Velkommen til november 2019s utgave av SSL.coms Security Roundup, hvor vi presenterer et utvalg av månedens utvikling innen SSL /TLS, digitale sertifikater og nettverkssikkerhet! I denne utgaven vil vi dekke:
- TPM-FAIL: nyoppdaget sårbarheter i Intel fastvarebasert TPM og STMicroelectronics 'TPM-brikker
- Delegerte legitimasjon forum TLS
- Europas mangel på IPv4-adresser
- De brudd av flere domeneregistratorer
TPM-FAIL
Sirgiu Gatlan hos Bleeping Computer rapporter at et forskerteam fra Worcester Polytechnic Institute, University of Lübeck og University of California, San Diego har avdekket to sårbarheter i Intel firmwarebaserte TPM (fTPM) og STMicroelectronics 'TPM (Trusted Platform Module) chips.
Disse sårbarhetene, dubbet TPM-FAIL av forskerne, la angripere gjenopprette lagrede private kryptografiske nøkler. På TPM-FAIL nettsted, sier forskerne at:
Vi oppdaget tidslekkasje på Intel firmwarebasert TPM (fTPM) så vel som i STMicroelectronics 'TPM-brikke. Begge viser hemmeligavhengige utførelsestider under generering av kryptografisk signatur. Mens nøkkelen skal være trygt inne i TPM-maskinvaren, viser vi hvordan denne informasjonen tillater en angriper å gjenopprette 256-biters private nøkler fra digitale signaturskjemaer basert på elliptiske kurver.
Angrepene som er demonstrert er praktiske, ettersom forskerne også hevder det
En lokal motstander kan gjenopprette ECDSA-nøkkelen fra Intel fTPM på 4-20 minutter, avhengig av tilgangsnivå. Vi viser til og med at disse angrepene kan utføres eksternt i raske nettverk ved å gjenopprette autentiseringsnøkkelen til en virtuell privat nettverk (VPN) -server på fem timer.
Gatlan bemerker at "Den sårbare Intel fTPM ... brukes av de aller fleste dataprodusenter, inkludert, men ikke begrenset til Dell, HP og Lenovo," og er "også mye brukt av Intel Internet of Things (IoT) -plattform familie av produkter som brukes i industri, helsetjenester, smarte byer og tilkoblede biler. ”
Intel har utstedt en patch til fTPM-firmware deres for å fikse TPM-FAIL-sårbarhetene, og STMicroelectronics har gitt ut en TPM-FAIL-resistent TPM-brikke.
Delegerte legitimasjon for TLS
1. november Cloudflare annonsert støtte for delegerte legitimasjon for TLS, en ny kryptografisk protokoll utviklet i samarbeid med Facebook og Mozilla. Delegert legitimasjon er ment å lette SSL /TLS distribusjon på tvers av flere globale sluttpunkter, for eksempel i et innholdsleveringsnettverk (CDN). I følge Cloudflare er en delegert legitimasjon:
en kortvarig nøkkel som sertifikatets eier har delegert til bruk i TLS. De fungerer som en fullmakt: serveren din autoriserer serveren vår til å avslutte TLS i en begrenset periode. Når en nettleser som støtter denne protokollen, kobles til edge-serverne våre, kan vi vise den denne "fullmakten", i stedet for å måtte nå tilbake til en kundes server for å få den til å autorisere TLS forbindelse. Dette reduserer latens og forbedrer ytelse og pålitelighet.
Fordi delegerte legitimasjoner jevnlig skyves til CDNs kantservere før forrige legitimasjon utløper, unngår systemet ventetiden som er assosiert med pull-baserte protokoller som Nøkkelfri SSL. Du kan lese Facebooks og Mozillas kunngjøringer om delegert legitimasjon her. og her.henholdsvis, og få fulle detaljer fra IETF Utkast av spesifikasjonen.
IPv4-adresser går tom
RIPE (Europas regionale internettregister) annonsert 25. november at de ikke har flere IPv4-adresser igjen
vi gjorde vår endelige / 22 IPv4-tildeling fra de siste gjenværende adressene i vårt tilgjengelige basseng. Vi har nå gått tom for IPv4-adresser.
RIPE sier at selv om de ikke har IPv4-adresser, vil de fortsette å komme seg mer i fremtiden "fra organisasjoner som har gått ut av virksomheten eller er stengt, eller fra nettverk som returnerer adresser de ikke lenger trenger", og vil utdanne dem ut til Lokale internettregistre (LIRs) via en venteliste.
Registrerer flere domenenavn
Steve Dent på Engadget rapporter at Web.com og dets datterselskaper NetworkSolutions.com og Register.com ble brutt av angripere i slutten av august 2019.
I følge Web.com involverte bruddet et "begrenset antall datasystemer", at "ingen kredittkortdata ble kompromittert", og at de ikke tror at lagrede, krypterte passord er sårbare (men at kundene bør endre dem) . Imidlertid kan angriperne ha kunnet samle kontaktinformasjon som "navn, adresse, telefonnummer, e-postadresser og informasjon om tjenestene vi tilbyr til en gitt kontoinnehaver."
Dent bemerker at kompromisset med et domenenavnsregister potensielt har alvorlige konsekvenser:
For eksempel hackere en gang kompromittert domenenavnsregistratoren til en brasiliansk bank og omdirigerte brukere til nettsteder som stjal legitimasjonen og installerte skadelig programvare. "Hvis DNS-en din er under kontroll av nettkriminelle, er du i utgangspunktet skrudd," sa Kasperskys Dmitry Bestuzhev Wired om hendelsen.