Bienvenue dans l'édition de novembre 2019 du Security Roundup de SSL.com, où nous présentons une sélection des développements du mois en SSL /TLS, certificats numériques et sécurité du réseau! Dans cette édition, nous couvrirons:
- TPM-FAIL: nouvellement découvert vulnérabilités dans le TPM basé sur le micrologiciel Intel et les puces TPM de STMicroelectronics
- Pouvoirs délégués en TLS
- Europe manque de Adresses IPv4
- La briser de plusieurs bureaux d'enregistrement de noms de domaine
ÉCHEC TPM
Sirgiu Gatlan à l'ordinateur de sommeil rapports qu'une équipe de recherche du Worcester Polytechnic Institute, de l'Université de Lübeck et de l'Université de Californie à San Diego a découvert deux vulnérabilités dans les puces TPM (Trusted Platform Module) Intel firmware-based TPM (fTPM) et STMicroelectronics (Trusted Platform Module).
Ces vulnérabilités, doublées ÉCHEC TPM par les chercheurs, permettent aux attaquants de récupérer les clés cryptographiques privées stockées. Sur le Site Web de TPM-FAIL, les chercheurs affirment que:
Nous avons découvert une fuite de synchronisation sur le TPM basé sur le micrologiciel Intel (fTPM) ainsi que sur la puce TPM de STMicroelectronics. Les deux présentent des temps d'exécution dépendant du secret lors de la génération de signature cryptographique. Alors que la clé doit rester en toute sécurité à l'intérieur du matériel TPM, nous montrons comment ces informations permettent à un attaquant de récupérer des clés privées de 256 bits à partir de schémas de signature numérique basés sur des courbes elliptiques.
Les attaques démontrées sont pratiques, car les chercheurs affirment également que
Un adversaire local peut récupérer la clé ECDSA d'Intel fTPM en 4-20 minutes selon le niveau d'accès. Nous montrons même que ces attaques peuvent être effectuées à distance sur des réseaux rapides, en récupérant la clé d'authentification d'un serveur de réseau privé virtuel (VPN) en 5 heures.
Gatlan note que «le processeur Intel fTPM vulnérable… est utilisé par la grande majorité des fabricants d'ordinateurs, y compris, mais sans s'y limiter, Dell, HP et Lenovo» et est «également largement utilisé par Plate-forme Internet des objets (IoT) d'Intel famille de produits utilisés dans l'industrie, la santé, les villes intelligentes et les véhicules connectés. »
Intel a publié un pièce à leur firmware fTPM pour corriger les vulnérabilités TPM-FAIL, et STMicroelectronics a publié une puce TPM résistante TPM-FAIL.
Pouvoirs délégués pour TLS
Le 1er novembre, Cloudflare annoncé prise en charge des pouvoirs délégués pour TLS, un nouveau protocole cryptographique développé en collaboration avec Facebook et Mozilla. Les informations d'identification déléguées sont destinées à faciliter SSL /TLS déploiement sur plusieurs points de terminaison mondiaux, comme dans un réseau de distribution de contenu (CDN). Selon Cloudflare, un identifiant délégué est:
une clé de courte durée que le propriétaire du certificat a délégué pour utilisation dans TLS. Ils fonctionnent comme une procuration: votre serveur autorise notre serveur à résilier TLS Pour un temps limité. Lorsqu'un navigateur qui prend en charge ce protocole se connecte à nos serveurs de périphérie, nous pouvons lui montrer cette «procuration», au lieu d'avoir à contacter le serveur d'un client pour qu'il autorise le TLS lien. Cela réduit la latence et améliore les performances et la fiabilité.
Étant donné que les informations d'identification déléguées sont périodiquement transmises aux serveurs périphériques du CDN avant l'expiration des informations d'identification précédentes, le système évite la latence associée aux protocoles basés sur l'extraction comme SSL sans clé. Vous pouvez lire les annonces de Facebook et de Mozilla sur les informations d'identification déléguées ici et ici, respectivement, et obtenir tous les détails de l'IETF avant-projet de la spécification.
Adresses IPv4 épuisées
RIPE (registre Internet régional européen) annoncé le 25 novembre qu'il ne reste plus d'adresses IPv4
nous avons effectué notre allocation finale / 22 IPv4 à partir des dernières adresses restantes dans notre pool disponible. Nous avons maintenant épuisé les adresses IPv4.
RIPE affirme que même s'ils n'ont plus d'adresses IPv4, ils continueront de récupérer davantage à l'avenir «d'organisations qui ont cessé leurs activités ou sont fermées, ou de réseaux qui renvoient des adresses dont ils n'ont plus besoin», et les distribueront dehors à Registres Internet locaux (LIR) via une liste d'attente.
Violation de plusieurs bureaux d'enregistrement de noms de domaine
Steve Dent chez Engadget rapports que Web.com et ses filiales NetworkSolutions.com et Register.com ont été violés par des attaquants fin août 2019.
Selon Web.com, la violation impliquait «un nombre limité de ses systèmes informatiques», qu'aucune donnée de carte de crédit n'a été compromise »et qu'ils ne croient pas que les mots de passe stockés et cryptés sont vulnérables (mais que les clients devraient les changer) . Cependant, les attaquants peuvent avoir été en mesure de collecter des coordonnées telles que «nom, adresse, numéros de téléphone, adresses e-mail et informations sur les services que nous proposons à un titulaire de compte donné».
Dent note que la compromission d'un registre de noms de domaine a des conséquences potentiellement désastreuses:
Par exemple, les pirates informatiques une fois compromis le bureau d'enregistrement de noms de domaine d'une banque brésilienne et a redirigé les utilisateurs vers des sites similaires qui ont volé leurs informations d'identification et installé des logiciels malveillants. «Si votre DNS est sous le contrôle de cybercriminels, vous êtes fondamentalement foutu», a déclaré Dmitry Bestuzhev de Kaspersky. Câble à propos de l'incident.
