Selamat datang di Security Roundup SSL.com edisi November 2019, di mana kami menyajikan pilihan perkembangan bulan ini dalam SSL /TLS, sertifikat digital, dan keamanan jaringan! Dalam edisi ini, kami akan membahas:
- TPM-FAIL: baru ditemukan Kerentanan dalam TPM berbasis firmware Intel dan chip TPM STMicroelectronics
- Kredensial yang Didelegasikan untuk TLS
- Eropa kelangkaan Alamat IPv4
- Grafik melanggar dari beberapa pendaftar nama domain
TPM-GAGAL
Sirgiu Gatlan di Bleeping Computer laporan bahwa tim peneliti dari Worcester Polytechnic Institute, University of Lübeck, dan University of California, San Diego telah menemukan dua kerentanan dalam chip TPM berbasis firmware (fTPM) Intel dan chip TPM (Trusted Platform Module) STMicroelectronics.
Kerentanan ini, dijuluki TPM-GAGAL oleh para peneliti, memungkinkan penyerang untuk memulihkan kunci kriptografi pribadi yang tersimpan. Di Situs web TPM-FAIL, para peneliti menyatakan bahwa:
Kami menemukan kebocoran waktu pada TPM berbasis firmware Intel (fTPM) serta pada chip TPM STMicroelectronics. Keduanya menunjukkan waktu eksekusi yang bergantung pada rahasia selama pembuatan tanda tangan kriptografi. Meskipun kunci harus tetap aman di dalam perangkat keras TPM, kami menunjukkan bagaimana informasi ini memungkinkan penyerang untuk memulihkan kunci pribadi 256-bit dari skema tanda tangan digital berdasarkan kurva elips.
Serangan yang diperlihatkan itu praktis, karena para peneliti juga mengklaim itu
Musuh lokal dapat memulihkan kunci ECDSA dari Intel fTPM dalam 4-20 menit tergantung pada tingkat akses. Kami bahkan menunjukkan bahwa serangan ini dapat dilakukan dari jarak jauh di jaringan cepat, dengan memulihkan kunci otentikasi server virtual private network (VPN) dalam 5 jam.
Gatlan mencatat bahwa "Intel fTPM yang rentan… digunakan oleh sebagian besar produsen komputer, termasuk namun tidak terbatas pada Dell, HP, dan Lenovo," dan "juga digunakan secara luas oleh Platform Intel Internet of Things (IoT) keluarga produk yang digunakan dalam industri, perawatan kesehatan, kota pintar, dan kendaraan yang terhubung. ”
Intel telah menerbitkan tambalan ke firmware fTPM mereka untuk memperbaiki kerentanan TPM-FAIL, dan STMicroelectronics telah mengeluarkan chip TPM yang tahan terhadap TPM.
Kredensial yang Didelegasikan untuk TLS
Pada 1 November, Cloudflare mengumumkan dukungan untuk Kredensial yang Didelegasikan untuk TLS, protokol kriptografi baru yang dikembangkan bekerja sama dengan Facebook dan Mozilla. Kredensial yang didelegasikan dimaksudkan untuk memudahkan SSL /TLS penyebaran di beberapa titik akhir global, seperti di jaringan pengiriman konten (CDN). Menurut Cloudflare, kredensial yang didelegasikan adalah:
kunci jangka pendek yang telah didelegasikan oleh pemilik sertifikat untuk digunakan TLS. Mereka bekerja seperti surat kuasa: server Anda mengizinkan server kami untuk mengakhiri TLS untuk waktu yang terbatas. Saat peramban yang mendukung protokol ini terhubung ke server tepi kami, kami dapat menunjukkannya "kekuatan pengacara" ini, alih-alih perlu menjangkau kembali ke server pelanggan untuk mendapatkannya untuk mengotorisasi TLS koneksi. Ini mengurangi latensi dan meningkatkan kinerja dan keandalan.
Karena kredensial yang didelegasikan secara berkala didorong ke server edge CDN sebelum kredensial sebelumnya kedaluwarsa, sistem menghindari latensi yang terkait dengan protokol berbasis pull seperti SSL tanpa kunci. Anda dapat membaca pengumuman Facebook dan Mozilla tentang kredensial yang didelegasikan di sini dan di sini, masing-masing, dan dapatkan detail lengkap dari IETF draf dari spesifikasi.
Alamat IPv4 Kehabisan
RIPE (pendaftaran internet regional Eropa) mengumumkan pada 25 November mereka tidak memiliki alamat IPv4 lagi
kami membuat alokasi IPv22 final / 4 dari alamat terakhir yang tersisa di kumpulan yang tersedia. Kami sekarang sudah kehabisan alamat IPv4.
RIPE mengatakan bahwa meskipun alamat IPv4 mereka habis, mereka akan terus memulihkan lebih banyak di masa mendatang "dari organisasi yang telah gulung tikar atau ditutup, atau dari jaringan yang mengembalikan alamat yang tidak lagi mereka perlukan", dan akan memberikannya keluar ke Registrasi Internet Lokal (LIR) melalui daftar tunggu.
Beberapa Pendaftar Nama Domain Dilanggar
Steve Dent di Engadget laporan bahwa Web.com dan anak perusahaannya NetworkSolutions.com dan Register.com dilanggar oleh penyerang pada akhir Agustus 2019.
Menurut Web.com, pelanggaran tersebut melibatkan "sejumlah terbatas sistem komputernya", bahwa "tidak ada data kartu kredit yang disusupi", dan bahwa mereka tidak percaya bahwa sandi yang disimpan dan dienkripsi itu rentan (tetapi pelanggan harus mengubahnya) . Namun, penyerang mungkin dapat mengumpulkan detail kontak seperti "nama, alamat, nomor telepon, alamat email, dan informasi tentang layanan yang kami tawarkan kepada pemegang akun tertentu".
Penyok mencatat bahwa kompromi dari register nama domain berpotensi menimbulkan konsekuensi yang mengerikan:
Misalnya, peretas sekali dikompromikan pencatat nama domain bank Brasil dan mengarahkan pengguna ke situs serupa yang mencuri kredensial mereka dan menginstal malware. "Jika DNS Anda berada di bawah kendali penjahat dunia maya, pada dasarnya Anda kacau," kata Dmitry Bestuzhev dari Kaspersky. Kabel tentang kejadian itu.