SSL.com życzy wszystkim naszym klientom i odwiedzającym szczęśliwego, bezpiecznego i zdrowego sezonu wakacyjnego oraz pomyślnego roku 2021! Mamy nadzieję, że nowy rok okaże się nieco krótszy, hm… ciekawy niż rok 2020 był w pewnym sensie, ale jesteśmy pewni, że nie minie miesiąc bez ważnych wiadomości ze świata bezpieczeństwa sieci, certyfikatów cyfrowych i PKI.
Luka w zabezpieczeniach OpenSSL DoS
Omówiliśmy ten problem w blogu wcześniej w tym miesiącu, ale warto to powtórzyć. Bardzo ważna luka w zabezpieczeniach OpenSSL został odkryty, który dotyczy wszystkich wersji OpenSSL 1.0.2 i 1.1.1 starszych niż 1.1.1i. Tę lukę można wykorzystać do przeprowadzenia ataku typu „odmowa usługi” (DoS). OpenSSL 1.1.1iwydany 8 grudnia 2020 r. zawiera poprawkę.
Użytkownicy OpenSSL powinni jak najszybciej zaktualizować swoje instalacje. Istnieją dwie ścieżki zastosowania tej poprawki:
- Użytkownicy OpenSSL 1.1.1 i nieobsługiwani użytkownicy 1.0.2 powinni dokonać aktualizacji do wersji 1.1.1i.
- Klienci korzystający z pomocy technicznej Premium korzystający z OpenSSL 1.0.2 powinni dokonać aktualizacji do wersji 1.0.2x.
OpenSSL jest obecnie zainstalowany na większości serwerów internetowych HTTPS. Możesz przeczytać więcej o luce w zabezpieczeniach SSL.com blog, oraz w OpenSSL Project's Poradnik bezpieczeństwa.
Cloudflare opowiada się za nowymi protokołami prywatności
Tim Anderson zgłaszane w Rejestrze, że Cloudflare „naciska na przyjęcie nowych protokołów internetowych, jak twierdzi, umożliwi„ Internet z poszanowaniem prywatności ”. Protokoły te obejmują DNS przez HTTPS (DoH), dodatkowe szyfrowanie dla TLS uścisk rękioraz ulepszenia zabezpieczeń dotyczące obsługi haseł użytkowników.
Nieświadomy DoH
DNS przez HTTPS (DoH) rozwiązuje słabe ogniwo prywatności w Internecie, szyfrując zapytania i odpowiedzi DNS, które w przeszłości były wysyłane jako zwykły tekst. Nieświadomy DoH (ODoH) idzie o krok dalej w ochronie prywatności DNS, uniemożliwiając serwerom DoH poznanie adresu IP klienta:
Istotą ODoH jest to, że wprowadza sieciowe proxy między klientem a serwerem DoH. Serwer proxy nie ma wglądu w zapytanie DNS, które może odczytać tylko serwer DoH. Serwer nie ma wiedzy o adresie IP klienta. Zapytanie jest prywatne, pod warunkiem, że serwer proxy i serwer nie działają w zmowie.
Cloudflare zadeklarowało już wsparcie dla ODoH, które zostało opracowane przez inżynierów z Cloudflare, Apple i Fastly. Możesz dowiedzieć się więcej, sprawdzając ich papier na arxiv.org.
Zaszyfrowany klient Hello (ECH)
Zaszyfrowany klient Hello (ECH) oferuje ulepszone szyfrowanie uzgadniania w TLSwykraczając poza Zaszyfrowany SNI (ESNI), który chroni tylko wskazanie nazwy serwera (SNI) w TLS uścisk ręki. Inżynier badawczy Cloudflare, Christopher Patton pisze,,
Chociaż ESNI zrobiło znaczący krok naprzód, nie osiąga naszego celu, jakim jest osiągnięcie pełnego szyfrowania uzgadniania. Oprócz tego, że jest niekompletny - chroni tylko SNI - jest podatny na garść wyrafinowanych ataków, które, choć trudne do zrealizowania, wskazują na teoretyczne słabości projektu protokołu, którymi należy się zająć.
...
Ostatecznie celem ECH jest zapewnienie tego TLS połączenia nawiązane z różnymi serwerami źródłowymi za tym samym dostawcą usług ECH są nie do odróżnienia.
Nic dziwnego, ponieważ ECH „ma pełny sens tylko w połączeniu z DoH i w kontekście CDN (sieci dystrybucji treści),” Cloudflare „postrzega siebie jako prawdopodobnego dostawcę ECH”. Możesz przeczytać więcej o ECH w IETF projekt wniosku.
OPAQUE Hasła
OPAQUE passwords - „rodzaj gry słów na Oblivious Pseudo-Random Function (OPRF) w połączeniu z Password Authenticated Key Exchange (PAKE)” - to mechanizm pozwalający całkowicie uniknąć przesyłania hasła użytkownika na serwer. OPAQUE osiąga to poprzez „wspólne obliczenie przez serwer i klienta solonego hasha do porównania przy użyciu pośredniej drugiej soli. Dzięki temu serwer nie może poznać hasła użytkownika podczas uwierzytelniania, a użytkownik nie poznaje tajnej soli serwera ”.
Więcej informacji na temat haseł OPAQUE można znaleźć w ten papier [Link do pliku PDF] autorstwa naukowców z Uniwersytetu Kalifornijskiego, Irvine i IBM oraz inżyniera Cloudflare Tatiany Bradley blogu.
Wyciekły poświadczenia FTP prawdopodobnie związane z atakiem SolarWinds
O ile nie spędzałeś ostatnich kilku tygodni w odległej kabinie poza siecią (niezły pomysł, kiedy o tym myślimy), prawdopodobnie słyszałeś już sporo o atak na łańcuch dostaw które zagroziły oprogramowaniu do monitorowania Orion firmy SolarWinds i wielu jego użytkownikom w rządzie i przemyśle. 16 grudnia Raviego Lakshmanana historia w Hacker News omawia, w jaki sposób osoby atakujące „prawdopodobnie zdołały naruszyć kompilację oprogramowania i infrastrukturę do podpisywania kodu platformy SolarWinds Orion już w październiku 2019 r., aby dostarczyć złośliwego backdoora przez proces wydawania oprogramowania”.
Pomysł… polegał na skompromitowaniu systemu kompilacji, po cichu wstrzyknięciu własnego kodu do kodu źródłowego oprogramowania, oczekiwaniu na kompilację, podpisanie pakietów i wreszcie sprawdzenie, czy ich modyfikacje pojawiają się w nowo wydanych aktualizacjach zgodnie z oczekiwaniami.
Oś czasu z października 2019 r. Jest zgodna z badaczem bezpieczeństwa Vinothem Kumerem odkrycie, w listopadzie 2019 r., z publicznego repozytorium GitHub wyciekły dane uwierzytelniające FTP w postaci zwykłego tekstu dla serwera aktualizacji Solarwinds - i że serwer ten był dostępny pod hasłem „solarwinds123”. Przedmiotowe repozytorium było otwarte dla publiczności „od 17 czerwca 2018 r.”, Dając potencjalnym napastnikom mnóstwo czasu na odkrycie i wykorzystanie ujawnionych danych uwierzytelniających.
Oczywiście nie pomogło to, że SolarWinds również doradził użytkownikom wyłączenie środków bezpieczeństwa:
Co gorsza, złośliwy kod dodany do aktualizacji oprogramowania Oriona mógł pozostać niezauważony przez oprogramowanie antywirusowe i inne narzędzia bezpieczeństwa w docelowych systemach dzięki własnemu oprogramowaniu SolarWinds wsparcie doradcze, który stwierdza, że jego produkty mogą nie działać poprawnie, chyba że ich katalogi plików są wyłączone ze skanowania antywirusowego i ograniczeń obiektów zasad grupy (GPO).
