SSL.com berharap semua pelanggan dan pengunjung kami mendapatkan musim liburan yang bahagia, aman, dan sehat, dan tahun 2021 yang sejahtera! Kami berharap tahun baru akan sedikit berkurang, umm… menarik dari tahun 2020 telah dalam beberapa hal, tetapi kami yakin bahwa tidak akan satu bulan berlalu tanpa berita penting dari dunia keamanan jaringan, sertifikat digital, dan PKI.
Kerentanan OpenSSL DoS
Kami membahas masalah ini di a posting blog awal bulan ini, tapi perlu diulang. Kerentanan dengan tingkat keparahan tinggi di OpenSSL ditemukan yang mempengaruhi semua versi OpenSSL 1.0.2 dan 1.1.1 sebelum 1.1.1i. Kerentanan ini dapat dimanfaatkan untuk membuat serangan penolakan layanan (DoS). OpenSSL 1.1.1i, dirilis pada 8 Desember 2020, termasuk perbaikan.
Pengguna OpenSSL harus mengupdate penginstalan mereka secepat mungkin. Ada dua cara untuk menerapkan perbaikan:
- Pengguna OpenSSL 1.1.1 dan pengguna 1.0.2 yang tidak didukung harus meningkatkan ke 1.1.1i.
- Pelanggan dukungan premium OpenSSL 1.0.2 harus meningkatkan ke 1.0.2x.
OpenSSL saat ini diinstal di sebagian besar server web HTTPS. Anda dapat membaca lebih lanjut tentang kerentanan di SSL.com blog, dan di Proyek OpenSSL Penasihat Keamanan.
Cloudflare Menganjurkan Protokol Privasi Baru
Tim Anderson melaporkan dalam The Register bahwa Cloudflare “mendorong adopsi protokol internet baru yang dikatakannya akan memungkinkan 'internet yang menghormati privasi.'” Protokol ini mencakup privasi yang ditingkatkan DNS melalui HTTPS (DoH), enkripsi tambahan untuk TLS jabatan, dan peningkatan keamanan untuk penanganan sandi pengguna.
DoH yang lupa
DNS melalui HTTPS (DoH) mengatasi tautan lemah dalam privasi internet dengan mengenkripsi kueri dan tanggapan DNS, yang secara historis telah dikirim sebagai teks biasa. Tidak menyadari DoH (ODoH) membawa perlindungan privasi DNS selangkah lebih maju dengan mencegah server DoH mengetahui alamat IP klien:
Inti dari ODoH adalah bahwa ia memperkenalkan proxy jaringan antara klien dan server DoH. Proksi tidak memiliki visibilitas ke dalam permintaan DNS, yang hanya dapat dibaca oleh server DoH. Server tidak memiliki pengetahuan tentang alamat IP klien. Kueri bersifat pribadi, asalkan proxy dan server tidak berkolusi.
Cloudflare telah menyatakan dukungan untuk ODoH, yang dikembangkan oleh para insinyur di Cloudflare, Apple, dan Fastly. Anda dapat mempelajari lebih lanjut dengan memeriksa kertas mereka di arxiv.org.
Klien Terenkripsi Halo (ECH)
Klien Terenkripsi Halo (ECH) menawarkan enkripsi jabat tangan yang ditingkatkan di TLS, melampaui SNI Terenkripsi (ESNI), yang hanya melindungi Server Name Indication (SNI) di TLS jabatan. Insinyur penelitian Cloudflare, Christopher Patton menulis,
Meskipun ESNI mengambil langkah maju yang signifikan, itu tidak mencapai tujuan kami untuk mencapai enkripsi jabat tangan penuh. Selain tidak lengkap - hanya melindungi SNI - rawan segelintir serangan canggih, yang, meski sulit dilakukan, menunjukkan kelemahan teoretis dalam desain protokol yang perlu ditangani.
...
Pada akhirnya, tujuan ECH adalah untuk memastikannya TLS koneksi yang dibuat ke server asal yang berbeda di belakang penyedia layanan ECH yang sama tidak dapat dibedakan satu sama lain.
Tidak mengherankan, karena ECH "hanya masuk akal bersama DoH, dan dalam konteks CDN (jaringan distribusi konten)", Cloudflare "melihat dirinya sebagai penyedia ECH yang mungkin". Anda dapat membaca lebih lanjut tentang ECH di IETF rencana usul.
Kata Sandi OPAQUE
Kata sandi OPAQUE— ”semacam permainan kata-kata pada Oblivious Pseudo-Random Function (OPRF) yang dikombinasikan dengan Password Authenticated Key Exchange (PAKE)” - adalah mekanisme untuk sepenuhnya menghindari transfer kata sandi pengguna ke server. OPAQUE mencapai ini dengan “meminta server dan klien secara bersama-sama menghitung hash asin untuk dibandingkan menggunakan garam kedua perantara. Ini memastikan server tidak dapat mempelajari sandi pengguna selama autentikasi, dan pengguna tidak mempelajari salt rahasia server. "
Anda dapat mengetahui lebih banyak tentang sandi OPAQUE di kertas ini [Tautan PDF] oleh para peneliti di Universitas California, Irvine dan IBM, dan di insinyur Cloudflare Tatiana Bradley posting blog.
Kredensial FTP yang Bocor Mungkin Terkait dengan Serangan SolarWinds
Kecuali Anda telah menghabiskan beberapa minggu terakhir di kabin terpencil, di luar jaringan (bukan ide yang buruk sekarang setelah kami memikirkannya), Anda mungkin sudah mendengar cukup banyak tentang serangan rantai pasokan yang membahayakan perangkat lunak pemantauan TI Orion SolarWinds dan banyak penggunanya di pemerintahan dan industri. Ravie Lakshmanan 16 Desember cerita dalam Hacker News membahas bagaimana para penyerang “kemungkinan berhasil menyusupi pembuatan perangkat lunak dan infrastruktur penandatanganan kode platform SolarWinds Orion pada awal Oktober 2019 untuk mengirimkan pintu belakang berbahaya melalui proses rilis perangkat lunaknya.”
Idenya… adalah untuk mengkompromikan sistem build, diam-diam memasukkan kode mereka sendiri ke dalam kode sumber perangkat lunak, menunggu perusahaan untuk mengkompilasi, menandatangani paket dan terakhir, memverifikasi apakah modifikasi mereka muncul di pembaruan yang baru dirilis seperti yang diharapkan.
Garis waktu Oktober 2019 sejalan dengan peneliti keamanan Vinoth Kumer penemuan, pada November 2019, dari repo GitHub publik membocorkan kredensial FTP plaintext untuk server pembaruan Solarwinds — dan bahwa server ini dapat diakses dengan sandi "solarwinds123." Repo yang dipermasalahkan telah terbuka untuk umum "sejak 17 Juni 2018", memberikan banyak waktu bagi calon penyerang untuk menemukan dan mengeksploitasi kredensial yang bocor.
Tentu saja, itu tidak membantu karena SolarWinds juga menyarankan pengguna untuk menonaktifkan tindakan keamanan:
Untuk memperburuk keadaan, kode berbahaya yang ditambahkan ke pembaruan perangkat lunak Orion mungkin tidak diketahui oleh perangkat lunak antivirus dan alat keamanan lainnya pada sistem yang ditargetkan karena milik SolarWinds. dukungan penasehat, yang menyatakan bahwa produknya mungkin tidak berfungsi dengan baik kecuali direktori file mereka dikecualikan dari pemindaian antivirus dan pembatasan objek kebijakan grup (GPO).