November 2019 Sikkerhetsrunde

Velkommen til november 2019s utgave av SSL.coms Security Roundup, hvor vi presenterer et utvalg av månedens utvikling innen SSL /TLS, digitale sertifikater og nettverkssikkerhet! I denne utgaven vil vi dekke:

TPM-FAIL

Sirgiu Gatlan hos Bleeping Computer rapporter at et forskerteam fra Worcester Polytechnic Institute, University of Lübeck og University of California, San Diego har avdekket to sårbarheter i Intel firmwarebaserte TPM (fTPM) og STMicroelectronics 'TPM (Trusted Platform Module) chips.

Disse sårbarhetene, dubbet TPM-FAIL av forskerne, la angripere gjenopprette lagrede private kryptografiske nøkler. På TPM-FAIL nettsted, sier forskerne at:

Vi oppdaget tidslekkasje på Intel firmwarebasert TPM (fTPM) så vel som i STMicroelectronics 'TPM-brikke. Begge viser hemmeligavhengige utførelsestider under generering av kryptografisk signatur. Mens nøkkelen skal være trygt inne i TPM-maskinvaren, viser vi hvordan denne informasjonen tillater en angriper å gjenopprette 256-biters private nøkler fra digitale signaturskjemaer basert på elliptiske kurver.

Angrepene som er demonstrert er praktiske, ettersom forskerne også hevder det

En lokal motstander kan gjenopprette ECDSA-nøkkelen fra Intel fTPM på 4-20 minutter, avhengig av tilgangsnivå. Vi viser til og med at disse angrepene kan utføres eksternt i raske nettverk ved å gjenopprette autentiseringsnøkkelen til en virtuell privat nettverk (VPN) -server på fem timer.

Gatlan bemerker at "Den sårbare Intel fTPM ... brukes av de aller fleste dataprodusenter, inkludert, men ikke begrenset til Dell, HP og Lenovo," og er "også mye brukt av Intel Internet of Things (IoT) -plattform familie av produkter som brukes i industri, helsetjenester, smarte byer og tilkoblede biler. ”

Intel har utstedt en patch til fTPM-firmware deres for å fikse TPM-FAIL-sårbarhetene, og STMicroelectronics har gitt ut en TPM-FAIL-resistent TPM-brikke.

SSL.coms takeaway: Alle med private nøkler kan stjele identiteten din. Det er veldig sannsynlig at du eier minst en enhet som er berørt av disse sikkerhetsproblemene - ta kontakt med produsenten av enheten for firmwareoppdateringer.

Delegerte legitimasjon for TLS

1. november Cloudflare annonsert støtte for delegerte legitimasjon for TLS, en ny kryptografisk protokoll utviklet i samarbeid med Facebook og Mozilla. Delegert legitimasjon er ment å lette SSL /TLS distribusjon på tvers av flere globale sluttpunkter, for eksempel i et innholdsleveringsnettverk (CDN). I følge Cloudflare er en delegert legitimasjon:

en kortvarig nøkkel som sertifikatets eier har delegert til bruk i TLS. De fungerer som en fullmakt: serveren din autoriserer serveren vår til å avslutte TLS i en begrenset periode. Når en nettleser som støtter denne protokollen, kobles til edge-serverne våre, kan vi vise den denne "fullmakten", i stedet for å måtte nå tilbake til en kundes server for å få den til å autorisere TLS forbindelse. Dette reduserer latens og forbedrer ytelse og pålitelighet.

Fordi delegerte legitimasjoner jevnlig skyves til CDNs kantservere før forrige legitimasjon utløper, unngår systemet ventetiden som er assosiert med pull-baserte protokoller som Nøkkelfri SSL. Du kan lese Facebooks og Mozillas kunngjøringer om delegert legitimasjon her. og her.henholdsvis, og få fulle detaljer fra IETF Utkast av spesifikasjonen.

SSL.coms takeaway: Vi er interessert i enhver utvikling som muliggjør en sikker og effektiv global implementering av SSL /TLS, og vil følge med på denne teknologien når den utvikler seg.

IPv4-adresser går tom

RIPE (Europas regionale internettregister) annonsert 25. november at de ikke har flere IPv4-adresser igjen

vi gjorde vår endelige / 22 IPv4-tildeling fra de siste gjenværende adressene i vårt tilgjengelige basseng. Vi har nå gått tom for IPv4-adresser.

RIPE sier at selv om de ikke har IPv4-adresser, vil de fortsette å komme seg mer i fremtiden "fra organisasjoner som har gått ut av virksomheten eller er stengt, eller fra nettverk som returnerer adresser de ikke lenger trenger", og vil utdanne dem ut til Lokale internettregistre (LIRs) via en venteliste.

SSL.coms takeaway: IPv6 bruker 128-biters adresser, sammenlignet med IPv4s 32 bits, noe som resulterer i 7.9 × 1028 ganger så mange mulige adresser som IPv4. Vi er enige med RIPE at "uten omfattende IPv6-distribusjon risikerer vi å gå inn i en fremtid der veksten av internett vårt er unødvendig begrenset."

Registrerer flere domenenavn

Steve Dent på Engadget rapporter at Web.com og dets datterselskaper NetworkSolutions.com og Register.com ble brutt av angripere i slutten av august 2019.

I følge Web.com involverte bruddet et "begrenset antall datasystemer", at "ingen kredittkortdata ble kompromittert", og at de ikke tror at lagrede, krypterte passord er sårbare (men at kundene bør endre dem) . Imidlertid kan angriperne ha kunnet samle kontaktinformasjon som "navn, adresse, telefonnummer, e-postadresser og informasjon om tjenestene vi tilbyr til en gitt kontoinnehaver."

Dent bemerker at kompromisset med et domenenavnsregister potensielt har alvorlige konsekvenser:

For eksempel hackere en gang kompromittert domenenavnsregistratoren til en brasiliansk bank og omdirigerte brukere til nettsteder som stjal legitimasjonen og installerte skadelig programvare. "Hvis DNS-en din er under kontroll av nettkriminelle, er du i utgangspunktet skrudd," sa Kasperskys Dmitry Bestuzhev Wired om hendelsen.

SSL.coms takeaway: Hvis du kan ha blitt påvirket av dette bruddet, sjekk DNS-postene og endre passordet.
Takk for at du besøkte SSL.com, der vi tror a sikrere Internett er et bedre Internett! Du kan kontakte oss på e-post på Support@SSL.com, anrop 1-877-SSL-SECURE, eller bare klikk på chat-koblingen nederst til høyre på denne siden.


Abonner på SSL.coms nyhetsbrev

Ikke gå glipp av nye artikler og oppdateringer fra SSL.com

Vi vil gjerne ha tilbakemeldinger

Ta vår spørreundersøkelse og fortell oss dine tanker om ditt nylige kjøp.