Az SSL.com minden ügyfelünknek és látogatónknak boldog, biztonságos és egészséges ünnepeket, valamint virágzó 2021-et kíván! Reméljük, hogy az új év valamivel kevesebb lesz, öhm ... érdekes mint 2020 bizonyos szempontból, de biztosak vagyunk benne, hogy egy hónap sem telik el a hálózati biztonság, a digitális tanúsítványok és PKI.
OpenSSL DoS biztonsági rés
Ezt a kérdést a blogbejegyzés a hónap elején, de érdemes megismételni. Súlyos sérülékenység a OpenSSL felfedezték, amely az 1.0.2i előtti OpenSSL 1.1.1 és 1.1.1 összes verzióját érinti. Ez a biztonsági rés kihasználható szolgáltatásmegtagadási (DoS) támadás létrehozására. OpenSSL 1.1.1i, amely 8. december 2020-án jelent meg, tartalmaz egy javítást.
Az OpenSSL-felhasználóknak a lehető leghamarabb frissíteniük kell a telepítésüket. A javítás alkalmazásának két útja van:
- Az OpenSSL 1.1.1 és a nem támogatott 1.0.2 felhasználóknak frissíteniük kell 1.1.1i verzióra.
- Az OpenSSL 1.0.2 prémium támogatást nyújtó ügyfeleinek frissíteniük kell az 1.0.2x verzióra.
Az OpenSSL jelenleg a HTTPS webkiszolgálók többségére van telepítve. Az SSL.com-ok sebezhetőségéről bővebben olvashat blog, és az OpenSSL projektekben Biztonsági tanácsadás.
A Cloudflare új adatvédelmi protokollokat támogat
Tim Anderson jelentett a The Register-ben, hogy a Cloudflare „új internetes protokollok elfogadását szorgalmazza, amely szerinte lehetővé teszi a„ magánélet tiszteletben tartó internetet ”.” DNS HTTPS-n keresztül (DoH), további titkosítás a TLS kézfogás, valamint a felhasználói jelszavak kezelésének biztonsági fejlesztései.
Feledékeny DoH
DNS HTTPS-n keresztül (DoH) az internetes adatvédelem gyenge láncszemét kezeli a DNS-lekérdezések és válaszok titkosításával, amelyeket a múltban sima szövegként küldtek. Feledékeny DoH (ODoH) egy lépéssel tovább viszi a DNS adatvédelmet azáltal, hogy megakadályozza, hogy a DoH szerverek megismerjék az ügyfél IP címét:
Az ODoH lényege, hogy hálózati proxyt vezet be az ügyfél és a DoH szerver között. A proxy nem látja a DNS-lekérdezést, amelyet csak a DoH szerver olvashat. A szerver nem ismeri az ügyfél IP-címét. A lekérdezés privát, feltéve, hogy a proxy és a szerver nem működik össze.
A Cloudflare már bejelentette az ODoH támogatását, amelyet a Cloudflare, az Apple és a Fastly mérnökei fejlesztettek ki. Ha többet szeretne megtudni, nézze meg a papírjuk az arxiv.org oldalon.
Titkosított ügyfél Hello (ECH)
Titkosított ügyfél Hello (ECH) továbbfejlesztett kézfogási titkosítást kínál TLS, túlmenni Titkosított SNI (ESNI), amely csak a kiszolgálónév-jelzést (SNI) védi a TLS kézfogás. Christopher Patton, a Cloudflare kutatómérnöke szerint,
Míg az ESNI jelentős előrelépést tett, nem teljesíti célunkat, hogy elérjük a teljes kézfogás titkosítását. Amellett, hogy hiányos - csak az SNI-t védi - sérülékeny egy maroknyi kifinomult támadás, amelyek bár nehezen használhatók, a protokoll felépítésének elméleti gyengeségeire mutatnak, amelyeket kezelni kell.
...
Végül az ECH célja ennek biztosítása TLS ugyanazon ECH szolgáltató mögött különböző származási kiszolgálókhoz létesített kapcsolatok nem különbözhetnek egymástól.
Nem meglepő, hogy mivel az ECH „csak a DoH mellett van értelme és egy CDN (tartalomelosztó hálózat) kontextusában”, a Cloudflare „valószínűleg ECH szolgáltatónak tekinti magát”. Az ECH-ről az IETF-ben olvashat bővebben javaslattervezet.
Átláthatatlan jelszavak
Az OPAQUE jelszavak - „valamiféle szójáték a feledékeny ál-véletlenszerű funkción (OPRF) és a jelszóval hitelesített kulcscserével (PAKE) kombinálva” - egy olyan mechanizmus, amellyel teljesen elkerülhető a felhasználó jelszavának kiszolgálóra továbbítása. Az OPAQUE ezt úgy éri el, hogy „a kiszolgáló és az ügyfél közösen kiszámítja a sózott kivonatot, hogy összehasonlítsa egy köztes második só használatával. Ez biztosítja, hogy a kiszolgáló nem tudja megismerni a felhasználó jelszavát a hitelesítés során, és a felhasználó nem tanulja meg a szerver titkos sóját. "
Sokkal többet tudhat meg az OPAQUE jelszavakról a ez a dokumentum [PDF link]: a Kaliforniai Egyetem kutatói, az Irvine és az IBM, valamint a Cloudflare mérnöke, Tatiana Bradley blogbejegyzés.
Kiszivárgott FTP-hitelesítő adatok esetleg kapcsolódnak a SolarWinds Attackhez
Hacsak nem töltötte az elmúlt hetekben egy távoli, hálózaton kívüli kabinban (ez nem rossz ötlet most, amikor belegondolunk), valószínűleg már hallott egy csomó összeget ellátási lánc támadás ez veszélyeztette a SolarWinds Orion informatikai megfigyelő szoftverét és számos felhasználóját a kormányzatban és az iparban. Ravie Lakshmanan december 16-a történet a Hacker News című cikkben arról beszél, hogy a támadóknak „valószínűleg már 2019 októberében sikerült kompromisszumot kötniük a SolarWinds Orion platform szoftverfelépítési és kód-aláíró infrastruktúrájával, hogy a rosszindulatú hátsó ajtót a szoftverkiadási folyamaton keresztül juttassák el”.
Az ötlet ... az volt, hogy veszélybe sodorják a build rendszert, csendben beírják a saját kódjukat a szoftver forráskódjába, megvárják, amíg a vállalat összeállítja, aláírja a csomagokat, és végül ellenőrizze, hogy a módosítások megjelennek-e az újonnan kiadott frissítésekben a várakozásoknak megfelelően.
A 2019 októberi idővonal igazodik Vinoth Kumer biztonsági kutatóhoz felfedezés, 2019 novemberében egy nyilvános GitHub repóból, amely szimpla szövegű FTP hitelesítő adatokat szivárogtat ki a Solarwinds frissítő szerveréhez - és hogy ez a kiszolgáló a „solarwinds123” jelszóval volt elérhető. A szóban forgó repo a nyilvánosság számára „17. június 2018. óta” volt nyitva, így a leendő támadóknak bőven volt ideje felfedezni és kihasználni a kiszivárgott hitelesítő adatokat.
Természetesen az sem segített, hogy a SolarWinds azt is javasolta a felhasználóknak, hogy tiltsák le a biztonsági intézkedéseket:
A helyzetet még rosszabbá teheti, hogy az Orion szoftverfrissítéshez hozzáadott rosszindulatú kódot a SolarWinds saját programjának köszönhetően észrevétlenül észrevehették a víruskereső szoftverek és más célzott rendszerek biztonsági eszközei. támogatási tanácsadás, amely kimondja, hogy termékei csak akkor működnek megfelelően, ha a fájlkönyvtárak mentesülnek a víruskeresés és a csoportházirend-objektumok (GPO) korlátozásai alól.