en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

Resumen de seguridad de noviembre de 2019

Bienvenido a la edición de noviembre de 2019 del Resumen de seguridad de SSL.com, donde presentamos una selección de los desarrollos del mes en SSL /TLS, certificados digitales y seguridad de la red. En esta edición, cubriremos:

TPM-FALLO

Sirgiu Gatlan en Bleeping Computer informes que un equipo de investigación del Instituto Politécnico de Worcester, la Universidad de Lübeck y la Universidad de California en San Diego ha descubierto dos vulnerabilidades en los chips TPM (fTPM) basados ​​en firmware de Intel y TPM (Módulo de plataforma confiable) de STMicroelectronics.

Estas vulnerabilidades, dobladas TPM-FALLO por los investigadores, permite a los atacantes recuperar claves criptográficas privadas almacenadas. Sobre el Sitio web de TPM-FAIL, los investigadores afirman que:

Descubrimos una fuga de tiempo en el TPM basado en firmware de Intel (fTPM), así como en el chip TPM de STMicroelectronics. Ambos exhiben tiempos de ejecución dependientes del secreto durante la generación de firmas criptográficas. Si bien la clave debe permanecer de manera segura dentro del hardware TPM, mostramos cómo esta información permite a un atacante recuperar claves privadas de 256 bits de esquemas de firma digital basados ​​en curvas elípticas.

Los ataques demostrados son prácticos, ya que los investigadores también afirman que

Un adversario local puede recuperar la clave ECDSA de Intel fTPM en 4-20 minutos, dependiendo del nivel de acceso. Incluso mostramos que estos ataques se pueden realizar de forma remota en redes rápidas, recuperando la clave de autenticación de un servidor de red privada virtual (VPN) en 5 horas.

Gatlan señala que "el vulnerable Intel fTPM ... es utilizado por la gran mayoría de los fabricantes de computadoras, incluidos, entre otros, Dell, HP y Lenovo", y "también es ampliamente utilizado por Plataforma Intel Internet de las cosas (IoT) familia de productos utilizados en la industria, la atención médica, las ciudades inteligentes y los vehículos conectados ".

Intel ha emitido un parche a su firmware fTPM para corregir las vulnerabilidades TPM-FAIL, y STMicroelectronics ha emitido un chip TPM resistente a TPM-FAIL.

Para llevar de SSL.com: Cualquier persona con sus claves privadas puede robar su identidad. Es muy probable que poseas al menos un dispositivo afectado por estas vulnerabilidades; consulta con el fabricante de tu dispositivo para obtener actualizaciones de firmware.

Credenciales delegadas para TLS

El 1 de noviembre, Cloudflare anunció soporte para credenciales delegadas para TLS, un nuevo protocolo criptográfico desarrollado en colaboración con Facebook y Mozilla. Las credenciales delegadas están destinadas a facilitar SSL /TLS implementación en múltiples puntos finales globales, como en una red de entrega de contenido (CDN). Según Cloudflare, una credencial delegada es:

una clave de corta duración que el propietario del certificado ha delegado para su uso en TLS. Funcionan como un poder notarial: su servidor autoriza a nuestro servidor a finalizar TLS por tiempo limitado. Cuando un navegador que admite este protocolo se conecta a nuestros servidores perimetrales, podemos mostrarle este "poder notarial", en lugar de tener que contactar al servidor de un cliente para que autorice TLS conexión. Esto reduce la latencia y mejora el rendimiento y la fiabilidad.

Debido a que las credenciales delegadas se envían periódicamente a los servidores de borde de la CDN antes de que expire la credencial anterior, el sistema evita la latencia asociada con los protocolos basados ​​en extracción como SSL sin llave. Puede leer los anuncios de Facebook y Mozilla sobre credenciales delegadas aquí y aquí, respectivamente, y obtenga todos los detalles del IETF borrador de la especificación.

Para llevar de SSL.com: Estamos interesados ​​en cualquier desarrollo que facilite la implementación global segura y eficiente de SSL /TLS, y observaremos de cerca esta tecnología a medida que se desarrolle.

Las direcciones IPv4 se están agotando

RIPE (registro regional de Internet de Europa) anunció el 25 de noviembre que ya no les quedan más direcciones IPv4

Hicimos nuestra asignación final / 22 IPv4 de las últimas direcciones restantes en nuestro grupo disponible. Ahora nos hemos quedado sin direcciones IPv4.

RIPE dice que a pesar de que no tienen direcciones IPv4, continuarán recuperándose más en el futuro "de organizaciones que han quebrado o están cerradas, o de redes que devuelven direcciones que ya no necesitan", y las repartirán fuera de Registros locales de internet (LIR) a través de una lista de espera.

Para llevar de SSL.com: IPv6 usa direcciones de 128 bits, en comparación con los 4 bits de IPv32, lo que resulta en 7.9 × 1028 veces tantas direcciones posibles como IPv4. Estamos de acuerdo con RIPE en que "sin la implementación de IPv6 a gran escala, corremos el riesgo de dirigirnos hacia un futuro en el que el crecimiento de nuestra Internet sea innecesariamente limitado".

Múltiples registradores de nombres de dominio violados

Steve Dent en Engadget informes que Web.com y sus subsidiarias NetworkSolutions.com y Register.com fueron violadas por atacantes a fines de agosto de 2019.

Según Web.com, la violación involucró a un "número limitado de sus sistemas informáticos", que "no se comprometieron los datos de la tarjeta de crédito" y que no creen que las contraseñas almacenadas y cifradas sean vulnerables (pero que los clientes deberían cambiarlas) . Sin embargo, es posible que los atacantes hayan podido recopilar datos de contacto como "nombre, dirección, números de teléfono, direcciones de correo electrónico e información sobre los servicios que ofrecemos a un titular de cuenta determinado".

Dent señala que el compromiso de un registro de nombre de dominio tiene consecuencias potencialmente graves:

Por ejemplo, los hackers una vez comprometida el registrador de nombres de dominio de un banco brasileño y redirigió a los usuarios a sitios similares que robaron sus credenciales e instalaron malware. "Si su DNS está bajo el control de los ciberdelincuentes, básicamente está jodido", dijo Dmitry Bestuzhev de Kaspersky. Con conexión de cable sobre el incidente

Para llevar de SSL.com: Si puede haber sido afectado por esta violación, verifique sus registros DNS y cambie su contraseña.
Gracias por visitar SSL.com, donde creemos que Safer Internet es un mejor ¡Internet! Puede contactarnos por correo electrónico a Support@SSL.com, llamada 1-877-SSL-SECURE, o simplemente haga clic en el enlace de chat en la parte inferior derecha de esta página.


Suscríbase al boletín de SSL.com

No se pierda los nuevos artículos y actualizaciones de SSL.com