2020. decemberi biztonsági Roundup

Az SSL.com minden ügyfelünknek és látogatónknak boldog, biztonságos és egészséges ünnepeket, valamint virágzó 2021-et kíván! Reméljük, hogy az új év valamivel kevesebb lesz, öhm ... érdekes mint 2020 bizonyos szempontból, de biztosak vagyunk benne, hogy egy hónap sem telik el a hálózati biztonság, a digitális tanúsítványok és PKI.

OpenSSL DoS biztonsági rés

Ezt a kérdést a blogbejegyzés a hónap elején, de érdemes megismételni. Súlyos sérülékenység a OpenSSL felfedezték, amely az 1.0.2i előtti OpenSSL 1.1.1 és 1.1.1 összes verzióját érinti. Ez a biztonsági rés kihasználható szolgáltatásmegtagadási (DoS) támadás létrehozására. OpenSSL 1.1.1i, amely 8. december 2020-án jelent meg, tartalmaz egy javítást.

Az OpenSSL-felhasználóknak a lehető leghamarabb frissíteniük kell a telepítésüket. A javítás alkalmazásának két útja van:

  • Az OpenSSL 1.1.1 és a nem támogatott 1.0.2 felhasználóknak frissíteniük kell 1.1.1i verzióra.
  • Az OpenSSL 1.0.2 prémium támogatást nyújtó ügyfeleinek frissíteniük kell az 1.0.2x verzióra.

Az OpenSSL jelenleg a HTTPS webkiszolgálók többségére van telepítve. Az SSL.com-ok sebezhetőségéről bővebben olvashat blog, és az OpenSSL projektekben Biztonsági tanácsadás.

Az SSL.com elvitele: Ha Ön OpenSSL felhasználó, és még nem tette meg ezt, olvassa el az OpenSSL-t tanácsadó a biztonsági résről, és frissítse a telepítést ASAP.
Ugrás az oldal tetejére

A Cloudflare új adatvédelmi protokollokat támogat

Tim Anderson jelentett a The Register-ben, hogy a Cloudflare „új internetes protokollok elfogadását szorgalmazza, amely szerinte lehetővé teszi a„ magánélet tiszteletben tartó internetet ”.” DNS HTTPS-n keresztül (DoH), további titkosítás a TLS kézfogás, valamint a felhasználói jelszavak kezelésének biztonsági fejlesztései.

Feledékeny DoH

DNS HTTPS-n keresztül (DoH) az internetes adatvédelem gyenge láncszemét kezeli a DNS-lekérdezések és válaszok titkosításával, amelyeket a múltban sima szövegként küldtek. Feledékeny DoH (ODoH)  egy lépéssel tovább viszi a DNS adatvédelmet azáltal, hogy megakadályozza, hogy a DoH szerverek megismerjék az ügyfél IP címét:

Az ODoH lényege, hogy hálózati proxyt vezet be az ügyfél és a DoH szerver között. A proxy nem látja a DNS-lekérdezést, amelyet csak a DoH szerver olvashat. A szerver nem ismeri az ügyfél IP-címét. A lekérdezés privát, feltéve, hogy a proxy és a szerver nem működik össze.

A Cloudflare már bejelentette az ODoH támogatását, amelyet a Cloudflare, az Apple és a Fastly mérnökei fejlesztettek ki. Ha többet szeretne megtudni, nézze meg a papírjuk az arxiv.org oldalon.

Titkosított ügyfél Hello (ECH)

Titkosított ügyfél Hello (ECH) továbbfejlesztett kézfogási titkosítást kínál TLS, túlmenni Titkosított SNI (ESNI), amely csak a kiszolgálónév-jelzést (SNI) védi a TLS kézfogás. Christopher Patton, a Cloudflare kutatómérnöke szerint,

Míg az ESNI jelentős előrelépést tett, nem teljesíti célunkat, hogy elérjük a teljes kézfogás titkosítását. Amellett, hogy hiányos - csak az SNI-t védi - sérülékeny egy maroknyi kifinomult támadás, amelyek bár nehezen használhatók, a protokoll felépítésének elméleti gyengeségeire mutatnak, amelyeket kezelni kell.
...
Végül az ECH célja ennek biztosítása TLS ugyanazon ECH szolgáltató mögött különböző származási kiszolgálókhoz létesített kapcsolatok nem különbözhetnek egymástól.

Nem meglepő, hogy mivel az ECH „csak a DoH mellett van értelme és egy CDN (tartalomelosztó hálózat) kontextusában”, a Cloudflare „valószínűleg ECH szolgáltatónak tekinti magát”. Az ECH-ről az IETF-ben olvashat bővebben javaslattervezet.

Átláthatatlan jelszavak

Az OPAQUE jelszavak - „valamiféle szójáték a feledékeny ál-véletlenszerű funkción (OPRF) és a jelszóval hitelesített kulcscserével (PAKE) kombinálva” - egy olyan mechanizmus, amellyel teljesen elkerülhető a felhasználó jelszavának kiszolgálóra továbbítása. Az OPAQUE ezt úgy éri el, hogy „a kiszolgáló és az ügyfél közösen kiszámítja a sózott kivonatot, hogy összehasonlítsa egy köztes második só használatával. Ez biztosítja, hogy a kiszolgáló nem tudja megismerni a felhasználó jelszavát a hitelesítés során, és a felhasználó nem tanulja meg a szerver titkos sóját. "

Sokkal többet tudhat meg az OPAQUE jelszavakról a ez a dokumentum [PDF link]: a Kaliforniai Egyetem kutatói, az Irvine és az IBM, valamint a Cloudflare mérnöke, Tatiana Bradley blogbejegyzés.

Az SSL.com elvitele: Mindig izgatottan várjuk az új hálózati biztonsági protokollok megismerését, különösen azok vonatkozásában PKI és digitális tanúsítványok. További információkat fogunk kapni ezekről és más biztonsági és adatvédelmi fejleményekről, amint azok megjelennek és megvalósításra kerülnek.
Ugrás az oldal tetejére

Kiszivárgott FTP-hitelesítő adatok esetleg kapcsolódnak a SolarWinds Attackhez

Hacsak nem töltötte az elmúlt hetekben egy távoli, hálózaton kívüli kabinban (ez nem rossz ötlet most, amikor belegondolunk), valószínűleg már hallott egy csomó összeget ellátási lánc támadás ez veszélyeztette a SolarWinds Orion informatikai megfigyelő szoftverét és számos felhasználóját a kormányzatban és az iparban. Ravie Lakshmanan december 16-a történet a Hacker News című cikkben arról beszél, hogy a támadóknak „valószínűleg már 2019 októberében sikerült kompromisszumot kötniük a SolarWinds Orion platform szoftverfelépítési és kód-aláíró infrastruktúrájával, hogy a rosszindulatú hátsó ajtót a szoftverkiadási folyamaton keresztül juttassák el”.

Az ötlet ... az volt, hogy veszélybe sodorják a build rendszert, csendben beírják a saját kódjukat a szoftver forráskódjába, megvárják, amíg a vállalat összeállítja, aláírja a csomagokat, és végül ellenőrizze, hogy a módosítások megjelennek-e az újonnan kiadott frissítésekben a várakozásoknak megfelelően.

A 2019 októberi idővonal igazodik Vinoth Kumer biztonsági kutatóhoz felfedezés, 2019 novemberében egy nyilvános GitHub repóból, amely szimpla szövegű FTP hitelesítő adatokat szivárogtat ki a Solarwinds frissítő szerveréhez - és hogy ez a kiszolgáló a „solarwinds123” jelszóval volt elérhető. A szóban forgó repo a nyilvánosság számára „17. június 2018. óta” volt nyitva, így a leendő támadóknak bőven volt ideje felfedezni és kihasználni a kiszivárgott hitelesítő adatokat.

Természetesen az sem segített, hogy a SolarWinds azt is javasolta a felhasználóknak, hogy tiltsák le a biztonsági intézkedéseket:

A helyzetet még rosszabbá teheti, hogy az Orion szoftverfrissítéshez hozzáadott rosszindulatú kódot a SolarWinds saját programjának köszönhetően észrevétlenül észrevehették a víruskereső szoftverek és más célzott rendszerek biztonsági eszközei. támogatási tanácsadás, amely kimondja, hogy termékei csak akkor működnek megfelelően, ha a fájlkönyvtárak mentesülnek a víruskeresés és a csoportházirend-objektumok (GPO) korlátozásai alól.

Az SSL.com elvitele: Kód aláírás fontos, sőt kötelező lépés a bizalom megőrzéséhez, amikor szoftvereket terjesztenek az ügyfelek számára, de a siker biztonságos környezetétől függ. A kulcsfontosságú kiszolgálók gyenge, könnyen kitalálható jelszavakkal történő védelme és / vagy véletlenszerű sima szövegű hitelesítő adatok nyilvánosságra hozatala nyitott kaput enged azoknak a támadásoknak, amelyek a build rendszerét kihasználva aláírt, ám mégis trójaival védett szoftvereket bocsátanak ki.

SSL.com támogatási csapat

Szerző - Tartalom Rendszergazda
Minden hozzászólás

Kapcsolódó blogbejegyzések

Összes blogbejegyzés megtekintése
Facebook Linkedin Twitter Youtube GitHub

Mi az SSL /TLS?

Videó lejátszása

Feliratkozás az SSL.com hírlevelére

Ne hagyja ki az SSL.com új cikkeit és frissítéseit

Örülnénk a visszajelzésének

Töltse ki felmérésünket, és ossza meg velünk véleményét legutóbbi vásárlásával kapcsolatban.

Kérdőívet kitölteni