα περιλαμβάνουν βελτιωμένη προστασία της ιδιωτικής ζωής DNS μέσω HTTPS (DoH), πρόσθετη κρυπτογράφηση για το TLS χειραψίακαι βελτιώσεις ασφαλείας για το χειρισμό κωδικών πρόσβασης χρηστών.
Παραγνωριστικό DoH
DNS μέσω HTTPS (DoH) αντιμετωπίζει έναν αδύναμο σύνδεσμο στο απόρρητο του Διαδικτύου κρυπτογραφώντας ερωτήματα και απαντήσεις DNS, τα οποία ιστορικά έχουν σταλεί ως απλό κείμενο. Παραβίαση DoH (ODoH) παίρνει την προστασία της ιδιωτικής ζωής DNS ένα βήμα παραπέρα εμποδίζοντας τους διακομιστές DoH να γνωρίζουν τη διεύθυνση IP του πελάτη:
Η ουσία του ODoH είναι ότι εισάγει έναν διακομιστή μεσολάβησης μεταξύ του πελάτη και του διακομιστή DoH. Ο διακομιστής μεσολάβησης δεν έχει ορατότητα στο ερώτημα DNS, το οποίο μπορεί να διαβαστεί μόνο από τον διακομιστή DoH. Ο διακομιστής δεν γνωρίζει τη διεύθυνση IP του πελάτη. Το ερώτημα είναι ιδιωτικό, υπό την προϋπόθεση ότι ο διακομιστής μεσολάβησης και ο διακομιστής δεν συνεργάζονται.
Το Cloudflare έχει ήδη δηλώσει υποστήριξη για το ODoH, το οποίο αναπτύχθηκε από μηχανικούς στο Cloudflare, Apple και Fastly. Μπορείτε να μάθετε περισσότερα κάνοντας check out χαρτί τους στο arxiv.org.
Κρυπτογραφημένος πελάτης Γεια σας (ECH)
Κρυπτογραφημένος πελάτης Γεια σας (ECH) προσφέρει βελτιωμένη κρυπτογράφηση χειραψίας στο TLS, πηγαίνω παραπέρα Κρυπτογραφημένο SNI (ESNI), η οποία προστατεύει μόνο την ένδειξη ονόματος διακομιστή (SNI) στο TLS χειραψία. Ο ερευνητής μηχανικός Cloudflare Christopher Patton γράφει,
Ενώ το ESNI έκανε ένα σημαντικό βήμα προς τα εμπρός, υπολείπεται του στόχου μας να επιτύχουμε πλήρη κρυπτογράφηση χειραψίας Εκτός από το ότι είναι ατελές - προστατεύει μόνο το SNI - είναι ευάλωτο σε μια χούφτα εξελιγμένων επιθέσεων, οι οποίες, μολονότι είναι δύσκολο να επισημανθούν, επισημαίνουν θεωρητικές αδυναμίες στο σχεδιασμό του πρωτοκόλλου που πρέπει να αντιμετωπιστούν.
...
Τελικά, ο στόχος της ECH είναι να το διασφαλίσει αυτό TLS Οι συνδέσεις που πραγματοποιούνται σε διαφορετικούς διακομιστές προέλευσης πίσω από τον ίδιο πάροχο υπηρεσιών ECH δεν διακρίνονται μεταξύ τους.
Δεν προκαλεί έκπληξη, δεδομένου ότι η ECH «έχει νόημα μόνο παράλληλα με το DoH, και στο πλαίσιο ενός CDN (δίκτυο διανομής περιεχομένου), το" Cloudflare "βλέπει τον εαυτό του ως πιθανό πάροχο ECH." Μπορείτε να διαβάσετε περισσότερα για το ECH στα IETF's σχέδιο πρότασης.
OPAQUE κωδικοί πρόσβασης
Κωδικοί πρόσβασης OPAQUE - "κάποιο είδος λογοπαίγνιας στη Λειτουργία Oblivious Pseudo-Random (OPRF) σε συνδυασμό με το Password Authenticated Key Exchange (PAKE)" - είναι ένας μηχανισμός που αποτρέπει εντελώς τη μεταφορά του κωδικού πρόσβασης ενός χρήστη σε έναν διακομιστή. Το OPAQUE το επιτυγχάνει «έχοντας τον διακομιστή και τον πελάτη να υπολογίσουν από κοινού ένα αλατισμένο κατακερματισμό για σύγκριση χρησιμοποιώντας ένα ενδιάμεσο δεύτερο άλας. Αυτό διασφαλίζει ότι ο διακομιστής δεν μπορεί να μάθει τον κωδικό πρόσβασης του χρήστη κατά τον έλεγχο ταυτότητας και ο χρήστης δεν μαθαίνει το μυστικό αλάτι του διακομιστή. "
Μπορείτε να μάθετε περισσότερα για τους κωδικούς OPAQUE στο αυτό το χαρτί [Σύνδεσμος PDF] από ερευνητές του Πανεπιστημίου της Καλιφόρνιας, Irvine και IBM, καθώς και στη μηχανική Cloudflare, Tatiana Bradley's ανάρτηση.
Διαπιστευμένα διαπιστευτήρια FTP που συνδέονται πιθανώς με την επίθεση SolarWinds
Εάν δεν έχετε περάσει τις τελευταίες εβδομάδες σε μια απομακρυσμένη καμπίνα εκτός δικτύου (όχι κακή ιδέα τώρα που το σκεφτόμαστε), πιθανότατα έχετε ακούσει ήδη αρκετά για το επίθεση αλυσίδας εφοδιασμού που έθεσε σε κίνδυνο το λογισμικό παρακολούθησης πληροφορικής της Orion της SolarWinds και πολλούς από τους χρήστες του στην κυβέρνηση και τη βιομηχανία. 16 Δεκεμβρίου του Ράβι Λάκμανμαν ιστορία στο Hacker News συζητά πώς οι επιτιθέμενοι «κατάφεραν πιθανώς να θέσουν σε κίνδυνο την κατασκευή λογισμικού και την υπογραφή κώδικα της πλατφόρμας SolarWinds Orion από τον Οκτώβριο του 2019 για να παραδώσουν την κακόβουλη πόρτα μέσω της διαδικασίας έκδοσης λογισμικού».
Η ιδέα… ήταν να θέσει σε κίνδυνο το σύστημα κατασκευής, να εισάγει ήσυχα τον δικό του κώδικα στον πηγαίο κώδικα του λογισμικού, να περιμένει την εταιρεία να συντάξει, να υπογράψει πακέτα και επιτέλους, να επαληθεύσει εάν οι τροποποιήσεις τους εμφανίζονται στις πρόσφατες κυκλοφορίες ενημερώσεις όπως αναμενόταν.
Το χρονοδιάγραμμα του Οκτωβρίου 2019 ευθυγραμμίζεται με τον ερευνητή ασφαλείας Vinoth Kumer's ανακάλυψη, τον Νοέμβριο του 2019, από ένα δημόσιο repo GitHub που διαρρέει διαπιστευτήρια FTP απλού κειμένου για διακομιστή ενημέρωσης της Solarwinds και ότι αυτός ο διακομιστής ήταν προσβάσιμος με τον κωδικό πρόσβασης «solarwinds123». Το εν λόγω repo ήταν ανοιχτό στο κοινό «από τις 17 Ιουνίου 2018», δίνοντας στους υποψήφιους επιτιθέμενους αρκετό χρόνο για να ανακαλύψουν και να εκμεταλλευτούν τα διαρροή.
Φυσικά, δεν βοήθησε το SolarWinds να συμβουλεύει επίσης τους χρήστες να απενεργοποιήσουν τα μέτρα ασφαλείας:
Για να επιδεινωθούν τα πράγματα, ο κακόβουλος κώδικας που προστέθηκε σε μια ενημέρωση λογισμικού Orion ενδέχεται να μην έχει γίνει αντιληπτός από λογισμικό προστασίας από ιούς και άλλα εργαλεία ασφαλείας σε στοχευμένα συστήματα λόγω των δικών της SolarWinds συμβουλευτική υποστήριξη, η οποία δηλώνει ότι τα προϊόντα της ενδέχεται να μην λειτουργούν σωστά, εκτός εάν οι κατάλογοι αρχείων τους εξαιρούνται από σαρώσεις προστασίας από ιούς και περιορισμούς αντικειμένων πολιτικής ομάδας (GPO).
