September 2020 Sikkerhetsrundup

Velkommen til septemberutgaven av SSL.coms månedlige Security Roundup! I dag skal vi snakke om:

Annonserer SSL.com-nyhetsbrevet!

SSL.com er stolte av å kunngjøre vårt nye månedlige nyhetsbrev! Hver måned sender vi deg nyheter og informasjon om internett-sikkerhet, PKI, og digitale sertifikater, sammen med informasjon om nye produkter og tjenester som tilbys av SSL.com. For å registrere deg, fyll ut skjemaet nedenfor. (Du kan når som helst avslutte abonnementet ved å klikke på annulere abonnementet lenke i hver e-post vi sender.):




CA / B Forumavstemming SC30: Endringer i retningslinjene for EV SSL-sertifikat

I nyheter av interesse for SSL.com EV SSL kunder, den nåværende versjonen (1.7.3) av CA / Browser Forum Retningslinjer for SSL-sertifikat for EV, som trådte i kraft 20. august 2020, har noen nye krav. Spesielt som beskrevet i CA / B Forum Stemmeseddel SC30må sertifikatmyndigheter (for eksempel SSL.com) nå publisere listen over registrerings- og inkorporerende byråer som de bruker når de validerer forespørsler om EV SSL-sertifikat. (Flyttingen er i tråd med et større mål om å gjøre EV-valideringskilder konsistente mellom CAer.)

Som et resultat vil SSL.com publisere en liste over informasjonskildene vi bruker når vi validerer bedrifter og andre organisasjoner for EV-sertifikater. Når vi ikke klarer å finne en søkeres organisasjon i vår nåværende kildeliste, vil vi prøve å finne en annen levedyktig informasjonskilde og legge den til i vår publiserte liste før vi validerer bestillingen og utsteder sertifikatet.

SSL.coms takeaway: SSL.com støtter disse endringene i EV SSL-retningslinjene og stemte "ja" på Ballot SC30, som ble godkjent enstemmig av CA og nettlesermedlemmer i CA / B Forum. Hvis du har spørsmål om disse endringene og hvordan de kan påvirke deg, ikke nøl med å kontakte oss på Support@SSL.com.

Russland planlegger å forby protokoller som skjuler trafikkens destinasjon

Denne historien kan virke kjent hvis du har holdt deg oppdatert om digitale sikkerhetsnyheter. Faktisk i forrige måned vi rapporterte på en historie om at Kinas “Great Firewall” nå blokkerer HTTPS-trafikk som bruker TLS 1.3 og ENSI (Encrypted Server Name Indication) i et forsøk på å gjøre det lettere for kinesiske sensorer å se hvilke nettsteder innbyggerne prøver å besøke og å kontrollere tilgangen til nevnte nettsteder.

Denne måneden en rapport av Catalin Cimpanu i ZDNet forklarte at Russland nå ønsker å forby bruk av noen protokoller med en oppdatering av teknologilovene som "ville gjøre det ulovlig å bruke krypteringsprotokoller som fullt ut skjuler trafikkens destinasjon." Som nevnt i artikkelen vil disse protokollene inkludere TLS 1.3, Doh, DoT og ESNI. Begrunnelsen er selvfølgelig omtrent som resonnementet bak Kinas forbud - protokollene hindrer overvåking og sensur fra staten. Fra artikkelen:

Russland bruker ikke et nasjonalt brannmursystem, men Moskva-regimet er avhengig av et system som heter Sorm som gjør at lovhåndhevelse kan avlytte internettrafikk for rettshåndhevelsesformål rett ved kilden, i telesenter.
Videre har Russlands telekommunikasjonsdepartement, Roskomnadzor, kjørt en de facto nasjonal brannmur gjennom sin regulatoriske makt over de lokale Internett-leverandørene. I løpet av det siste tiåret har Roskomnadzor forbudt nettsteder som de anså som farlige, og bedt Internett-leverandører om å filtrere trafikken og blokkere tilgangen til de respektive nettstedene.
Med TLS 1.3, DoH, DoT og ESNI får adopsjon, vil alle Russlands nåværende overvåkings- og sensurverktøy bli ubrukelige, ettersom de stoler på å ha tilgang til nettstedidentifikatorene som lekker fra kryptert nettrafikk.

Loven er for øyeblikket under behandling, i påvente av offentlig tilbakemelding, og vil komme tilbake til avstemning i begynnelsen av oktober. ZDNet bemerker at, gitt klimaet, "er det nesten sikkert at endringen vil bestå."

SSL.coms takeaway: Som forrige måneds nyheter om Kinas Stor brannmur, er dette en annen forekomst av en autoritær stat som sniker på innbyggernes aktiviteter på nettet. SSL.com forblir fast i motstanden mot myndighetens overvåking av nettlesing.

Ny TLS Angrep: Vaskebjørn

Vi har allerede en blogginnlegg om “Raccoon Attack”, men det er verdt å nevne det igjen fordi angrepet kan tillate tredjeparter å bryte SSL /TLS kryptering for å lese kommunikasjon ment å holdes sikker. Som forklart i en nylig publisert akademisk papir, utnytter angrepet en tidssårbarhet i TLS versjoner 1.2 og tidligere, og kan dekryptere kommunikasjon som inkluderer brukernavn, passord, kredittkortdata og annen sensitiv informasjon. Fra innlegget vårt tidligere denne måneden:

Mens det høres skremmende ut, må du huske at dette angrepet bare kan finne sted under veldig spesifikke og sjeldne omstendigheter: serveren må gjenbruke offentlige Diffie-Hellman-nøkler i håndtrykk (allerede ansett som dårlig praksis), og angriperen må kunne foreta nøyaktige målinger av timing. Videre må nettleseren støtte de sårbare krypteringssuitene (fra og med juni 2020 har alle de store nettleserne sluppet dem).

SSL.coms takeaway: Selv om sjansene for et vellykket vaskebjørnangrep er sjeldne, er det noen enkle ting du kan gjøre for å forhindre det helt: Deaktiver TLS 1.2 eller sørg for at serveren din ikke bruker Diffie-Hellman-nøkler på nytt. Se vår blogginnlegg for mer informasjon.

Internett av (sårbare) ting, kaffetrakter-utgave

Mens historien ovenfor ikke var det faktisk om angrep fra vaskebjørn, handler denne historien egentlig om kaffetraktere. For å være mer presis, Dan Goodins artikkel i Ars Technica handler om hvordan en kaffetrakter ble omgjort til en "løsepenger" ved å utnytte vanlige svakheter i Internet of Things (IoT) -enheter.

I utgangspunktet har iKettle (dårlig navngitte) smartere produkter lenge vært et mål for de som ønsker å illustrere farene ved apparater som er enkelt å hacke. Siden 2015, versjoner av kjelen har blitt fjernstyrt gjennom revers engineering. Selv om selskapet har gitt ut en ny versjon av potten siden den gang, er de gamle fortsatt i bruk, og gutter er de sårbare for det som artikkelen bemerker er "out of the box" -angrep. Nylig bestemte en programmerer ved navn Martin Hron seg for å teste grensene for hvordan et sikkerhetsbrudd på en kaffepotte kunne se ut, i verste fall:

Da Hron først koblet til sin smartere kaffetrakter, oppdaget han at den umiddelbart fungerte som et Wi-Fi-tilgangspunkt som brukte en usikret forbindelse for å kommunisere med en smarttelefonapp. Appen blir i sin tur brukt til å konfigurere enheten, og hvis brukeren velger å koble den til et Wi-Fi-hjemmenettverk. Uten kryptering hadde forskeren ingen problemer med å lære hvordan telefonen kontrollerte kaffetrakteren, og siden det ikke var noen autentisering heller, hvordan en useriøs telefonapp kan gjøre det samme.
Denne muligheten etterlot fortsatt Hron med bare en liten meny med kommandoer, ingen av dem spesielt skadelige. Så han undersøkte deretter mekanismen kaffetrakteren brukte for å motta firmwareoppdateringer. Det viste seg at de ble mottatt fra telefonen med - du gjettet det - ingen kryptering, ingen autentisering og ingen kodesignering.

Det er et omfattende blogginnlegg på kaffetrakterhacket som heter “Den friske lukten av løsepenger. ” Det er også en morsom video demonstrerer kaoset som fulgte av å utnytte kaffemaskinens sårbarheter. Selv om det er lite sannsynlig at et angrep som dette snart kommer til kjøkkenet til noen, er det en god påminnelse om at "smart" betyr mer enn "praktisk".

SSL.coms takeaway: Dette eksperimentet, og artikkelen, er et vindu for hva som kan være mulig i den voksende verden av tingenes internett. Det er mye i Ars Technica-artikkelen og bloggen om hvordan man best kan gjøre seg trygge, og vi foreslår at du leser gjennom både for praktiske ideer, samt et rammeverk for å tenke på hva vi inviterer til våre hjem når de blir "smartere" og smartere.

For IoT-produsenter tilbyr SSL.com alle verktøy og kompetanse nødvendig for å sikre enheter med pålitelige X.509-sertifikater. Sjekk ut disse SSL.com-artiklene for mye mer informasjon:

Abonner på SSL.coms nyhetsbrev

Ikke gå glipp av nye artikler og oppdateringer fra SSL.com

Vi vil gjerne ha tilbakemeldinger

Ta vår spørreundersøkelse og fortell oss dine tanker om ditt nylige kjøp.