SSL.com toivottaa kaikille asiakkaillemme ja vierailijoillemme onnellista, turvallista ja terveellistä loma-aikaa ja menestyvää vuotta 2021! Toivomme, että uusi vuosi tulee hieman pienemmäksi, hmm ... mielenkiintoinen vuosi 2020 on ollut jollain tapaa, mutta olemme varmoja, ettei kuukausi mene ilman tärkeitä uutisia verkkoturvallisuuden, digitaalisten varmenteiden ja PKI.
OpenSSL: n DoS-heikkous
Käsittelimme tätä asiaa a blogi aiemmin tässä kuussa, mutta se on syytä toistaa. Vakava haavoittuvuus OpenSSL havaittiin, joka vaikuttaa kaikkiin OpenSSL 1.0.2- ja 1.1.1-versioihin ennen versiota 1.1.1i. Tätä heikkoutta voitaisiin hyödyntää palvelunestohyökkäyksen luomiseksi. OpenSSL 1.1.1i, julkaistu 8. joulukuuta 2020, sisältää korjauksen.
OpenSSL-käyttäjien tulisi päivittää asennuksensa mahdollisimman pian. Korjausta voidaan käyttää kahdella tavalla:
- OpenSSL 1.1.1: n käyttäjien ja tuettujen 1.0.2 käyttäjien tulisi päivittää versioon 1.1.1i.
- OpenSSL 1.0.2: n premium-tukiasiakkaiden tulisi päivittää versioon 1.0.2x.
OpenSSL on tällä hetkellä asennettu suurimmalle osalle HTTPS-verkkopalvelimia. Voit lukea lisää SSL.com: n haavoittuvuudesta blogija OpenSSL-projektissa Turvallisuusneuvonta.
Cloudflare tukee uusia tietosuojakäytäntöjä
Tim Anderson raportoitu Rekisterissä, että Cloudflare "vaatii uusien Internet-protokollien käyttöönottoa, sen mukaan" yksityisyyttä kunnioittava Internet "otetaan käyttöön." Nämä protokollat sisältävät yksityisyyttä parantavan DNS HTTPS: n kautta (DoH), lisäsalaus TLS kädenpuristusja käyttäjien salasanojen käsittelyn tietoturva-parannukset.
Unohtava DoH
DNS HTTPS: n kautta (DoH) puuttuu Internetin yksityisyyden heikkoon kohtaan salaamalla DNS-kyselyt ja vastaukset, jotka on perinteisesti lähetetty selkokielisenä. Unohtava DoH (ODoH) vie DNS-suojauksen askelta pidemmälle estämällä DoH-palvelimia tietämästä asiakkaan IP-osoitetta:
ODoH: n ydin on se, että se tuo verkon välityspalvelimen asiakkaan ja DoH-palvelimen välille. Välityspalvelimella ei ole näkyvyyttä DNS-kyselyyn, jonka vain DoH-palvelin voi lukea. Palvelimella ei ole tietoa asiakkaan IP-osoitteesta. Kysely on yksityinen edellyttäen, että välityspalvelin ja palvelin eivät ole yhteistyössä.
Cloudflare on jo ilmoittanut tukevansa ODoH: ta, jonka kehitti Cloudflaren, Applen ja Fastlyn insinöörit. Voit oppia lisää tarkistamalla heidän paperinsa osoitteessa arxiv.org.
Salattu asiakas Hei (ECH)
Salattu asiakas Hei (ECH) tarjoaa parannetun kädenpuristuksen salauksen TLS, menee pidemmälle Salattu SNI (ESNI), joka suojaa vain palvelimen nimen ilmaisua (SNI) TLS kädenpuristus. Cloudflare-tutkimusinsinööri Christopher Patton kirjoittaa,
Vaikka ESNI otti merkittävän askeleen eteenpäin, se ei täytä tavoitettamme saavuttaa täydellinen kättely-salaus. Sen lisäksi, että se on epätäydellinen - se suojaa vain SNI: tä - se on altis kourallinen hienostuneita hyökkäyksiä, joka on vaikea saada aikaan, mutta viittaa protokollan suunnittelun teoreettisiin heikkouksiin, joihin on puututtava.
...
Viime kädessä ECH: n tavoite on varmistaa tämä TLS yhteydet eri lähtöpalvelimille saman ECH-palveluntarjoajan takana eivät ole erotettavissa toisistaan.
Ei ole yllättävää, että koska ECH "on täysin järkevä vain DoH: n rinnalla ja CDN: n (sisältöjakeluverkko) yhteydessä", Cloudflare "näkee itsensä todennäköisenä ECH: n tarjoajana". Voit lukea lisää ECH: stä IETF: stä ehdotusluonnos.
OPAQUE-salasanat
OPAQUE-salasanat - ”jonkinlainen punoitus Oblivious Pseudo-Random -toiminnossa (OPRF) yhdistettynä salasanan todennettuun avaintenvaihtoon (PAKE)” - on mekanismi, jolla vältetään käyttäjän salasanan siirtäminen palvelimelle. OPAQUE saavuttaa tämän "antamalla palvelimen ja asiakkaan laskea yhdessä suolatun tiivisteen vertailua varten käyttämällä välituotesuolaa. Tämä varmistaa, että palvelin ei voi oppia käyttäjän salasanaa todennuksen aikana, eikä käyttäjä opi palvelimen salaista suolaa. "
Löydät paljon enemmän OPAQUE-salasanoista Tässä asiakirjassa [PDF-linkki]: Kalifornian yliopiston tutkijat Irvine ja IBM sekä Cloudflare-insinööri Tatiana Bradley's blogi.
Vuotaneet FTP-tunnistetiedot mahdollisesti linkitetty SolarWinds Attackiin
Ellet ole viettänyt viime viikkoja kauko-ohjattavassa hytissä (ei ole huono idea nyt, kun ajattelemme sitä), olet todennäköisesti kuullut melkoisen määrän jo toimitusketjuhyökkäys joka vaarantaa SolarWindsin Orion-IT-seurantaohjelmiston ja monet sen käyttäjät julkishallinnossa ja teollisuudessa. Ravie Lakshmananin 16. joulukuuta tarina Hacker News -lehdessä keskustellaan siitä, kuinka hyökkääjät "todennäköisesti onnistuivat vaarantamaan SolarWinds Orion -alustan ohjelmistojen rakentamisen ja koodin allekirjoittamisen infrastruktuurin jo lokakuussa 2019 toimittamaan haitalliset takaoven ohjelmistojen julkaisuprosessin kautta".
Ideana oli kompromissi rakennusjärjestelmästä, piilottaa omat koodinsa hiljaa ohjelmiston lähdekoodiin, odottaa yrityksen kokoamista, allekirjoittamaan paketteja ja lopuksi tarkistaa, näkyvätkö niiden muutokset vasta julkaistuissa päivityksissä odotetusti.
Lokakuun 2019 aikajana on linjassa turvallisuustutkijan Vinoth Kumerin kanssa löytö, marraskuussa 2019, julkisesta GitHub-reposta, joka vuotaa selkeän tekstin FTP-tunnistetiedot Solarwindsin päivityspalvelimelle - ja että tähän palvelimeen oli pääsy salasanalla "solarwinds123". Kyseinen repo oli ollut avoinna yleisölle "17. kesäkuuta 2018 lähtien", mikä antoi mahdollisille hyökkääjille runsaasti aikaa löytää ja hyödyntää vuotaneet valtakirjat.
Ei tietenkään auttanut se, että SolarWinds neuvoi myös käyttäjiä poistamaan turvatoimet käytöstä:
Asiaa pahentaa vielä se, että Orion-ohjelmistopäivitykseen lisätty haitallinen koodi on saattanut olla huomaamatta virustentorjuntaohjelmistojen ja muiden kohdennettujen järjestelmien suojaustyökalujen takia SolarWindsin omien tukineuvonta, jonka mukaan sen tuotteet eivät välttämättä toimi kunnolla, ellei niiden tiedostohakemistoja ole vapautettu virustentorjunnasta ja ryhmäkäytäntöobjektien (GPO) rajoituksista.
