Witamy w wydaniu SSL.com Security Roundup z listopada 2019 r., W którym przedstawiamy wybrane zmiany dotyczące SSL.com w miesiącu /TLS, certyfikaty cyfrowe i bezpieczeństwo sieci! W tej edycji omówimy:
- TPM-FAIL: nowo odkryty luki w układach TPM opartych na oprogramowaniu firmy Intel i układach TPM firmy STMicroelectronics
- Delegowane poświadczenia dla TLS
- Europie brak Adresy IPv4
- Połączenia naruszenie wielu rejestratorów nazw domen
AWARIA TPM
Sirgiu Gatlan z Bleeping Computer Raporty że zespół badawczy z Worcester Polytechnic Institute, University of Lübeck i University of California w San Diego odkrył dwie luki w zabezpieczeniach układów TPM opartych na oprogramowaniu Intel (fTPM) i TPM (Trusted Platform Module) firmy STMicroelectronics.
Luki te zostały nazwane AWARIA TPM przez naukowców, pozwól napastnikom odzyskać przechowywane prywatne klucze kryptograficzne. Na Strona TPM-FAILnaukowcy twierdzą, że:
Odkryliśmy wyciek czasu w układzie TPM opartym na oprogramowaniu Intel (fTPM), a także w układzie TPM firmy STMicroelectronics. Oba mają czasy wykonania zależne od sekretu podczas generowania podpisu kryptograficznego. Chociaż klucz powinien pozostać bezpiecznie wewnątrz sprzętu TPM, pokazujemy, jak te informacje pozwalają atakującemu odzyskać 256-bitowe klucze prywatne ze schematów podpisów cyfrowych opartych na krzywych eliptycznych.
Pokazane ataki są praktyczne, jak twierdzą naukowcy
Lokalny przeciwnik może odzyskać klucz ECDSA z Intel fTPM w ciągu 4-20 minut, w zależności od poziomu dostępu. Pokazujemy nawet, że ataki te można przeprowadzać zdalnie w szybkich sieciach, odzyskując klucz uwierzytelniający serwera wirtualnej sieci prywatnej (VPN) w ciągu 5 godzin.
Gatlan zauważa, że „podatny na atak Intel fTPM… jest używany przez zdecydowaną większość producentów komputerów, w tym między innymi Dell, HP i Lenovo” i „jest również szeroko stosowany przez Platforma Intel Internet of Things (IoT) rodzina produktów stosowanych w przemyśle, służbie zdrowia, inteligentnych miastach i połączonych pojazdach ”.
Intel wydał łata do oprogramowania wewnętrznego fTPM, aby naprawić luki w zabezpieczeniach TPM-FAIL, a firma STMicroelectronics wydała układ TPM odporny na TPM-FAIL.
Delegowane poświadczenia dla TLS
1 listopada Cloudflare ogłosił wsparcie dla poświadczeń delegowanych dla TLS, nowy protokół kryptograficzny opracowany we współpracy z Facebookiem i Mozillą. Poświadczenia delegowane mają na celu ułatwienie SSL /TLS wdrożenie w wielu globalnych punktach końcowych, takich jak sieć dostarczania treści (CDN). Według Cloudflare delegowana referencja to:
krótkotrwały klucz, który właściciel certyfikatu przekazał do użytku TLS. Działają jak pełnomocnictwo: Twój serwer upoważnia nasz serwer do rozwiązania umowy TLS przez ograniczony czas. Kiedy przeglądarka obsługująca ten protokół łączy się z naszymi serwerami brzegowymi, możemy pokazać mu tę „pełnomocnictwo”, zamiast konieczności sięgania do serwera klienta w celu uzyskania autoryzacji TLS połączenie. Zmniejsza to opóźnienia i poprawia wydajność i niezawodność.
Ponieważ delegowane poświadczenia są okresowo wypychane do serwerów brzegowych CDN przed wygaśnięciem poprzedniego poświadczenia, system unika opóźnień związanych z protokołami ściągającymi, takimi jak Bezkluczykowy SSL. Możesz przeczytać ogłoszenia Facebooka i Mozilli dotyczące delegowanych danych uwierzytelniających tutaj i tutajodpowiednio i uzyskaj pełne informacje z IETF projekt specyfikacji.
Kończy się adres IPv4
RIPE (europejski regionalny rejestr internetowy) ogłosił 25 listopada nie ma już żadnych adresów IPv4
dokonaliśmy ostatecznej alokacji / 22 IPv4 z ostatnich pozostałych adresów w naszej dostępnej puli. Skończyły nam się adresy IPv4.
RIPE twierdzi, że nawet jeśli nie mają adresów IPv4, będą nadal odzyskiwać więcej w przyszłości „od organizacji, które wypadły z biznesu lub zostały zamknięte, lub z sieci, które zwracają adresy, których już nie potrzebują” i będą je udostępniać się do Lokalne rejestry internetowe (LIR) za pośrednictwem listy oczekujących.
Naruszono wielu rejestratorów nazw domen
Steve Dent w Engadget Raporty że Web.com i jej spółki zależne NetworkSolutions.com i Register.com zostały naruszone przez atakujących pod koniec sierpnia 2019 r.
Według Web.com, włamanie dotyczyło „ograniczonej liczby jej systemów komputerowych”, „żadne dane karty kredytowej nie zostały naruszone” oraz że nie wierzą, że przechowywane, zaszyfrowane hasła są podatne na ataki (ale klienci powinni je zmienić) . Jednak osoby atakujące mogły być w stanie zebrać dane kontaktowe, takie jak „imię i nazwisko, adres, numery telefonów, adresy e-mail i informacje o usługach, które oferujemy danemu właścicielowi konta”.
Dent zauważa, że kompromis rejestru nazw domen może mieć tragiczne konsekwencje:
Na przykład hakerzy raz zagrożony rejestrator nazw domen brazylijskiego banku i przekierowywał użytkowników do podobnych witryn, które wykradały ich dane uwierzytelniające i instalowały złośliwe oprogramowanie. „Jeśli Twój DNS jest pod kontrolą cyberprzestępców, w zasadzie masz przerąbane” - powiedział Dmitrij Bestuzhev z Kaspersky Przewodowa o incydencie.