September 2020 Roundup Keamanan

Selamat datang di Security Roundup SSL.com edisi bulan September! Hari ini kita akan berbicara tentang:

• SSL.com baru buletin
• Perubahan pada Forum CA / B Pedoman EV SSL
• Rusia berencana untuk melarang protokol yang menyembunyikan tujuan lalu lintas internet
• Grafik Serangan Rakun on TLS versi 1.2 dan sebelumnya
• Insecure Internet of Things (IOT) praktek
  

Mengumumkan Buletin SSL.com!

SSL.com dengan bangga mengumumkan buletin email bulanan baru kami! Setiap bulan kami akan mengirimkan berita dan informasi tentang keamanan internet, PKI, dan sertifikat digital, bersama dengan informasi tentang produk dan layanan baru yang ditawarkan oleh SSL.com. Untuk mendaftar, cukup isi formulir di bawah ini. (Anda dapat dengan mudah berhenti berlangganan kapan saja dengan mengklik unsubscribe tautan di setiap email yang kami kirim.):

Pemungutan Suara Forum CA / B SC30: Perubahan pada Panduan Sertifikat SSL EV

Dalam berita yang menarik bagi SSL.com SSL EV pelanggan, versi terkini (1.7.3) dari CA / Browser Forum Panduan Sertifikat EV SSL, yang mulai berlaku pada 20 Agustus 2020, memiliki beberapa persyaratan baru. Secara khusus, seperti yang dijelaskan dalam CA / B Forum Surat Suara SC30, otoritas sertifikat (CA), seperti SSL.com, sekarang harus menerbitkan daftar Agensi Pendaftaran dan Penggabungan yang mereka gunakan saat memvalidasi permintaan sertifikat EV SSL. (Langkah ini sejalan dengan tujuan yang lebih besar untuk membuat sumber validasi EV konsisten antar CA.)

Akibatnya, SSL.com akan menerbitkan daftar sumber informasi yang kami gunakan saat memvalidasi bisnis dan organisasi lain untuk sertifikat EV. Ketika kami tidak dapat menemukan organisasi pemohon dalam daftar sumber kami saat ini, kami akan mencoba untuk menemukan sumber informasi lain yang layak dan menambahkannya ke daftar yang kami terbitkan sebelum memvalidasi pesanan dan menerbitkan sertifikat.

Rusia Berencana untuk Memblokir Protokol yang Menyembunyikan Tujuan Lalu Lintas

Kisah ini mungkin tampak familier, jika Anda selalu mengikuti berita keamanan digital. Faktanya, bulan lalu kami melaporkan pada cerita bahwa "Tembok Api Besar" China sekarang memblokir lalu lintas HTTPS yang menggunakan TLS 1.3 dan ENSI (Indikasi Nama Server Terenkripsi) dalam upaya mempermudah penyensoran China untuk melihat situs apa yang coba dikunjungi warga dan untuk mengontrol akses ke situs tersebut.

Bulan ini, sebuah laporan oleh Catalin Cimpanu di ZDNet menjelaskan bahwa Rusia sekarang berupaya melarang penggunaan beberapa protokol dengan pembaruan undang-undang teknologi yang "akan membuatnya ilegal untuk menggunakan protokol enkripsi yang sepenuhnya menyembunyikan tujuan lalu lintas." Seperti disebutkan dalam artikel, protokol ini akan mencakup TLS 1.3, DoH, DoT dan ESNI. Alasannya, tentu saja, mirip dengan alasan di balik larangan China - protokolnya menghalangi jangkauan pengawasan dan sensor oleh negara. Dari artikel:

Rusia tidak menggunakan sistem firewall nasional, tetapi rezim Moskow mengandalkan sistem yang disebut SORM yang memungkinkan penegak hukum untuk mencegat lalu lintas internet untuk tujuan penegakan hukum langsung dari sumbernya, di pusat data telekomunikasi.
Selain itu, kementerian telekomunikasi Rusia, Roskomnadzor, telah menjalankan firewall nasional de-facto melalui kewenangan pengaturannya terhadap ISP lokal. Selama dekade terakhir, Roskomnadzor telah melarang situs web yang dianggap berbahaya dan meminta ISP untuk menyaring lalu lintas mereka dan memblokir akses ke situs tersebut.
Dengan TLS 1.3, DoH, DoT, dan ESNI mendapatkan adopsi, semua alat pengawasan dan sensor Rusia saat ini akan menjadi tidak berguna, karena mereka mengandalkan akses ke pengidentifikasi situs web yang bocor dari lalu lintas web terenkripsi.

Undang-undang tersebut saat ini sedang dipertimbangkan, menunggu tanggapan publik, dan akan kembali dilakukan pemungutan suara pada awal Oktober. ZDNet mencatat bahwa, mengingat iklimnya, "hampir pasti bahwa amandemen akan disahkan."

New TLS Serangan: Raccoon

Kami sudah memiliki file posting blog tentang "Raccoon Attack", tetapi perlu disebutkan lagi karena serangan tersebut dapat memungkinkan pihak ketiga untuk merusak SSL /TLS enkripsi untuk membaca komunikasi dimaksudkan agar tetap aman. Seperti yang dijelaskan dalam terbitan baru-baru ini kertas akademis, serangan mengeksploitasi kerentanan waktu di TLS versi 1.2 dan sebelumnya, dan dapat mendekripsi komunikasi yang mencakup nama pengguna, kata sandi, data kartu kredit, dan informasi sensitif lainnya. Dari postingan kami awal bulan ini:

Walaupun terdengar menakutkan, perlu diingat bahwa serangan ini hanya dapat terjadi dalam keadaan yang sangat spesifik dan jarang: server harus menggunakan kembali kunci Diffie-Hellman publik di jabatan (sudah dianggap praktik yang buruk), dan penyerang harus mampu membuat pengukuran waktu yang tepat. Selain itu, browser harus mendukung cipher suite yang rentan (mulai Juni 2020 semua browser utama telah menghapusnya).

Internet of Things (Rentan), Edisi Pembuat Kopi

Padahal cerita di atas tidak sebenarnya tentang serangan rakun, cerita ini benar-benar tentang pembuat kopi. Lebih tepatnya, artikel Dan Goodin di Technica adalah tentang bagaimana pembuat kopi diubah menjadi "mesin tebusan" dengan memanfaatkan kelemahan umum di perangkat Internet of Things (IoT).

Pada dasarnya, iKettle produk Smarter (nama yang buruk) telah lama menjadi target bagi mereka yang ingin menggambarkan bahaya peralatan yang mudah diretas. Sejak 2015, versi ketel telah disita dari jarak jauh melalui rekayasa balik. Meskipun perusahaan telah merilis versi baru dari pot sejak itu, yang lama masih digunakan, dan anak laki-laki mereka rentan terhadap apa yang catatan artikel adalah serangan "di luar kotak". Baru-baru ini, seorang programmer bernama Martin Hron memutuskan untuk menguji batas-batas seperti apa pelanggaran keamanan pada poci kopi, dalam skenario kasus terburuk:

Ketika Hron pertama kali menyambungkan pembuat kopi Smarter miliknya, dia menemukan bahwa itu segera bertindak sebagai titik akses Wi-Fi yang menggunakan koneksi tidak aman untuk berkomunikasi dengan aplikasi smartphone. Aplikasi, pada gilirannya, digunakan untuk mengkonfigurasi perangkat dan, jika pengguna memilih, menghubungkannya ke jaringan Wi-Fi rumah. Tanpa enkripsi, peneliti tidak memiliki masalah mempelajari bagaimana ponsel mengontrol pembuat kopi dan, karena tidak ada otentikasi juga, bagaimana aplikasi ponsel nakal dapat melakukan hal yang sama.
Kemampuan itu masih membuat Hron hanya memiliki sedikit menu perintah, tidak satupun dari mereka yang berbahaya. Jadi dia kemudian memeriksa mekanisme yang digunakan pembuat kopi untuk menerima pembaruan firmware. Ternyata pesan tersebut diterima dari telepon dengan — Anda dapat menebaknya — tanpa enkripsi, tanpa otentikasi, dan tanpa penandatanganan kode.

Ada posting blog ekstensif tentang peretasan pembuat kopi yang disebut "Aroma Segar Kopi Tebusan. ” Ada juga video yang lucu mendemonstrasikan kekacauan yang terjadi akibat mengeksploitasi kerentanan mesin kopi. Meskipun tidak mungkin serangan seperti ini akan segera datang ke dapur siapa pun, ini adalah pengingat yang baik bahwa "pintar" berarti lebih dari "nyaman".