2020 년 XNUMX 월 보안 검거

SSL.com의 월간 보안 라운드 업 XNUMX 월호에 오신 것을 환영합니다! 오늘 우리는 다음에 대해 이야기 할 것입니다.

• SSL.com의 새로운 뉴스 레터
• CA / B 포럼의 변경 사항 EV SSL 지침
• 러시아의 계획 금지 프로토콜 인터넷 트래픽의 목적지를 숨기는
• XNUMXD덴탈의 너구리 공격 on TLS 버전 1.2 이하
• 불안정한 사물의 인터넷 IOT () 사례
  

SSL.com 뉴스 레터 발표!

SSL.com은 새로운 월간 이메일 뉴스 레터를 발표하게 된 것을 자랑스럽게 생각합니다! 매달 인터넷 보안에 대한 뉴스와 정보를 보내드립니다. PKI, 디지털 인증서, SSL.com에서 제공하는 새로운 제품 및 서비스에 대한 정보. 가입하려면 아래 양식을 작성하십시오. (언제든지 쉽게 구독을 취소 할 수 있습니다. 수신 거부 우리가 보내는 각 이메일의 링크.) :

CA / B 포럼 투표 SC30 : EV SSL 인증서 지침 변경

SSL.com의 관심 뉴스 EV SSL 고객, CA / 브라우저 포럼의 현재 버전 (1.7.3) EV SSL 인증서 지침20 년 2020 월 XNUMX 일에 발효 된에는 몇 가지 새로운 요구 사항이 있습니다. 특히 CA / B 포럼에 설명 된대로 투표 용지 SC30, SSL.com과 같은 인증 기관 (CA)은 이제 EV SSL 인증서 요청의 유효성을 검사 할 때 사용하는 등록 및 통합 기관 목록을 게시해야합니다. (이 움직임은 CA간에 EV 유효성 검사 소스를 일관되게 만드는 더 큰 목표와 일치합니다.)

결과적으로 SSL.com은 비즈니스 및 기타 조직에서 EV 인증서를 확인할 때 사용하는 정보 소스 목록을 게시합니다. 현재 출처 목록에서 신청자의 조직을 찾을 수없는 경우 주문을 확인하고 인증서를 발급하기 전에 다른 실행 가능한 정보 출처를 찾아서 게시 된 목록에 추가하려고합니다.

러시아, 트래픽 목적지를 숨기는 프로토콜 금지 계획

디지털 보안 뉴스를 최신 상태로 유지했다면이 이야기는 익숙해 보일 수 있습니다. 사실 지난달 우리가보고했다. 중국의“Great Firewall”이 현재 사용하는 HTTPS 트래픽을 차단하고 있다는 이야기에 TLS 1.3 그리고 ENSI (Encrypted Server Name Indication)는 중국 검열 관이 시민들이 어떤 사이트를 방문하려고하는지 쉽게 확인하고 해당 사이트에 대한 액세스를 제어 할 수 있도록하기위한 노력입니다.

이번 달 Catalin Cimpanu의 보고서 ZDNet에서 러시아는 현재 "트래픽의 목적지를 완전히 숨기는 암호화 프로토콜을 사용하는 것을 불법으로 만들 수있는"기술법을 업데이트하여 일부 프로토콜의 사용을 금지 할 계획이라고 설명했습니다. 기사에서 언급했듯이 이러한 프로토콜에는 TLS 1.3, DoH, DoT 및 ESNI. 물론 그 추론은 중국의 금지에 대한 추론과 매우 흡사합니다. 프로토콜은 국가의 감시와 검열 범위를 방해합니다. 기사에서 :

러시아는 국가 방화벽 시스템을 사용하지 않지만 모스크바 정권은 SORM 이를 통해 법 집행 기관이 통신사 데이터 센터의 소스에서 법 집행 목적으로 인터넷 트래픽을 가로 챌 수 있습니다.
또한 러시아의 통신부 인 Roskomnadzor는 현지 ISP에 대한 규제 권한을 통해 사실상의 국가 방화벽을 운영하고 있습니다. 지난 XNUMX 년 동안 Roskomnadzor는 위험하다고 간주되는 웹 사이트를 금지하고 ISP에 트래픽을 필터링하고 각 사이트에 대한 액세스를 차단하도록 요청했습니다.
와 TLS 1.3, DoH, DoT 및 ESNI가 채택됨에 따라 러시아의 현재 감시 및 검열 도구는 모두 암호화 된 웹 트래픽에서 유출되는 웹 사이트 식별자에 액세스하는 데 의존하기 때문에 쓸모 없게 될 것입니다.

이 법은 현재 검토 중이며 대중의 피드백을 기다리고 있으며 XNUMX 월 초에 투표를 위해 돌아올 것입니다. ZDNet은 기후를 고려할 때“수정안이 통과 될 것이 거의 확실하다”고 지적합니다.

신제품 TLS 공격 : 너구리

우리는 이미 블로그 게시물 "너구리 공격"에 대해 언급 할 필요가 있지만 공격으로 인해 제 XNUMX자가 SSL /TLS 통신을 읽기위한 암호화는 보안 유지를 의미합니다. 최근에 출판 된 학술 논문, 공격은 다음의 타이밍 취약점을 악용합니다. TLS 버전 1.2 이하이며 사용자 이름, 암호, 신용 카드 데이터 및 기타 민감한 정보를 포함하는 통신을 해독 할 수 있습니다. 이번 달 초 우리의 게시물에서 :

무섭게 들리지만이 공격은 매우 구체적이고 드문 상황에서만 발생할 수 있습니다. 서버는 공개 Diffie-Hellman 키를 악수 (이미 나쁜 습관으로 간주 됨) 공격자는 정확한 타이밍 측정을 수행 할 수 있어야합니다. 또한 브라우저는 취약한 암호 제품군을 지원해야합니다 (2020 년 XNUMX 월 현재 모든 주요 브라우저에서이를 삭제했습니다).

(취약한) 사물의 인터넷, 커피 메이커 에디션

위의 이야기는 아니었지만 실제로 너구리의 공격에 대한 이야기는 커피 메이커에 대한 이야기입니다. 더 정확하게 말하면 Dan Goodin의 기사는 ARS Technica 방법에 관한 것입니다 커피 메이커가 "랜섬 머신"으로 바뀌 었습니다. 사물 인터넷 (IoT) 장치의 일반적인 약점을 악용합니다.

기본적으로 (잘못 명명 된) Smarter 제품의 iKettle은 쉽게 해킹되는 기기의 위험성을 설명하려는 사람들의 표적이었습니다. 2015 년부터 주전자 버전 원격 지휘를 받았다 리버스 엔지니어링을 통해. 이 회사는 그 이후로 새로운 버전의 냄비를 출시했지만 이전 버전은 여전히 ​​사용 중이며 기사 노트가 "즉시 사용 가능한"공격에 취약합니다. 최근에 Martin Hron이라는 프로그래머는 커피 포트에 대한 보안 침해의 한계를 최악의 시나리오와 같은 방식으로 테스트하기로 결정했습니다.

Hron이 처음 Smarter 커피 메이커를 꽂았을 때 그는 즉시 스마트 폰 앱과 통신하기 위해 보안되지 않은 연결을 사용하는 Wi-Fi 액세스 포인트 역할을한다는 것을 발견했습니다. 이 앱은 기기를 구성하는 데 사용되며 사용자가 선택하면 홈 Wi-Fi 네트워크에 연결합니다. 암호화가 없었기 때문에 연구원은 전화기가 커피 메이커를 제어하는 ​​방법과 인증이 없었기 때문에 악성 전화 앱이 동일한 작업을 수행하는 방법을 배우는 데 문제가 없었습니다.
이 기능은 Hron에게 명령 메뉴가 작게 남았으며 특별히 해로운 것은 없습니다. 그래서 그는 커피 메이커가 펌웨어 업데이트를받는 데 사용한 메커니즘을 조사했습니다. 암호화, 인증, 코드 서명이없는 상태로 전화에서받은 것으로 나타났습니다.

커피 메이커 해킹에 대한 광범위한 블로그 게시물이 있습니다.Ransomed 커피의 신선한 냄새.” 거기 또한 재미있는 비디오 커피 머신의 취약점을 악용하여 발생한 혼란을 보여줍니다. 이와 같은 공격이 곧 다른 사람의 주방에 닥칠 가능성은 낮지 만 "스마트"가 "편리함"이상을 의미한다는 점을 상기시켜줍니다.