September 2020 Beveiligingsoverzicht

Welkom bij de septembereditie van SSL.com's maandelijkse Security Roundup! Vandaag hebben we het over:

Aankondiging van de SSL.com-nieuwsbrief!

SSL.com is trots om onze nieuwe maandelijkse e-mailnieuwsbrief aan te kondigen! Elke maand sturen we u nieuws en informatie over internetbeveiliging, PKI, en digitale certificaten, samen met informatie over nieuwe producten en diensten aangeboden door SSL.com. Vul het onderstaande formulier in om u aan te melden. (U kunt zich op elk moment eenvoudig afmelden door op het Afmelden link in elke e-mail die we verzenden.):




CA / B Forum Ballot SC30: Wijzigingen in EV SSL-certificaatrichtlijnen

In nieuws dat interessant is voor SSL.com's EV-SSL klanten, de huidige versie (1.7.3) van het CA / Browser Forum Richtlijnen voor EV SSL-certificaten, dat op 20 augustus 2020 van kracht werd, heeft een aantal nieuwe vereisten. Specifiek, zoals beschreven in CA / B Forum Stemming SC30moeten certificaatautoriteiten (CA's), zoals SSL.com, nu de lijst van registratie- en integratiebureaus publiceren die ze gebruiken bij het valideren van EV SSL-certificaataanvragen. (De stap is in lijn met een groter doel om EV-validatiebronnen consistent te maken tussen CA's.)

Als gevolg hiervan zal SSL.com een ​​lijst publiceren met de informatiebronnen die we gebruiken bij het valideren van bedrijven en andere organisaties voor EV-certificaten. Als we de organisatie van een sollicitant niet kunnen vinden in onze huidige bronnenlijst, zullen we proberen een andere bruikbare informatiebron te vinden en deze aan onze gepubliceerde lijst toe te voegen voordat we de bestelling valideren en het certificaat uitgeven.

De afhaalmaaltijd van SSL.com: SSL.com ondersteunt deze wijzigingen in de EV SSL-richtlijnen en stemde met "ja" op Ballot SC30, die unaniem werd aangenomen door de CA en browserleden van het CA / B Forum. Als u vragen heeft over deze wijzigingen en hoe ze u kunnen beïnvloeden, aarzel dan niet om contact met ons op te nemen via Support@SSL.com.

Rusland is van plan protocollen te verbieden die de bestemming van het verkeer verbergen

Dit verhaal lijkt misschien bekend als u op de hoogte bent van nieuws over digitale beveiliging. In feite vorige maand we meldden over een verhaal dat China's "Grote Firewall" nu HTTPS-verkeer blokkeert dat gebruikmaakt van TLS 1.3 en ENSI (Encrypted Server Name Indication) in een poging om het voor Chinese censors gemakkelijker te maken om te zien welke sites burgers proberen te bezoeken en om de toegang tot die sites te controleren.

Deze maand, een rapport van Catalin Cimpanu in ZDNet legde uit dat Rusland nu het gebruik van sommige protocollen wil verbieden met een update van technologiewetten die "het illegaal zouden maken om coderingsprotocollen te gebruiken die de bestemming van het verkeer volledig verbergen". Zoals opgemerkt in het artikel, zouden deze protocollen TLS 1.3, DoH, DoT en ESNI. De redenering lijkt natuurlijk veel op de redenering achter het Chinese verbod - de protocollen belemmeren het toezicht en het bereik van censuur door de staat. Uit het artikel:

Rusland gebruikt geen nationaal firewall-systeem, maar het regime in Moskou vertrouwt op een systeem genaamd SORM waarmee rechtshandhaving internetverkeer voor wetshandhavingsdoeleinden direct bij de bron kan onderscheppen, in telecomdatacentra.
Bovendien heeft het Russische ministerie van telecommunicatie, de Roskomnadzor, een de facto nationale firewall geleid door zijn regelgevende macht over de lokale ISP's. Roskomnadzor heeft het afgelopen decennium websites verboden die het gevaarlijk achtte en ISP's gevraagd hun verkeer te filteren en de toegang tot de respectieve sites te blokkeren.
met TLS 1.3, DoH, DoT en ESNI worden geaccepteerd, alle huidige bewakings- en censuurhulpmiddelen van Rusland zullen nutteloos worden, omdat ze afhankelijk zijn van toegang tot de website-ID's die lekken uit gecodeerd webverkeer.

De wet is momenteel in behandeling, in afwachting van publieke feedback, en zal begin oktober terugkeren voor een stemming. ZDNet merkt op dat, gezien het klimaat, "het vrijwel zeker is dat het amendement zal worden aangenomen."

De afhaalmaaltijd van SSL.com: Zoals het nieuws van vorige maand over China Geweldige firewallis dit weer een voorbeeld van een autoritaire staat die snuffelt in de online activiteiten van zijn burgers. SSL.com blijft zich krachtig verzetten tegen overheidstoezicht op het surfen op internet.

New TLS Aanval: wasbeer

We hebben al een blogpost over de "Raccoon Attack", maar het is de moeite waard om nogmaals te vermelden, aangezien derden door de aanval SSL /TLS codering om communicatie te lezen die bedoeld is om veilig te worden bewaard. Zoals uitgelegd in een onlangs gepubliceerd academisch papiermaakt de aanval gebruik van een timing-kwetsbaarheid in TLS versies 1.2 en eerder, en kan communicatie decoderen die gebruikersnamen, wachtwoorden, creditcardgegevens en andere gevoelige informatie bevat. Uit onze post eerder deze maand:

Hoewel het beangstigend klinkt, moet u er rekening mee houden dat deze aanval alleen kan plaatsvinden onder zeer specifieke en zeldzame omstandigheden: de server moet openbare Diffie-Hellman-sleutels opnieuw gebruiken in de handdruk (al beschouwd als een slechte praktijk), en de aanvaller moet in staat zijn om nauwkeurige timingmetingen te doen. Bovendien moet de browser de kwetsbare coderingssuites ondersteunen (vanaf juni 2020 hebben alle grote browsers ze laten vallen).

De afhaalmaaltijd van SSL.com: Hoewel de kans op een succesvolle wasbeeraanval zeldzaam is, zijn er een paar eenvoudige dingen die u kunt doen om dit volledig te voorkomen: TLS 1.2 of zorg ervoor dat uw server geen openbare Diffie-Hellman-sleutels gebruikt. Zie onze blogpost voor meer informatie.

Het internet der (kwetsbare) dingen, editie van koffiezetapparaat

Terwijl het bovenstaande verhaal dat niet was werkelijk over aanvallen door wasberen, dit verhaal gaat eigenlijk over koffiezetapparaten. Om preciezer te zijn, het artikel van Dan Goodin in Ars Technica gaat over hoe een koffiezetapparaat is veranderd in een 'losgeldmachine' door gebruik te maken van veelvoorkomende zwakke punten in Internet of Things (IoT) -apparaten.

In feite is de iKettle van de (slecht genoemde) Smarter-producten al lang een doelwit voor diegenen die de gevaren van gemakkelijk te hacken apparaten willen illustreren. Sinds 2015 versies van de waterkoker zijn op afstand gevorderd door middel van reverse engineering. Hoewel het bedrijf sindsdien een nieuwe versie van de pot heeft uitgebracht, zijn de oude nog steeds in gebruik, en jongen, ze zijn kwetsbaar voor wat de artikelopmerkingen zijn "out of the box" aanvallen. Onlangs besloot een programmeur genaamd Martin Hron om de grenzen te testen van hoe een inbreuk op de beveiliging van een koffiepot eruit zou kunnen zien, in het ergste geval:

Toen Hron zijn Smarter-koffiezetapparaat voor het eerst aansluit, ontdekte hij dat het onmiddellijk fungeerde als een Wi-Fi-toegangspunt dat een onbeveiligde verbinding gebruikte om te communiceren met een smartphone-app. De app wordt op zijn beurt gebruikt om het apparaat te configureren en, als de gebruiker dat wil, verbinding te maken met een Wi-Fi-thuisnetwerk. Zonder encryptie had de onderzoeker geen probleem om te leren hoe de telefoon het koffiezetapparaat aanstuurde en, aangezien er ook geen authenticatie was, hoe een malafide telefoonapp hetzelfde zou doen.
Die mogelijkheid gaf Hron nog steeds slechts een klein menu met opdrachten, geen van alle bijzonder schadelijk. Dus onderzocht hij het mechanisme dat het koffiezetapparaat gebruikte om firmware-updates te ontvangen. Het bleek dat ze van de telefoon waren ontvangen met - je raadt het al - zonder codering, zonder authenticatie en zonder code-ondertekening.

Er is een uitgebreide blogpost over de koffiezetter-hack genaamd "De frisse geur van vrijgekochte koffie. " Er is ook een grappige video het aantonen van de chaos die ontstond door het misbruiken van de kwetsbaarheden van de koffiemachine. Hoewel het onwaarschijnlijk is dat een dergelijke aanval binnenkort in iemands keuken zal komen, is het een goede herinnering dat 'slim' meer betekent dan 'handig'.

De afhaalmaaltijd van SSL.com: Dit experiment en dit artikel is een venster op wat mogelijk zou kunnen zijn in de groeiende wereld van het internet der dingen. Er staat veel in het Ars Technica-artikel en -blog over hoe je jezelf het beste kunt beschermen, en we raden je aan om zowel praktische ideeën door te lezen als een raamwerk om na te denken over wat we bij ons thuis uitnodigen als ze 'slimmer' worden en slimmer.

Voor IoT-fabrikanten biedt SSL.com alle tools en expertise nodig om apparaten met vertrouwde X.509-certificaten te beveiligen. Bekijk deze SSL.com-artikelen voor veel meer informatie:

Abonneer u op de nieuwsbrief van SSL.com

Mis geen nieuwe artikelen en updates van SSL.com

We willen graag uw feedback

Vul onze enquête in en laat ons uw mening over uw recente aankoop weten.