SSL.comの毎月のセキュリティ総まとめのXNUMX月版へようこそ! 今日は以下について話します:
- SSL.comの真新しい ニュースレター
- CA / Bフォーラムの変更 EVSSLガイドライン
- ロシアの計画 プロトコルを禁止する インターネットトラフィックの宛先を隠す
- この タヌキ攻撃 on TLS バージョン1.2以前
- 安全でない インターネットのもの(IoT) プラクティス
SSL.comニュースレターを発表しました!
SSL.comは、新しい月刊メールニュースレターを発表できることを誇りに思います。 毎月、インターネットセキュリティに関するニュースと情報をお送りします。 PKI、およびデジタル証明書、SSL.comが提供する新製品およびサービスに関する情報。 サインアップするには、以下のフォームに記入してください。 (クリックするといつでも簡単に退会できます 登録解除 送信する各メールのリンク。):
CA / Bフォーラム投票SC30:EVSSL証明書ガイドラインの変更
SSL.comに関心のあるニュース EVSSL お客様、CA /ブラウザフォーラムの現在のバージョン(1.7.3) EVSSL証明書のガイドライン20年2020月XNUMX日に発効した、にはいくつかの新しい要件があります。 Specifically, as described in CA/B Forum具体的には、CA / Bフォーラムで説明されているように 投票SC30、SSL.comなどの認証局(CA)は、EVSSL証明書要求を検証するときに使用する登録機関と組み込み機関のリストを公開する必要があります。 (この動きは、EV検証ソースをCA間で一貫させるというより大きな目標に沿ったものです。)
その結果、SSL.comは、企業やその他の組織のEV証明書を検証するときに使用する情報ソースのリストを公開します。 現在の情報源のリストで申請者の組織を見つけることができない場合、注文を検証して証明書を発行する前に、別の実行可能な情報源を見つけて公開リストに追加しようとします。
ロシアは、トラフィックの宛先を隠すプロトコルを禁止する計画
This story might seem familiar, if you've kept up-to-date with digital security news.あなたがデジタルセキュリティニュースを最新に保っていれば、この話はおなじみのように思えるかもしれません。 In fact, last month実際、先月 我々は報告した 中国の「グレートファイアウォール」が現在、を使用するHTTPSトラフィックをブロックしているという話について TLS 1.3 中国の検閲官が市民がどのサイトにアクセスしようとしているのかを簡単に確認し、そのサイトへのアクセスを制御できるようにするためのENSI(Encrypted Server Name Indication)。
今月、 CatalinCimpanuによるレポート ZDNetで、ロシアは現在、「トラフィックの宛先を完全に隠す暗号化プロトコルの使用を違法にする」技術法の更新により、一部のプロトコルの使用を禁止しようとしていると説明しました。 As noted in the article, these protocols would include記事に記載されているように、これらのプロトコルには次のものが含まれます TLS 1.3、 しない、DoTおよびESNI。 もちろん、その理由は、中国の禁止の背後にある理由とよく似ています。プロトコルは、国家による監視と検閲の範囲を妨げます。 記事から:
ロシアは国のファイアウォールシステムを使用していませんが、モスクワ政権はと呼ばれるシステムに依存しています ソーム これにより、法執行機関は、電話会社のデータセンターで、法執行の目的でインターネットトラフィックをソースで傍受することができます。
さらに、ロシアの電気通信省であるRoskomnadzorは、ローカルISPに対する規制力を通じて事実上の国家ファイアウォールを運用しています。 Roskomnadzorは、過去XNUMX年間、危険と見なされるWebサイトを禁止し、ISPにトラフィックをフィルタリングしてそれぞれのサイトへのアクセスをブロックするように求めてきました。
連絡先 TLS 1.3、DoH、DoT、およびESNIが採用されると、暗号化されたWebトラフィックからリークするWebサイト識別子にアクセスできることに依存するため、ロシアの現在の監視および検閲ツールはすべて役に立たなくなります。
ZDNetは、気候を考えると、「修正案が通過することはほぼ確実だ」と述べています。
新作 TLS 攻撃:アライグマ
私たちはすでに持っています ブログ投稿 「アライグマ攻撃」についてですが、攻撃によってサードパーティがSSLを破ることができるため、もう一度言及する価値があります。TLS encryption to read communication meant to be kept secure.安全に保つことを目的とした通信を読み取るための暗号化。 As explained in a recently published最近公開されたで説明されているように 学術論文、攻撃はタイミングの脆弱性を悪用します TLS versions 1.2 and earlier, and could decrypt communication that includes usernames, passwords, credit card data, and other sensitive information.バージョンXNUMX以前では、ユーザー名、パスワード、クレジットカードデータ、その他の機密情報を含む通信を復号化できます。 From our post earlier this month:今月初めの投稿から:
恐ろしいように聞こえるかもしれませんが、この攻撃は非常に特殊でまれな状況でのみ発生する可能性があることに注意してください。サーバーは公開Diffie-Hellmanキーを 握手 (すでに悪い習慣と見なされています)、そして攻撃者は正確なタイミング測定を行うことができなければなりません。 さらに、ブラウザーは脆弱な暗号スイートをサポートする必要があります(2020年XNUMX月の時点で、すべての主要なブラウザーがそれらを削除しています)。
(脆弱な)もののインターネット、コーヒーメーカー版
上記の話はそうではありませんでしたが 実際に about attacks by raccoons, this story is really about coffee makers.アライグマによる攻撃について、この話は本当にコーヒーメーカーについてです。 To be more precise, Dan Goodin's article inより正確には、DanGoodinの記事 Ars Technicaの どのように コーヒーメーカーが「身代金機械」になりました モノのインターネット(IoT)デバイスの一般的な弱点を悪用することによって。
2015年以降、ケトルのバージョン リモートで指揮されています through reverse engineering.リバースエンジニアリングを通じて。 Though the company has released a new version of the pot since then, the old ones are still in use, and boy are they vulnerable to what the article notes are “out of the box” attacks.それ以来、同社は新しいバージョンのポットをリリースしましたが、古いバージョンはまだ使用されており、記事に記載されている「箱から出してすぐに使える」攻撃に対して脆弱です。 Recently, a programmer named Martin Hron decided to test the limits of what a security breach on a coffeepot could look like, in a worst-case scenario kind of way:最近、Martin Hronという名前のプログラマーが、最悪のシナリオのような方法で、コーヒーポットのセキュリティ違反がどのように見えるかの限界をテストすることを決定しました。
Hronが最初にSmarterコーヒーメーカーを接続したとき、彼はそれがスマートフォンアプリと通信するために安全でない接続を使用するWi-Fiアクセスポイントとしてすぐに機能することを発見しました。 The app, in turn, is used to configure the device and, should the user choose, connect it to a home Wi-Fi network.次に、アプリを使用してデバイスを構成し、ユーザーが選択した場合は、デバイスをホームWi-Fiネットワークに接続します。 With no encryption, the researcher had no problem learning how the phone controlled the coffee maker and, since there was no authentication either, how a rogue phone app might do the same thing.暗号化がなければ、研究者は電話がコーヒーメーカーをどのように制御するか、そして認証もなかったので、不正な電話アプリが同じことをどのように行うかを問題なく学ぶことができました。
That capability still left Hron with only a small menu of commands, none of them especially harmful.その機能はまだHronにコマンドの小さなメニューしか残さず、それらのどれも特に有害ではありませんでした。 So he then examined the mechanism the coffee maker used to receive firmware updates.そこで彼は、コーヒーメーカーがファームウェアの更新を受信するために使用したメカニズムを調べました。 It turned out they were received from the phone with—you guessed it—no encryption, no authentication, and no code signing.暗号化も認証もコード署名もなしで、電話から受信されたことがわかりました。
コーヒーメーカーのハックに関する広範なブログ投稿があります。ランサムドコーヒーのフレッシュな香り。」 There'sあります また面白いビデオ demonstrating the chaos that ensued from exploiting the coffee machine's vulnerabilities.コーヒーマシンの脆弱性を悪用した結果として生じた混乱を示しています。 While it's unlikely that an attack such as this will be coming to anyone's kitchen soon, it's a good reminder that “smart” means more than “convenient.”このような攻撃がすぐに誰かのキッチンに来る可能性は低いですが、「スマート」は「便利」以上のものを意味することを忘れないでください。
IoTメーカー向けに、SSL.comはすべての ツールと専門知識 信頼できるX.509証明書でデバイスを保護するために必要です。 詳細については、これらのSSL.comの記事を確認してください。