Syyskuu 2020 Security Roundup

Tervetuloa SSL.com: n kuukausittaiseen tietoturvakokoelmaan syyskuun numeroon! Tänään puhumme:

SSL.com-uutiskirjeen julkistaminen!

SSL.com on ylpeä voidessaan ilmoittaa uuden kuukausittaisen sähköpostiuutiskirjeemme! Lähetämme sinulle joka kuukausi uutisia ja tietoja Internet-turvallisuudesta, PKIja digitaaliset sertifikaatit sekä tiedot SSL.com: n tarjoamista uusista tuotteista ja palveluista. Rekisteröidy vain täyttämällä alla oleva lomake. (Voit helposti peruuttaa tilauksen milloin tahansa napsauttamalla peruuttaa linkki jokaisessa lähettämässämme sähköpostissa.):




CA / B-keskusteluryhmä SC30: Muutokset EV SSL -varmenteiden ohjeisiin

SSL.com: n kiinnostavissa uutisissa EV SSL asiakkaille, CA: n / selainfoorumin nykyinen versio (1.7.3) EV SSL -sertifikaattiohjeet, joka tuli voimaan 20. elokuuta 2020, sisältää joitain uusia vaatimuksia. Erityisesti CA / B-foorumissa kuvatulla tavalla Äänestyslomake SC30, varmentajien (CA), kuten SSL.com, on nyt julkaistava luettelo rekisteröinti- ja rekisteröintivirastoista, joita he käyttävät EV SSL -varmentepyyntöjen vahvistamisessa. (Siirto on sopusoinnussa suuremman tavoitteen kanssa saada EV-validointilähteet yhdenmukaisiksi varmentajien välillä.)

Tämän seurauksena SSL.com julkaisee luettelon tietolähteistä, joita käytämme validoidessamme yrityksiä ja muita organisaatioita EV-varmenteille. Kun emme pysty löytämään hakijan organisaatiota nykyisestä lähdeluettelostamme, yritämme löytää toisen toimivan tietolähteen ja lisätä sen julkaistuun luetteloon ennen tilauksen vahvistamista ja varmenteen antamista.

SSL.com: n poisto: SSL.com tukee näitä muutoksia EV SSL -ohjeisiin ja äänesti "kyllä" äänestyslomakkeesta SC30, jonka varmentaja ja CA / B-foorumin selaimen jäsenet hyväksyivät yksimielisesti. Jos sinulla on kysyttävää näistä muutoksista ja siitä, miten ne voivat vaikuttaa sinuun, ota meihin yhteyttä osoitteessa Support@SSL.com.

Venäjä aikoo kieltää protokollat, jotka piilottavat liikenteen määränpään

Tämä tarina saattaa tuntua tutulta, jos olet pysynyt ajan tasalla digitaalisista tietoturvauutisista. Itse asiassa viime kuussa raportoimme tarinasta, jonka Kiinan ”suuri palomuuri” estää nyt käyttämänsä HTTPS-liikenteen TLS 1.3 ja ENSI (Encrypted Server Name Indication), jotta kiinalaisten sensuurien olisi helpompi nähdä, millä sivustoilla kansalaiset yrittävät käydä, ja valvoa pääsyä mainituille sivustoille.

Tässä kuussa, Catalin Cimpanun raportti julkaisussa ZDNet selitti, että Venäjä pyrkii nyt kieltämään joidenkin protokollien käytön päivittämällä tekniikkalakit, jotka "tekisivät laittomaksi salausprotokollien käytön, joka kätkee kokonaan liikenteen määränpään". Kuten artikkelissa todettiin, näihin protokolliin sisältyisi TLS 1.3, Doh, DoT ja ESNI. Perustelut muistuttavat tietysti paljon kuin Kiinan kielto - pöytäkirjat estävät valtion valvontaa ja sensuuria. Artikkelista:

Venäjä ei käytä kansallista palomuurijärjestelmää, mutta Moskovan hallinto nojaa järjestelmään nimeltä SORM jonka avulla lainvalvontaviranomaiset voivat siepata Internet-liikennettä lainvalvontatarkoituksiin heti lähteellä, telekeskuksissa.
Lisäksi Venäjän televiestintäministeriö, Roskomnadzor, on johtanut tosiasiallisesti kansallista palomuuria paikallisten Internet-palveluntarjoajien valvonnasta johtuvan toimivallan kautta. Viimeisen vuosikymmenen aikana Roskomnadzor on kieltänyt vaarallisiksi katsomiaan verkkosivustoja ja pyytänyt Internet-palveluntarjoajia suodattamaan liikenteensa ja estämään pääsyn vastaaville sivustoille.
Kanssa TLS 1.3, DoH, DoT ja ESNI ovat saamassa hyväksynnän, kaikki Venäjän nykyiset valvonta- ja sensuurityökalut ovat hyödyttömiä, koska ne luottavat siihen, että heillä on pääsy salattuun verkkoliikenteeseen vuotaville verkkosivustojen tunnisteille.

Laki on parhaillaan harkittavana, odotetaan julkista palautetta, ja se palaa äänestykseen lokakuun alussa. ZDNet toteaa, että ilmasto huomioon ottaen "on melkein varmaa, että muutos hyväksytään".

SSL.com: n poisto: Kuten viime kuukauden uutiset Kiinasta Suuri palomuuri, tämä on toinen esimerkki autoritaarisesta valtiosta, joka nuhaa kansalaistensa verkkotoimintaa. SSL.com on edelleen vakaasti vastustamassa hallitusten suorittamaa web-selailun valvontaa.

Uusi TLS Hyökkäys: Pesukarhu

Meillä on jo blogi "pesukarhu-hyökkäyksestä", mutta se on syytä mainita uudelleen, koska hyökkäys voi antaa kolmansien osapuolten murtaa SSL /TLS salaus lukea viestintää, joka on tarkoitus pitää turvallisena. Kuten äskettäin julkaistussa julkaisussa selitetään akateeminen paperi, hyökkäys käyttää hyväksi ajoitettua haavoittuvuutta TLS versiot 1.2 ja vanhemmat, ja se voi purkaa viestinnän, joka sisältää käyttäjänimet, salasanat, luottokorttitiedot ja muut arkaluontoiset tiedot. Aiemmin tässä kuussa lähettämämme viesti:

Vaikka se kuulostaa kauhistuttavalta, muista, että tämä hyökkäys voi tapahtua vain hyvin erityisissä ja harvoissa olosuhteissa: palvelimen on käytettävä uudelleen julkisia Diffie-Hellman-avaimia kädenpuristus (jo pidetty huonona käytäntönä), ja hyökkääjän on kyettävä tekemään tarkat ajoitusmittaukset. Selaimen on lisäksi tuettava haavoittuvia salauspaketteja (kesäkuusta 2020 lähtien kaikki suuret selaimet ovat pudottaneet ne).

SSL.com: n poisto: Vaikka onnistuneen pesukarhu-hyökkäyksen mahdollisuudet ovat harvinaiset, voit tehdä muutaman yksinkertaisen asian estääksesi sen kokonaan: Poista käytöstä TLS 1.2 tai varmista, että palvelimesi ei käytä uudelleen julkisia Diffie-Hellman-avaimia. Katso meidän blogi lisätietoja.

(Haavoittuvien) esineiden internet, kahvinkeitin

Vaikka yllä oleva tarina ei ollut todella pesukarhujen hyökkäyksistä tämä tarina koskee todella kahvinkeittimiä. Tarkemmin sanottuna Dan Goodinin artikkeli Ars Technica on kuinka kahvinkeitin muutettiin "lunnaiden koneeksi" hyödyntämällä esineiden internetin (IoT) laitteiden yleisiä heikkouksia.

Periaatteessa älykkäiden tuotteiden (huonosti nimetty) iKettle on jo pitkään ollut kohde niille, jotka haluavat havainnollistaa helposti hakkeroivien laitteiden vaaroja. Vuodesta 2015 lähtien vedenkeittimen versiot on kauko-ohjattu käänteisen suunnittelun avulla. Vaikka yritys on julkaissut uuden version potista sen jälkeen, vanhat ovat edelleen käytössä, ja poika on heille alttiita artikkelin muistiinpanojen "out of the box" -hyökkäyksille. Äskettäin ohjelmoija nimeltä Martin Hron päätti testata rajoja sille, miltä kahvikoneen tietoturvaloukkaus voi näyttää, pahimmassa tapauksessa:

Kun Hron kytkti ensimmäisen kerran älykkäämmän kahvinkeittimen, hän huomasi, että se toimi välittömästi Wi-Fi-tukiasemana, joka käytti suojaamatonta yhteyttä kommunikoimaan älypuhelinsovelluksen kanssa. Sovellusta puolestaan ​​käytetään laitteen konfigurointiin, ja jos käyttäjä haluaa, yhdistä se Wi-Fi-kotiverkkoon. Ilman salausta tutkijalla ei ollut mitään ongelmaa oppia, miten puhelin ohjasi kahvinkeitintä, ja koska todentamista ei myöskään ollut, kuinka kelmi puhelinsovellus voisi tehdä saman.
Tämä ominaisuus jätti Hronille silti vain pienen valikon komentoja, joista kukaan ei ollut erityisen haitallinen. Joten hän tutki mekanismia, jota kahvinkeitin käytti laiteohjelmistopäivitysten vastaanottamiseen. Kävi ilmi, että ne saatiin puhelimesta - arvasit sen - ilman salausta, todentamista eikä koodin allekirjoittamista.

Kahvinkeittimen hakkeroinnissa on laaja blogiviesti nimeltä “Lunastetun kahvin tuoksu. ” Siellä on myös hauska video osoittaa kaaoksen, joka aiheutui kahvinkeittimen haavoittuvuuksien hyödyntämisestä. Vaikka on epätodennäköistä, että tällainen hyökkäys tulee pian kenenkään keittiöön, se on hyvä muistutus siitä, että "älykäs" tarkoittaa enemmän kuin "kätevää".

SSL.com: n poisto: Tämä koe ja artikkeli ovat ikkuna siihen, mikä voi olla mahdollista esineiden internetin laajenevassa maailmassa. Ars Technica -artikkelissa ja -blogissa on paljon tietoa siitä, miten ihmiset voisivat parhaiten tehdä itsensä turvallisiksi, ja suosittelemme, että luet molemmat käytännön ideoista sekä puitteet ajatellaksesi mitä kutsumme koteihimme, kun heistä tulee "älykkäämpiä" ja älykkäämpi.

SSL tarjoaa IoT-valmistajille kaikki työkalut ja asiantuntemus tarvitaan suojaamaan laitteita, joilla on luotettavat X.509-varmenteet. Katso nämä SSL.com-artikkelit saadaksesi paljon lisätietoja:

Tilaa SSL.com -uutiskirje

Älä missaa uusia artikkeleita ja päivityksiä SSL.com-sivustolta

Otamme mielellämme palautetta vastaan

Vastaa kyselyymme ja kerro meille mielipiteesi viimeaikaisesta ostoksestasi.