Beveiligingsoverzicht van december 2019

Fijne feestdagen van SSL.com! We hopen dat jullie allemaal een gelukkig en voorspoedig 2019 hebben gehad en kijken uit naar grote dingen in 2020 (wij ook)! In onze laatste samenvatting van het jaar zullen we het hebben over:

  • Een "veilige" berichten-app dat bleek een hulpmiddel te zijn voor spionage door de overheid
  • Vervaldatum van het zelfondertekende certificaat van Cisco kwestie
  • New archief voor RSA key factoring en discrete logaritme berekening

En als je hier klaar bent, kijk dan ook eens naar onze nieuw artikel over wat certificeringsinstanties (CA's) doen en hoe moeilijk het is om er een te zijn!

Berichten-app ToTok is UAE Spy Tool

Op 22 december verschijnt de New York Times gerapporteerd dat een populaire berichten-app ToTok ook een spionagetool is die door de regering van de Verenigde Arabische Emiraten (VAE) wordt gebruikt om "elk gesprek, elke beweging, elke relatie, afspraak, geluid en beeld te traceren van degenen die het op hun telefoons installeren." Burgers uit de Emiraten voelden zich aangetrokken tot de app omdat de VAE de functionaliteit van gecodeerde berichtentoepassingen zoals WhatsApp en Skype blokkeert.

ToTok werd aan de Times onthuld als een spionagetool door zowel Amerikaanse functionarissen die een geheime inlichtingenbeoordeling hadden gezien, als een anonieme digitale beveiligingsexpert die zei dat hij de informatie had gekregen van 'hoge ambtenaren uit de Emiraten'. De app, die zichzelf beschouwt als 'veilig' ondanks dat er geen aanspraak op wordt gemaakt op end-to-end encryptie, werd ook op grote schaal gepromoot door het Chinese telecombedrijf Huawei.

Zowel Apple Google heeft ToTok al verwijderd uit hun app-winkels, maar de app is al miljoenen keren gedownload door gebruikers.

Overname van SSL.com: Als u deze app heeft geïnstalleerd, verwijder deze dan onmiddellijk en wees voorzichtig met de apps die u installeert en de rechten die u hen verleent om toegang te krijgen tot uw locatie en andere persoonlijke gegevens. Zoals opgemerkt in een andere recente New York Times stuk"Uw smartphone is een van 's werelds meest geavanceerde bewakingstools", en die mogelijkheden zijn niet beperkt tot het leveren van "relevante" advertenties.
Ga naar boven

Zelfondertekende certificaten op veel Cisco-apparaten die binnenkort verlopen

Cisco's veldmededeling FN-70498 (20 december 2019) waarschuwt gebruikers dat zelfondertekende X.509-certificaten op apparaten met getroffen releases van Cisco IOS of IOS XE-software op 1 januari 2020 om middernacht aflopen. Bovendien kunnen er geen nieuwe zelfondertekende certificaten worden gemaakt op deze apparaten na deze datum tenzij een software-upgrade is toegepast.

Na het bijwerken van de software van het apparaat, moeten alle zelfondertekende certificaten opnieuw worden gegenereerd en geëxporteerd naar alle apparaten die dit nodig hebben in hun trust store.

Cisco merkt op dat:

Dit probleem is alleen van invloed op zelfondertekende certificaten die zijn gegenereerd door het Cisco IOS- of Cisco IOS XE-apparaat en zijn toegepast op een service op het apparaat. Dit probleem heeft geen gevolgen voor certificaten die zijn gegenereerd door een certificeringsinstantie (CA), waaronder de certificaten die zijn gegenereerd door de Cisco IOS CA-functie.

Na de aankondiging van Cisco, Rapid7-laboratoria gebruikt Sonar scan gegevens om "meer dan 80,000 Cisco-apparaten te identificeren die waarschijnlijk zullen worden beïnvloed door dit probleem met de vervaldatum." Zou de jouwe erbij kunnen zijn?

Overname van SSL.com: Werk in ieder geval uw software bij als u last heeft van dit probleem, maar we zijn blij met de eerste voorgestelde oplossing van Cisco: “Installeer een certificaat van een CA, ”nog beter.
Ga naar boven

Nieuw RSA Key-Cracking Record

Dan Goodin bij Ars Technica meldt dat een team van onderzoekers onder leiding van Emmanuel Thomé van het Franse National Institute for Computer Science and Applied Mathematics nieuwe records heeft gevestigd door de "grootste RSA-sleutelomvang ooit berekend en een overeenkomstige berekening van de grootste discrete logaritme ooit". De records bestaan ​​uit de factoring van RSA-240 (795 bits) en de berekening van een discrete logaritme van dezelfde grootte.

Deze records zijn niet alleen te wijten aan Wet van Moore (de neiging van het aantal transistoren in IC's om de twee jaar te verdubbelen), aangezien de snelheidswinst groter is dan zou worden voorspeld door alleen incrementele hardwareverbeteringen. In plaats daarvan crediteren de onderzoekers verbeteringen in de software-implementatie van het Number Field Sieve-algoritme dat wordt gebruikt om de berekeningen uit te voeren:

Om de efficiëntieverbetering aan te tonen, hebben de onderzoekers hun software op hardware uitgevoerd die identiek was aan die welke werd gebruikt om het 768-bit discrete logaritme in 2016 te berekenen. Ze ontdekten dat het gebruik van de oude hardware om het record van 795-bits te zeven 25% zou kosten minder tijd nodig dan dezelfde apparatuur om de 768-bit DLP-berekening uit te voeren.

Overname van SSL.com: We zijn het eens met Nadia Heninger (een onderzoeker in het recordbrekende team), dat de "afhaalrestaurants voor beoefenaars in feite zijn dat we hopen dat ze het advies hebben gevolgd om te verhuizen naar ten minste 2048-bits RSA-, Diffie-Hellman- of DSA-sleutels vanaf enkele jaren geleden, waardoor ze beschermd zouden zijn tegen al deze verbeteringen. ”

 

Bedankt voor het kiezen van SSL.com! Als u vragen heeft, neem dan contact met ons op via e-mail op Support@SSL.com, bel 1-877-SSL-SECURE, of klik gewoon op de chatlink rechts onderaan deze pagina.


SSL.com-ondersteuningsteam

Auteur - Contentbeheerder
Alle berichten

Gerelateerde blogberichten

Bekijk alle blogberichten
Facebook Linkedin Twitter YouTube GitHub

Wat is SSL /TLS?

Video afspelen

Abonneer u op de nieuwsbrief van SSL.com

Mis geen nieuwe artikelen en updates van SSL.com

We willen graag uw feedback

Vul onze enquête in en laat ons uw mening over uw recente aankoop weten.

Enquête invullen