Üdvözöljük az SSL.com Security Roundup 2019 novemberi kiadásában, ahol bemutatjuk az SSL / hónap fejleményeinek válogatásátTLS, digitális tanúsítványok és hálózati biztonság! Ebben a kiadásban a következőkről lesz szó:
- TPM-FAIL: újonnan felfedezett réseket az Intel firmware-alapú TPM és az STMicroelectronics TPM chipjeiben
- Felhatalmazáson alapuló hitelesítő adatok mert TLS
- Európa hiánya IPv4 címek
- A átjárónyitás több domain név regisztráló
TPM-FAIL
Sirgiu Gatlan az alvó számítógépnél jelentések hogy a Worcesteri Műszaki Egyetem, a Lübecki Egyetem és a Kaliforniai Egyetem (San Diego) kutatócsoportja két sebezhetőséget fedezett fel az Intel firmware-alapú TPM (fTPM) és az STMicroelectronics TPM (Trusted Platform Module) chipjeiben.
Ezek a sebezhető pontok TPM-FAIL A kutatók által lehetővé tették a támadók számára a tárolt privát kriptográfiai kulcsok visszaszerzését. A A TPM-FAIL webhely, a kutatók kijelentik, hogy:
Időzítési szivárgást fedeztünk fel az Intel firmware-alapú TPM-en (fTPM), valamint az STMicroelectronics TPM chipjén. Mindkettő titkos függő végrehajtási időt mutat a kriptográfiai aláírás létrehozása során. Míg a kulcsnak biztonságban kell maradnia a TPM hardver belsejében, megmutatjuk, hogy ez az információ hogyan teszi lehetővé a támadónak, hogy ellipszis görbék alapján helyreállítsa a 256 bites magánkulcsokat a digitális aláírási sémákból.
A demonstrált támadások gyakorlati jellegűek, mivel a kutatók azt is állítják
A helyi ellenfél a hozzáférési szinttől függően 4-20 perc alatt helyrehozhatja az ECDSA kulcsot az Intel fTPM-től. Még azt is megmutatjuk, hogy ezek a támadások távolról is végrehajthatók gyors hálózatokon, a virtuális magánhálózat (VPN) szerver hitelesítési kulcsának 5 órán belül történő helyreállításával.
Gatlan megjegyzi, hogy „A sérülékeny Intel fTPM-et… a számítógépgyártók túlnyomó többsége használja, ideértve, de nem kizárólag a Dell-t, a HP-t és a Lenovot”, és „a Az Intel tárgyak internete (IoT) platformja az iparban, az egészségügyben, az intelligens városokban és a kapcsolódó járművekben használt termékcsalád. ”
Az Intel kiadott egy folt fTPM firmware-jükre a TPM-FAIL sérülékenységek kiküszöbölésére, és az STMicroelectronics kiadott egy TPM-FAIL-ellenálló TPM chipet.
Felhatalmazáson alapuló hitelesítő adatok TLS
November 1-jén a Cloudflare bejelentés a felhatalmazáson alapuló hitelesítő adatok támogatása TLS, a Facebook és a Mozilla együttműködésével kifejlesztett új kriptográfiai protokoll. A delegált hitelesítő adatok megkönnyítik az SSL /TLS telepítés több globális végpont között, például egy tartalomszolgáltató hálózatban (CDN). A Cloudflare szerint a felhatalmazáson alapuló hitelesítő adatok:
egy rövid ideig tartó kulcs, amelyet a tanúsítvány tulajdonosa felhasználásra átruházott TLS. Úgy működnek, mint egy meghatalmazás: az Ön szervere felhatalmazza a szervert a megszűnésre TLS korlátozott ideig. Amikor egy ezt a protokollt támogató böngésző csatlakozik a szélső kiszolgálóinkhoz, megmutathatjuk neki ezt a „meghatalmazást”, ahelyett, hogy vissza kell fordulnunk az ügyfél szerveréhez, hogy megszerezzük a TLS kapcsolat. Ez csökkenti a késleltetést, javítja a teljesítményt és a megbízhatóságot.
Mivel a delegált hitelesítő adatokat rendszeresen a CDN élkiszolgálóira tolják, mielőtt az előző hitelesítő adatok lejárnának, a rendszer elkerüli a pull-alapú protokollokhoz társított késést Kulcs nélküli SSL. Elolvashatja a Facebook és a Mozilla közleményeit a delegált hitelesítő adatokról itt és a itt, illetve teljes részleteket kap az IETF-ről vázlat a leírásban.
Az IPv4 címek elfogynak
RIPE (európai regionális internetes nyilvántartás) bejelentés november 25-én, hogy nincs többé IPv4-címeik
a rendelkezésre álló készlet utolsó megmaradt címeiből végeztük el a 22 / IPv4 allokációt. Az IPv4 címek már elfogytak.
A RIPE szerint annak ellenére, hogy nincsenek megadva az IPv4 címek, a jövőben is tovább fognak gyógyulni „a megszűnt vagy megszűnt szervezetektől, vagy azoktól a hálózatoktól, amelyek már nem szükséges címeket adnak vissza”, és megválaszolják őket ki Helyi internetes nyilvántartások (LIR) várólistán keresztül.
Több domain névregisztrátor megsértette
Steve Dent az Engadgetnél jelentések hogy a támadók 2019 augusztus végén megsértették a Web.com-ot és leányvállalatait, a NetworkSolutions.com-ot és a Register.com-ot.
A Web.com szerint a jogsértés „korlátozott számú számítógépes rendszert érintett”, hogy „semmilyen hitelkártya-adat nem sérült”, és szerintük nem hiszik, hogy a tárolt, titkosított jelszavak sérülékenyek (de az ügyfeleknek meg kellene változtatniuk őket) . Előfordulhat azonban, hogy a támadók összegyűjthették az elérhetőségeket, például „nevet, címet, telefonszámokat, e-mail címeket és információkat az adott számlatulajdonos számára kínált szolgáltatásokról”.
Dent megjegyzi, hogy a domain név-nyilvántartás veszélyeztetése komoly következményekkel járhat:
Például hackerek egyszer veszélyeztetett egy brazil bank domain név regisztrátorát, és átirányította a felhasználókat olyan webhelyekre, amelyek ellopták a hitelesítő adataikat és rosszindulatú programokat telepítettek. "Ha a DNS-t számítógépes bűnözők ellenőrzése alatt tartják, akkor alapvetően elcseszik" - mondta Dmitrij Bestuzhev, Kaspersky Vezetékes az eseményről.