Résumé de la sécurité de novembre 2019

Bienvenue dans l'édition de novembre 2019 du Security Roundup de SSL.com, où nous présentons une sélection des développements du mois en SSL /TLS, certificats numériques et sécurité du réseau! Dans cette édition, nous couvrirons:

  • TPM-FAIL: nouvellement découvert vulnérabilités dans le TPM basé sur le micrologiciel Intel et les puces TPM de STMicroelectronics
  • Pouvoirs délégués à TLS
  • Europe manque de Adresses IPv4
  • Le briser de plusieurs bureaux d'enregistrement de noms de domaine

ÉCHEC TPM

Sirgiu Gatlan à l'ordinateur de sommeil rapports qu'une équipe de recherche du Worcester Polytechnic Institute, de l'Université de Lübeck et de l'Université de Californie à San Diego a découvert deux vulnérabilités dans les puces TPM (Trusted Platform Module) Intel firmware-based TPM (fTPM) et STMicroelectronics (Trusted Platform Module).

Ces vulnérabilités, doublées ÉCHEC TPM par les chercheurs, permettent aux attaquants de récupérer les clés cryptographiques privées stockées. Sur le Site Web de TPM-FAIL, les chercheurs affirment que:

Nous avons découvert une fuite de synchronisation sur le TPM basé sur le micrologiciel Intel (fTPM) ainsi que sur la puce TPM de STMicroelectronics. Les deux présentent des temps d'exécution dépendant du secret lors de la génération de signature cryptographique. Alors que la clé doit rester en toute sécurité à l'intérieur du matériel TPM, nous montrons comment ces informations permettent à un attaquant de récupérer des clés privées de 256 bits à partir de schémas de signature numérique basés sur des courbes elliptiques.

Les attaques démontrées sont pratiques, car les chercheurs affirment également que

Un adversaire local peut récupérer la clé ECDSA d'Intel fTPM en 4-20 minutes selon le niveau d'accès. Nous montrons même que ces attaques peuvent être effectuées à distance sur des réseaux rapides, en récupérant la clé d'authentification d'un serveur de réseau privé virtuel (VPN) en 5 heures.

Gatlan note que «le processeur Intel fTPM vulnérable… est utilisé par la grande majorité des fabricants d'ordinateurs, y compris, mais sans s'y limiter, Dell, HP et Lenovo» et est «également largement utilisé par Plate-forme Internet des objets (IoT) d'Intel famille de produits utilisés dans l'industrie, la santé, les villes intelligentes et les véhicules connectés. »

Intel a publié un pièce à leur firmware fTPM pour corriger les vulnérabilités TPM-FAIL, et STMicroelectronics a publié une puce TPM résistante TPM-FAIL.

À retenir de SSL.com: N'importe qui avec vos clés privées peut voler votre identité. Il est très probable que vous possédez au moins un appareil affecté par ces vulnérabilités - vérifiez auprès du fabricant de votre appareil les mises à jour du micrologiciel.

Pouvoirs délégués pour TLS

Le 1er novembre, Cloudflare annoncé prise en charge des pouvoirs délégués pour TLS, un nouveau protocole cryptographique développé en collaboration avec Facebook et Mozilla. Les informations d'identification déléguées sont destinées à faciliter SSL /TLS déploiement sur plusieurs points de terminaison mondiaux, comme dans un réseau de distribution de contenu (CDN). Selon Cloudflare, un identifiant délégué est:

une clé de courte durée que le propriétaire du certificat a délégué pour utilisation dans TLS. Ils fonctionnent comme une procuration: votre serveur autorise notre serveur à résilier TLS Pour un temps limité. Lorsqu'un navigateur qui prend en charge ce protocole se connecte à nos serveurs de périphérie, nous pouvons lui montrer cette «procuration», au lieu d'avoir à contacter le serveur d'un client pour qu'il autorise le TLS lien. Cela réduit la latence et améliore les performances et la fiabilité.

Étant donné que les informations d'identification déléguées sont périodiquement transmises aux serveurs périphériques du CDN avant l'expiration des informations d'identification précédentes, le système évite la latence associée aux protocoles basés sur l'extraction comme SSL sans clé. Vous pouvez lire les annonces de Facebook et de Mozilla sur les informations d'identification déléguées ici et ici, respectivement, et obtenir tous les détails de l'IETF avant-projet de la spécification.

À retenir de SSL.com: Nous sommes intéressés par tout développement qui facilite la mise en œuvre globale sécurisée et efficace de SSL /TLSet suivra de près cette technologie au fil de son développement.

Adresses IPv4 épuisées

RIPE (registre Internet régional européen) annoncé le 25 novembre qu'il ne reste plus d'adresses IPv4

nous avons effectué notre allocation finale / 22 IPv4 à partir des dernières adresses restantes dans notre pool disponible. Nous avons maintenant épuisé les adresses IPv4.

RIPE affirme que même s'ils n'ont plus d'adresses IPv4, ils continueront de récupérer davantage à l'avenir «d'organisations qui ont cessé leurs activités ou sont fermées, ou de réseaux qui renvoient des adresses dont ils n'ont plus besoin», et les distribueront dehors à Registres Internet locaux (LIR) via une liste d'attente.

À retenir de SSL.com: IPv6 utilise des adresses de 128 bits, par rapport aux 4 bits d'IPv32, ce qui entraîne 7.9 × 1028 fois autant d'adresses possibles que IPv4. Nous convenons avec RIPE que «sans un déploiement IPv6 à grande échelle, nous risquons de nous diriger vers un avenir où la croissance de notre Internet est inutilement limitée.»

Violation de plusieurs bureaux d'enregistrement de noms de domaine

Steve Dent chez Engadget rapports que Web.com et ses filiales NetworkSolutions.com et Register.com ont été violés par des attaquants fin août 2019.

Selon Web.com, la violation impliquait «un nombre limité de ses systèmes informatiques», qu'aucune donnée de carte de crédit n'a été compromise »et qu'ils ne croient pas que les mots de passe stockés et cryptés sont vulnérables (mais que les clients devraient les changer) . Cependant, les attaquants peuvent avoir été en mesure de collecter des coordonnées telles que «nom, adresse, numéros de téléphone, adresses e-mail et informations sur les services que nous proposons à un titulaire de compte donné».

Dent note que la compromission d'un registre de noms de domaine a des conséquences potentiellement désastreuses:

Par exemple, les pirates informatiques une fois compromis le bureau d'enregistrement de noms de domaine d'une banque brésilienne et a redirigé les utilisateurs vers des sites similaires qui ont volé leurs informations d'identification et installé des logiciels malveillants. «Si votre DNS est sous le contrôle de cybercriminels, vous êtes fondamentalement foutu», a déclaré Dmitry Bestuzhev de Kaspersky. Câble à propos de l'incident.

À retenir de SSL.com: Si vous avez pu être affecté par cette violation, vérifiez vos enregistrements DNS et changez votre mot de passe.
Merci de visiter SSL.com, où nous croyons plus sûre Internet est un mieux L'Internet! Vous pouvez nous contacter par email à Support@SSL.com, appel 1-877-SSL-SECUREou cliquez simplement sur le lien de discussion en bas à droite de cette page.


Abonnez-vous à la newsletter SSL.com

Ne manquez pas les nouveaux articles et mises à jour de SSL.com

Nous aimerions recevoir vos commentaires

Répondez à notre enquête et faites-nous part de votre avis sur votre récent achat.