Rassegna sulla sicurezza di dicembre 2019

Buone vacanze da SSL.com! Ci auguriamo che abbiate trascorso un 2019 felice e prospero e non vediamo l'ora di fare grandi cose nel 2020 (come noi)! Nella nostra ultima carrellata dell'anno, parleremo di:

  • Un "sicuro" app di messaggistica quello si è rivelato essere uno strumento per spiare il governo
  • Scadenza del certificato autofirmato di Cisco problema
  • New record per il factoring delle chiavi RSA e il calcolo logaritmico discreto

E quando hai finito qui, controlla anche il nostro Nuovo articolo su cosa fanno le autorità di certificazione (CA) e quanto sia difficile esserlo!

App di messaggistica ToTok è UAE Spy Tool

Il 22 dicembre, il New York Times segnalati che una popolare app di messaggistica ToTok è anche uno strumento di spionaggio utilizzato dal governo degli Emirati Arabi Uniti (EAU) per "cercare di tracciare ogni conversazione, movimento, relazione, appuntamento, suono e immagine di coloro che lo installano sui propri telefoni". I cittadini degli Emirati sono stati attratti dall'app perché gli Emirati Arabi Uniti bloccano la funzionalità delle applicazioni di messaggistica crittografata come WhatsApp e Skype.

ToTok è stato rivelato al Times come uno strumento di spionaggio sia da funzionari statunitensi che avevano visto una valutazione di intelligence segreta, sia da un esperto anonimo di sicurezza digitale che ha affermato di aver ottenuto le informazioni da "alti funzionari degli Emirati". L'app, che si autodefinisce "sicura" nonostante non rivendichi la crittografia end-to-end, è stata ampiamente promossa dalla società di telecomunicazioni cinese Huawei.

Sia Apple che Google hanno già rimosso ToTok dai loro app store, ma l'app è già stata scaricata milioni di volte dagli utenti.

Aspetto di SSL.com: Se hai installato questa app, eliminala immediatamente e fai attenzione alle app che installi e ai privilegi che concedi loro per accedere alla tua posizione e ad altri dati personali. Come sottolineato da un altro recente New York Times pezzo, "Il tuo smartphone è uno degli strumenti di sorveglianza più avanzati al mondo" e queste funzionalità non si limitano a fornirti annunci "pertinenti".
Inizio pagina

I certificati autofirmati su molti dispositivi Cisco stanno per scadere

Avviso sul campo di Cisco FN-70498 (20 dicembre 2019) avverte gli utenti che i certificati X.509 autofirmati sui dispositivi che eseguono versioni interessate del software Cisco IOS o IOS XE scadranno a mezzanotte del 1 ° gennaio 2020. Inoltre, non è possibile creare nuovi certificati autofirmati su questi dispositivi dopo questa data, a meno che non venga applicato un aggiornamento software.

Dopo aver aggiornato il software del dispositivo, tutti i certificati autofirmati devono essere rigenerati ed esportati su tutti i dispositivi che lo richiedono nel loro truststore.

Cisco rileva che:

Questo problema riguarda solo i certificati autofirmati generati dal dispositivo Cisco IOS o Cisco IOS XE e applicati a un servizio sul dispositivo. I certificati generati da un'autorità di certificazione (CA), che include quei certificati generati dalla funzione Cisco IOS CA, non sono interessati da questo problema.

Dopo l'annuncio di Cisco, Laboratori Rapid7 utilizzato Sonar eseguire la scansione dei dati per identificare "oltre 80,000 dispositivi Cisco che saranno probabilmente interessati da questo problema di scadenza in scadenza". Il tuo potrebbe essere tra loro?

Aspetto di SSL.com: Aggiorna il tuo software se questo problema ti riguarda, ma ci piace la prima soluzione alternativa suggerita da Cisco, "Installa un a livello internazionale da una CA ", anche meglio.
Inizio pagina

Nuovo record di cracking delle chiavi RSA

Dan Goodin ad Ars Technica rapporti che un team di ricercatori guidato da Emmanuel Thomé dell'Istituto nazionale francese di informatica e matematica applicata ha stabilito nuovi record prendendo in considerazione la "dimensione della chiave RSA più grande mai calcolata e un calcolo corrispondente del logaritmo discreto intero più grande mai esistito". I record consistono nella fattorizzazione di RSA-240 (795 bit) e nel calcolo di un logaritmo discreto della stessa dimensione.

Questi registri non sono dovuti esclusivamente a Legge di Moore (la tendenza del doppio del numero di transistor nei circuiti integrati a raddoppiare ogni due anni), poiché i guadagni di velocità computazionale sono maggiori di quanto previsto da soli miglioramenti incrementali dell'hardware. Invece, i ricercatori riconoscono i miglioramenti nell'implementazione del software dell'algoritmo Sieve Field Field utilizzato per eseguire i calcoli:

Per dimostrare l'aumento dell'efficienza, i ricercatori hanno eseguito il loro software su hardware identico a quello utilizzato per calcolare il logaritmo discreto a 768 bit nel 2016. Hanno scoperto che l'uso del vecchio hardware per setacciare la dimensione record di 795 bit richiederebbe il 25% meno tempo di quello impiegato alla stessa apparecchiatura per eseguire il calcolo DLP a 768 bit.

Aspetto di SSL.com: Siamo d'accordo con Nadia Heninger (una ricercatrice del team record), che "i takeaway per i praticanti sono fondamentalmente che speriamo che abbiano seguito i consigli per passare alle chiavi RSA, Diffie-Hellman o DSA di almeno 2048 bit a partire da diversi anni fa, il che li avrebbe tenuti al sicuro da qualsiasi di questi miglioramenti ".

 

Grazie per aver scelto SSL.com! In caso di domande, contattaci tramite e-mail all'indirizzo Support@SSL.com, chiama 1-877-SSL-SECUREo fai semplicemente clic sul link della chat in basso a destra in questa pagina.


Team di supporto SSL.com

Autore - Amministratore del contenuto
Tutti i messaggi

Messaggi correlati

Visualizza tutti i post del blog
Facebook LinkedIn Twitter Youtube Github

Cos'è SSL /TLS?

Riproduci video

Iscriviti alla Newsletter di SSL.com

Non perdere nuovi articoli e aggiornamenti da SSL.com

Ci piacerebbe il tuo feedback

Partecipa al nostro sondaggio e facci sapere cosa ne pensi del tuo recente acquisto.

Partecipa al sondaggio