Podsumowanie bezpieczeństwa z września 2020 r

Witamy we wrześniowej edycji comiesięcznego podsumowania bezpieczeństwa SSL.com! Dzisiaj będziemy rozmawiać o:

• Zupełnie nowy SSL.com biuletyn
• Zmiany na forum CA / B Wytyczne EV SSL
• Rosyjskie plany zakazać protokołów które ukrywają miejsce docelowe ruchu internetowego
• Połączenia Atak szopów on TLS wersje 1.2 i starsze
• Niepewny Internet przedmiotów (Internet przedmiotów) praktyki
  

Ogłaszamy biuletyn SSL.com!

SSL.com z dumą ogłasza nasz nowy comiesięczny biuletyn e-mailowy! Co miesiąc będziemy wysyłać Ci wiadomości i informacje o bezpieczeństwie w Internecie, PKIoraz certyfikaty cyfrowe wraz z informacjami o nowych produktach i usługach oferowanych przez SSL.com. Aby się zarejestrować, wystarczy wypełnić poniższy formularz. (Możesz łatwo zrezygnować z subskrypcji w dowolnym momencie, klikając wypisać link w każdym wysłanym przez nas e-mailu.):

CA / B Forum Ballot SC30: Zmiany w wytycznych dotyczących certyfikatu EV SSL

W wiadomościach interesujących SSL.com SSL EV klienci, aktualna wersja (1.7.3) forum CA / Browser Wytyczne dotyczące certyfikatu EV SSL, która weszła w życie 20 sierpnia 2020 r., ma nowe wymagania. W szczególności zgodnie z opisem na forum CA / B Karta do głosowania SC30, urzędy certyfikacji (CA), takie jak SSL.com, muszą teraz opublikować listę agencji rejestracyjnych i włączających, z których korzystają podczas sprawdzania żądań certyfikatu EV SSL. (Posunięcie to jest zgodne z szerszym celem, jakim jest zapewnienie spójności źródeł walidacji EV w różnych CA).

W rezultacie SSL.com opublikuje listę źródeł informacji, z których korzystamy podczas weryfikacji firm i innych organizacji pod kątem certyfikatów EV. Jeśli nie jesteśmy w stanie zlokalizować organizacji kandydata na naszej aktualnej liście źródeł, spróbujemy znaleźć inne realne źródło informacji i dodać je do naszej opublikowanej listy przed zatwierdzeniem zamówienia i wydaniem certyfikatu.

Rosja planuje zakazać protokołów ukrywających przeznaczenie ruchu

Ta historia może wydawać się znajoma, jeśli jesteś na bieżąco z nowościami dotyczącymi bezpieczeństwa cyfrowego. W rzeczywistości w zeszłym miesiącu zgłosiliśmy na temat historii, że chiński „Wielki Firewall” blokuje teraz ruch HTTPS, który wykorzystuje TLS 1.3 oraz ENSI (Encrypted Server Name Indication) w celu ułatwienia chińskim cenzorom sprawdzenia, jakie strony obywatele próbują odwiedzić, oraz kontrolowania dostępu do tych witryn.

Ten miesiąc, raport Catalina Cimpanu w ZDNet wyjaśnił, że Rosja stara się teraz zakazać używania niektórych protokołów wraz z aktualizacją przepisów technologicznych, które „uczyniłyby nielegalnym stosowanie protokołów szyfrowania, które całkowicie ukrywałyby przeznaczenie ruchu”. Jak wspomniano w artykule, protokoły te obejmują TLS 1.3, Doh, DoT i ESNI. Rozumowanie jest oczywiście podobne do uzasadnienia chińskiego zakazu - protokoły utrudniają nadzór i zasięg cenzury przez państwo. Z artykułu:

Rosja nie używa krajowego systemu zapór ogniowych, ale reżim moskiewski opiera się na systemie tzw SORM która umożliwia organom ścigania przechwytywanie ruchu internetowego do celów egzekwowania prawa u źródła, w telekomunikacyjnych centrach danych.
Co więcej, rosyjskie ministerstwo telekomunikacji, Roskomnadzor, w ramach swoich uprawnień regulacyjnych nad lokalnymi dostawcami usług internetowych używa de facto krajowej zapory ogniowej. Przez ostatnią dekadę Roskomnadzor blokował strony internetowe, które uważał za niebezpieczne i prosząc dostawców usług internetowych o filtrowanie ich ruchu i blokowanie dostępu do odpowiednich witryn.
Z TLS 1.3, DoH, DoT i ESNI, które zostaną przyjęte, wszystkie obecne rosyjskie narzędzia do nadzoru i cenzury staną się bezużyteczne, ponieważ polegają na dostępie do identyfikatorów witryn internetowych, które wyciekają z zaszyfrowanego ruchu internetowego.

Ustawa jest obecnie rozpatrywana, oczekuje na opinię publiczną i powróci do głosowania na początku października. ZDNet zauważa, że ​​biorąc pod uwagę klimat, „jest prawie pewne, że poprawka przejdzie”.

Nowości TLS Atak: szop

Mamy już blogu o „Raccoon Attack”, ale warto jeszcze raz wspomnieć, ponieważ atak może pozwolić stronom trzecim na złamanie SSL /TLS szyfrowanie do odczytu komunikacji, która ma być zabezpieczona. Jak wyjaśniono w niedawno opublikowanym praca naukowa, atak wykorzystuje lukę czasową w TLS wersje 1.2 i starsze i mogą odszyfrować komunikację zawierającą nazwy użytkowników, hasła, dane kart kredytowych i inne poufne informacje. Z naszego posta na początku tego miesiąca:

Choć brzmi to przerażająco, należy pamiętać, że ten atak może mieć miejsce tylko w bardzo specyficznych i rzadkich okolicznościach: serwer musi ponownie użyć publicznych kluczy Diffie-Hellmana w uścisk ręki (już uważane za złą praktykę), a atakujący musi być w stanie dokonać precyzyjnych pomiarów czasu. Ponadto przeglądarka musi obsługiwać podatne na ataki zestawy szyfrów (od czerwca 2020 r. Wszystkie główne przeglądarki je usunęły).

Internet rzeczy (podatnych na zagrożenia), wydanie do kawy

Chociaż powyższa historia nie była faktycznie o atakach szopów, ta historia naprawdę dotyczy ekspresów do kawy. Dokładniej, artykuł Dana Goodina w Ars Technica jest o tym, jak ekspres do kawy został zamieniony w „maszynę do okupu” wykorzystując typowe słabości urządzeń Internetu rzeczy (IoT).

Zasadniczo iKettle (źle nazwany) Smarter produktów od dawna jest celem dla tych, którzy chcą zilustrować niebezpieczeństwa związane z urządzeniami, które łatwo zhakować. Od 2015 r. Wersje czajnika zostały zdalnie zarekwirowane poprzez inżynierię odwrotną. Chociaż od tego czasu firma wydała nową wersję puli, stare są nadal w użyciu, a chłopcze, czy są podatne na ataki „po wyjęciu z pudełka”, co w artykule. Niedawno programista o nazwisku Martin Hron postanowił przetestować granice tego, jak mogłoby wyglądać naruszenie bezpieczeństwa w dzbanku do kawy w najgorszym przypadku:

Kiedy Hron po raz pierwszy podłączył swój inteligentny ekspres do kawy, odkrył, że natychmiast działał jako punkt dostępu Wi-Fi, który wykorzystywał niezabezpieczone połączenie do komunikacji z aplikacją na smartfony. Aplikacja z kolei służy do konfiguracji urządzenia i, jeśli użytkownik wybierze, podłącza je do domowej sieci Wi-Fi. Bez szyfrowania badacz nie miał problemu z nauczeniem się, w jaki sposób telefon sterował ekspresem do kawy, a ponieważ nie było też uwierzytelniania, jak fałszywa aplikacja telefoniczna może zrobić to samo.
Ta możliwość nadal pozostawiła Hronowi tylko małe menu poleceń, z których żadne nie było szczególnie szkodliwe. Następnie zbadał mechanizm używany przez ekspres do kawy do otrzymywania aktualizacji oprogramowania. Okazało się, że otrzymano je z telefonu - zgadłeś - bez szyfrowania, uwierzytelniania i podpisywania kodu.

Na blogu znajduje się obszerny post na temat włamania do ekspresu do kawy „Świeży zapach wykupionej kawy. ” Jest także zabawny film demonstrując chaos, który powstał w wyniku wykorzystania luk w zabezpieczeniach ekspresu do kawy. Chociaż jest mało prawdopodobne, aby taki atak wkrótce dotarł do czyjejś kuchni, warto przypomnieć, że „inteligentny” oznacza więcej niż „wygodny”.