Welkom bij de septembereditie van SSL.com's maandelijkse Security Roundup! Vandaag hebben we het over:
- SSL.com is gloednieuw nieuwsbrief
- Wijzigingen in de CA / B-forums EV SSL-richtlijnen
- Rusland is van plan ban protocollen die de bestemming van internetverkeer verbergen
- De Wasbeeraanval on TLS versies 1.2 en eerder
- Onzeker Internet of Things (IoT) praktijken
Aankondiging van de SSL.com-nieuwsbrief!
SSL.com is trots om onze nieuwe maandelijkse e-mailnieuwsbrief aan te kondigen! Elke maand sturen we u nieuws en informatie over internetbeveiliging, PKI, en digitale certificaten, samen met informatie over nieuwe producten en diensten aangeboden door SSL.com. Vul het onderstaande formulier in om u aan te melden. (U kunt zich op elk moment eenvoudig afmelden door op het Afmelden link in elke e-mail die we verzenden.):
CA / B Forum Ballot SC30: Wijzigingen in EV SSL-certificaatrichtlijnen
In nieuws dat interessant is voor SSL.com's EV-SSL klanten, de huidige versie (1.7.3) van het CA / Browser Forum Richtlijnen voor EV SSL-certificaten, dat op 20 augustus 2020 van kracht werd, heeft een aantal nieuwe vereisten. Specifiek, zoals beschreven in CA / B Forum Stemming SC30moeten certificaatautoriteiten (CA's), zoals SSL.com, nu de lijst van registratie- en integratiebureaus publiceren die ze gebruiken bij het valideren van EV SSL-certificaataanvragen. (De stap is in lijn met een groter doel om EV-validatiebronnen consistent te maken tussen CA's.)
Als gevolg hiervan zal SSL.com een lijst publiceren met de informatiebronnen die we gebruiken bij het valideren van bedrijven en andere organisaties voor EV-certificaten. Als we de organisatie van een sollicitant niet kunnen vinden in onze huidige bronnenlijst, zullen we proberen een andere bruikbare informatiebron te vinden en deze aan onze gepubliceerde lijst toe te voegen voordat we de bestelling valideren en het certificaat uitgeven.
Rusland is van plan protocollen te verbieden die de bestemming van het verkeer verbergen
Dit verhaal lijkt misschien bekend als u op de hoogte bent van nieuws over digitale beveiliging. In feite vorige maand we meldden over een verhaal dat China's "Grote Firewall" nu HTTPS-verkeer blokkeert dat gebruikmaakt van TLS 1.3 en ENSI (Encrypted Server Name Indication) in een poging om het voor Chinese censors gemakkelijker te maken om te zien welke sites burgers proberen te bezoeken en om de toegang tot die sites te controleren.
Deze maand, een rapport van Catalin Cimpanu in ZDNet legde uit dat Rusland nu het gebruik van sommige protocollen wil verbieden met een update van technologiewetten die "het illegaal zouden maken om coderingsprotocollen te gebruiken die de bestemming van het verkeer volledig verbergen". Zoals opgemerkt in het artikel, zouden deze protocollen TLS 1.3, DoH, DoT en ESNI. De redenering lijkt natuurlijk veel op de redenering achter het Chinese verbod - de protocollen belemmeren het toezicht en het bereik van censuur door de staat. Uit het artikel:
Rusland gebruikt geen nationaal firewall-systeem, maar het regime in Moskou vertrouwt op een systeem genaamd SORM waarmee rechtshandhaving internetverkeer voor wetshandhavingsdoeleinden direct bij de bron kan onderscheppen, in telecomdatacentra.
Bovendien heeft het Russische ministerie van telecommunicatie, de Roskomnadzor, een de facto nationale firewall geleid door zijn regelgevende macht over de lokale ISP's. Roskomnadzor heeft het afgelopen decennium websites verboden die het gevaarlijk achtte en ISP's gevraagd hun verkeer te filteren en de toegang tot de respectieve sites te blokkeren.
met TLS 1.3, DoH, DoT en ESNI worden geaccepteerd, alle huidige bewakings- en censuurhulpmiddelen van Rusland zullen nutteloos worden, omdat ze afhankelijk zijn van toegang tot de website-ID's die lekken uit gecodeerd webverkeer.
De wet is momenteel in behandeling, in afwachting van publieke feedback, en zal begin oktober terugkeren voor een stemming. ZDNet merkt op dat, gezien het klimaat, "het vrijwel zeker is dat het amendement zal worden aangenomen."
Nieuw TLS Aanval: wasbeer
We hebben al een blogpost over de "Raccoon Attack", maar het is de moeite waard om nogmaals te vermelden, aangezien derden door de aanval SSL /TLS codering om communicatie te lezen die bedoeld is om veilig te worden bewaard. Zoals uitgelegd in een onlangs gepubliceerd academisch papiermaakt de aanval gebruik van een timing-kwetsbaarheid in TLS versies 1.2 en eerder, en kan communicatie decoderen die gebruikersnamen, wachtwoorden, creditcardgegevens en andere gevoelige informatie bevat. Uit onze post eerder deze maand:
Hoewel het beangstigend klinkt, moet u er rekening mee houden dat deze aanval alleen kan plaatsvinden onder zeer specifieke en zeldzame omstandigheden: de server moet openbare Diffie-Hellman-sleutels opnieuw gebruiken in de handdruk (al beschouwd als een slechte praktijk), en de aanvaller moet in staat zijn om nauwkeurige timingmetingen te doen. Bovendien moet de browser de kwetsbare coderingssuites ondersteunen (vanaf juni 2020 hebben alle grote browsers ze laten vallen).
Het internet der (kwetsbare) dingen, editie van koffiezetapparaat
Terwijl het bovenstaande verhaal dat niet was werkelijk over aanvallen door wasberen, dit verhaal gaat eigenlijk over koffiezetapparaten. Om preciezer te zijn, het artikel van Dan Goodin in Ars Technica gaat over hoe een koffiezetapparaat is veranderd in een 'losgeldmachine' door gebruik te maken van veelvoorkomende zwakke punten in Internet of Things (IoT) -apparaten.
In feite is de iKettle van de (slecht genoemde) Smarter-producten al lang een doelwit voor diegenen die de gevaren van gemakkelijk te hacken apparaten willen illustreren. Sinds 2015 versies van de waterkoker zijn op afstand gevorderd door middel van reverse engineering. Hoewel het bedrijf sindsdien een nieuwe versie van de pot heeft uitgebracht, zijn de oude nog steeds in gebruik, en jongen, ze zijn kwetsbaar voor wat de artikelopmerkingen zijn "out of the box" aanvallen. Onlangs besloot een programmeur genaamd Martin Hron om de grenzen te testen van hoe een inbreuk op de beveiliging van een koffiepot eruit zou kunnen zien, in het ergste geval:
Toen Hron zijn Smarter-koffiezetapparaat voor het eerst aansluit, ontdekte hij dat het onmiddellijk fungeerde als een Wi-Fi-toegangspunt dat een onbeveiligde verbinding gebruikte om te communiceren met een smartphone-app. De app wordt op zijn beurt gebruikt om het apparaat te configureren en, als de gebruiker dat wil, verbinding te maken met een Wi-Fi-thuisnetwerk. Zonder encryptie had de onderzoeker geen probleem om te leren hoe de telefoon het koffiezetapparaat aanstuurde en, aangezien er ook geen authenticatie was, hoe een malafide telefoonapp hetzelfde zou doen.
Die mogelijkheid gaf Hron nog steeds slechts een klein menu met opdrachten, geen van alle bijzonder schadelijk. Dus onderzocht hij het mechanisme dat het koffiezetapparaat gebruikte om firmware-updates te ontvangen. Het bleek dat ze van de telefoon waren ontvangen met - je raadt het al - zonder codering, zonder authenticatie en zonder code-ondertekening.
Er is een uitgebreide blogpost over de koffiezetter-hack genaamd "De frisse geur van vrijgekochte koffie. " Er is ook een grappige video het aantonen van de chaos die ontstond door het misbruiken van de kwetsbaarheden van de koffiemachine. Hoewel het onwaarschijnlijk is dat een dergelijke aanval binnenkort in iemands keuken zal komen, is het een goede herinnering dat 'slim' meer betekent dan 'handig'.
Voor IoT-fabrikanten biedt SSL.com alle tools en expertise nodig om apparaten met vertrouwde X.509-certificaten te beveiligen. Bekijk deze SSL.com-artikelen voor veel meer informatie: