Tervetuloa SSL.com: n kuukausittaiseen tietoturvakokoelmaan syyskuun numeroon! Tänään puhumme:
- SSL.com: n upouusi tiedote
- Muutokset CA / B-foorumeihin EV SSL -ohjeet
- Venäjän suunnitelmat kieltää protokollat jotka piilottavat Internet-liikenteen määränpään
- - Pesukarhu hyökkäys on TLS versiot 1.2 ja vanhemmat
- Epävarma Esineiden internet (IoT) käytännöt
SSL.com-uutiskirjeen julkistaminen!
SSL.com on ylpeä voidessaan ilmoittaa uuden kuukausittaisen sähköpostiuutiskirjeemme! Lähetämme sinulle joka kuukausi uutisia ja tietoja Internet-turvallisuudesta, PKIja digitaaliset sertifikaatit sekä tiedot SSL.com: n tarjoamista uusista tuotteista ja palveluista. Rekisteröidy vain täyttämällä alla oleva lomake. (Voit helposti peruuttaa tilauksen milloin tahansa napsauttamalla peruuttaa linkki jokaisessa lähettämässämme sähköpostissa.):
CA / B-keskusteluryhmä SC30: Muutokset EV SSL -varmenteiden ohjeisiin
SSL.com: n kiinnostavissa uutisissa EV SSL asiakkaille, CA: n / selainfoorumin nykyinen versio (1.7.3) EV SSL -sertifikaattiohjeet, joka tuli voimaan 20. elokuuta 2020, sisältää joitain uusia vaatimuksia. Erityisesti CA / B-foorumissa kuvatulla tavalla Äänestyslomake SC30, varmentajien (CA), kuten SSL.com, on nyt julkaistava luettelo rekisteröinti- ja rekisteröintivirastoista, joita he käyttävät EV SSL -varmentepyyntöjen vahvistamisessa. (Siirto on sopusoinnussa suuremman tavoitteen kanssa saada EV-validointilähteet yhdenmukaisiksi varmentajien välillä.)
Tämän seurauksena SSL.com julkaisee luettelon tietolähteistä, joita käytämme validoidessamme yrityksiä ja muita organisaatioita EV-varmenteille. Kun emme pysty löytämään hakijan organisaatiota nykyisestä lähdeluettelostamme, yritämme löytää toisen toimivan tietolähteen ja lisätä sen julkaistuun luetteloon ennen tilauksen vahvistamista ja varmenteen antamista.
Venäjä aikoo kieltää protokollat, jotka piilottavat liikenteen määränpään
Tämä tarina saattaa tuntua tutulta, jos olet pysynyt ajan tasalla digitaalisista tietoturvauutisista. Itse asiassa viime kuussa raportoimme tarinasta, jonka Kiinan ”suuri palomuuri” estää nyt käyttämänsä HTTPS-liikenteen TLS 1.3 ja ENSI (Encrypted Server Name Indication), jotta kiinalaisten sensuurien olisi helpompi nähdä, millä sivustoilla kansalaiset yrittävät käydä, ja valvoa pääsyä mainituille sivustoille.
Tässä kuussa, Catalin Cimpanun raportti julkaisussa ZDNet selitti, että Venäjä pyrkii nyt kieltämään joidenkin protokollien käytön päivittämällä tekniikkalakit, jotka "tekisivät laittomaksi salausprotokollien käytön, joka kätkee kokonaan liikenteen määränpään". Kuten artikkelissa todettiin, näihin protokolliin sisältyisi TLS 1.3, Doh, DoT ja ESNI. Perustelut muistuttavat tietysti paljon kuin Kiinan kielto - pöytäkirjat estävät valtion valvontaa ja sensuuria. Artikkelista:
Venäjä ei käytä kansallista palomuurijärjestelmää, mutta Moskovan hallinto nojaa järjestelmään nimeltä SORM jonka avulla lainvalvontaviranomaiset voivat siepata Internet-liikennettä lainvalvontatarkoituksiin heti lähteellä, telekeskuksissa.
Lisäksi Venäjän televiestintäministeriö, Roskomnadzor, on johtanut tosiasiallisesti kansallista palomuuria paikallisten Internet-palveluntarjoajien valvonnasta johtuvan toimivallan kautta. Viimeisen vuosikymmenen aikana Roskomnadzor on kieltänyt vaarallisiksi katsomiaan verkkosivustoja ja pyytänyt Internet-palveluntarjoajia suodattamaan liikenteensa ja estämään pääsyn vastaaville sivustoille.
Kanssa TLS 1.3, DoH, DoT ja ESNI ovat saamassa hyväksynnän, kaikki Venäjän nykyiset valvonta- ja sensuurityökalut ovat hyödyttömiä, koska ne luottavat siihen, että heillä on pääsy salattuun verkkoliikenteeseen vuotaville verkkosivustojen tunnisteille.
Laki on parhaillaan harkittavana, odotetaan julkista palautetta, ja se palaa äänestykseen lokakuun alussa. ZDNet toteaa, että ilmasto huomioon ottaen "on melkein varmaa, että muutos hyväksytään".
Uusi TLS Hyökkäys: Pesukarhu
Meillä on jo blogi "pesukarhu-hyökkäyksestä", mutta se on syytä mainita uudelleen, koska hyökkäys voi antaa kolmansien osapuolten murtaa SSL /TLS salaus lukea viestintää, joka on tarkoitus pitää turvallisena. Kuten äskettäin julkaistussa julkaisussa selitetään akateeminen paperi, hyökkäys käyttää hyväksi ajoitettua haavoittuvuutta TLS versiot 1.2 ja vanhemmat, ja se voi purkaa viestinnän, joka sisältää käyttäjänimet, salasanat, luottokorttitiedot ja muut arkaluontoiset tiedot. Aiemmin tässä kuussa lähettämämme viesti:
Vaikka se kuulostaa kauhistuttavalta, muista, että tämä hyökkäys voi tapahtua vain hyvin erityisissä ja harvoissa olosuhteissa: palvelimen on käytettävä uudelleen julkisia Diffie-Hellman-avaimia kädenpuristus (jo pidetty huonona käytäntönä), ja hyökkääjän on kyettävä tekemään tarkat ajoitusmittaukset. Selaimen on lisäksi tuettava haavoittuvia salauspaketteja (kesäkuusta 2020 lähtien kaikki suuret selaimet ovat pudottaneet ne).
(Haavoittuvien) esineiden internet, kahvinkeitin
Vaikka yllä oleva tarina ei ollut todella pesukarhujen hyökkäyksistä tämä tarina koskee todella kahvinkeittimiä. Tarkemmin sanottuna Dan Goodinin artikkeli Ars Technica on kuinka kahvinkeitin muutettiin "lunnaiden koneeksi" hyödyntämällä esineiden internetin (IoT) laitteiden yleisiä heikkouksia.
Periaatteessa älykkäiden tuotteiden (huonosti nimetty) iKettle on jo pitkään ollut kohde niille, jotka haluavat havainnollistaa helposti hakkeroivien laitteiden vaaroja. Vuodesta 2015 lähtien vedenkeittimen versiot on kauko-ohjattu käänteisen suunnittelun avulla. Vaikka yritys on julkaissut uuden version potista sen jälkeen, vanhat ovat edelleen käytössä, ja poika on heille alttiita artikkelin muistiinpanojen "out of the box" -hyökkäyksille. Äskettäin ohjelmoija nimeltä Martin Hron päätti testata rajoja sille, miltä kahvikoneen tietoturvaloukkaus voi näyttää, pahimmassa tapauksessa:
Kun Hron kytkti ensimmäisen kerran älykkäämmän kahvinkeittimen, hän huomasi, että se toimi välittömästi Wi-Fi-tukiasemana, joka käytti suojaamatonta yhteyttä kommunikoimaan älypuhelinsovelluksen kanssa. Sovellusta puolestaan käytetään laitteen konfigurointiin, ja jos käyttäjä haluaa, yhdistä se Wi-Fi-kotiverkkoon. Ilman salausta tutkijalla ei ollut mitään ongelmaa oppia, miten puhelin ohjasi kahvinkeitintä, ja koska todentamista ei myöskään ollut, kuinka kelmi puhelinsovellus voisi tehdä saman.
Tämä ominaisuus jätti Hronille silti vain pienen valikon komentoja, joista kukaan ei ollut erityisen haitallinen. Joten hän tutki mekanismia, jota kahvinkeitin käytti laiteohjelmistopäivitysten vastaanottamiseen. Kävi ilmi, että ne saatiin puhelimesta - arvasit sen - ilman salausta, todentamista eikä koodin allekirjoittamista.
Kahvinkeittimen hakkeroinnissa on laaja blogiviesti nimeltä “Lunastetun kahvin tuoksu. ” Siellä on myös hauska video osoittaa kaaoksen, joka aiheutui kahvinkeittimen haavoittuvuuksien hyödyntämisestä. Vaikka on epätodennäköistä, että tällainen hyökkäys tulee pian kenenkään keittiöön, se on hyvä muistutus siitä, että "älykäs" tarkoittaa enemmän kuin "kätevää".
SSL tarjoaa IoT-valmistajille kaikki työkalut ja asiantuntemus tarvitaan suojaamaan laitteita, joilla on luotettavat X.509-varmenteet. Katso nämä SSL.com-artikkelit saadaksesi paljon lisätietoja: