Resumo de segurança de dezembro de 2019

Boas festas de SSL.com! Esperamos que todos tenham tido um feliz e próspero 2019 e estejam ansiosos por grandes coisas em 2020 (assim como nós)! Em nosso resumo final do ano, falaremos sobre:

  • Um “seguro” aplicativo de mensagens que acabou por ser uma ferramenta para espionagem do governo
  • Expiração do certificado autoassinado da Cisco emitem
  • Novo registros para fatoração de chave RSA e computação discreta de logaritmo

E quando terminar aqui, verifique também nosso Novo artigo sobre o que as autoridades de certificação (CAs) fazem e quão difícil é ser uma delas!

O aplicativo de mensagens ToTok é a ferramenta de espionagem dos Emirados Árabes Unidos

Em 22 de dezembro, o New York Times relatado que um popular aplicativo de mensagens ToTok também é uma ferramenta de espionagem usada pelo governo dos Emirados Árabes Unidos (EAU) para “tentar rastrear todas as conversas, movimentos, relacionamentos, compromissos, sons e imagens de quem o instala em seus telefones”. Os cidadãos dos Emirados foram atraídos pelo aplicativo porque os Emirados Árabes Unidos bloqueiam a funcionalidade de aplicativos de mensagens criptografadas, como WhatsApp e Skype.

O ToTok foi revelado ao Times como uma ferramenta de espionagem tanto por funcionários dos EUA que viram uma avaliação secreta da inteligência, quanto por um especialista em segurança digital anônimo que disse ter obtido as informações de "altos funcionários dos Emirados". O aplicativo, que se autodenomina “seguro” apesar de não fazer alegações de criptografia ponta a ponta, também foi amplamente promovido pela empresa de telecomunicações chinesa Huawei.

O Apple Google já removeu o ToTok de suas lojas de aplicativos, mas o aplicativo já foi baixado milhões de vezes pelos usuários.

O caminho de SSL.com: Se você instalou este aplicativo, exclua-o imediatamente e tenha cuidado com os aplicativos que instalar e os privilégios concedidos a eles para acessar sua localização e outros dados pessoais. Como apontado por outro recente New York Times peça, “Seu smartphone é uma das ferramentas de vigilância mais avançadas do mundo” e esses recursos não se limitam a fornecer anúncios “relevantes”.

Certificados autoassinados em muitos dispositivos Cisco prestes a expirar

Aviso de campo da Cisco FN-70498 (20 de dezembro de 2019) avisa os usuários que os certificados X.509 autoassinados em dispositivos que executam versões afetadas do software Cisco IOS ou IOS XE expirarão à meia-noite de 1º de janeiro de 2020. Além disso, novos certificados autoassinados não podem ser criados nesses dispositivos após essa data, a menos que uma atualização de software seja aplicada.

Depois de atualizar o software do dispositivo, todos os certificados autoassinados devem ser regenerados e exportados para quaisquer dispositivos que o requeiram em seu armazenamento confiável.

A Cisco observa que:

Esse problema afeta apenas os certificados autoassinados que foram gerados pelo dispositivo Cisco IOS ou Cisco IOS XE e aplicados a um serviço no dispositivo. Os certificados gerados por uma autoridade de certificação (CA), que inclui os certificados gerados pelo recurso de CA do Cisco IOS, não são afetados por esse problema.

Após o anúncio da Cisco, Laboratórios Rapid7 usava Sonar escaneie os dados para identificar “mais de 80,000 dispositivos Cisco que provavelmente serão afetados por este problema de expiração.” O seu poderia estar entre eles?

O caminho de SSL.com: Certamente, atualize seu software se esse problema o afetar, mas gostamos da primeira solução alternativa sugerida pela Cisco, “Instale um certificado de um CA ”, ainda melhor.

Novo registro de quebra de chave da RSA

Dan Goodin na Ars Technica relatórios que uma equipe de pesquisadores liderada por Emmanuel Thomé, do Instituto Nacional de Ciência da Computação e Matemática Aplicada da França, estabeleceu novos recordes ao fatorar o "maior tamanho de chave RSA já calculado e um cálculo correspondente do maior logaritmo discreto de número inteiro". Os registros consistem na fatoração do RSA-240 (795 bits) e no cálculo de um logaritmo discreto do mesmo tamanho.

Esses registros não se devem apenas a lei de Moore (a tendência do número de transistores nos CIs dobrar a cada dois anos), pois os ganhos de velocidade computacional são maiores do que os previstos apenas por melhorias incrementais de hardware. Em vez disso, os pesquisadores creditam melhorias na implementação do software do algoritmo Number Field Sieve usado para realizar os cálculos:

Para demonstrar o aumento da eficiência, os pesquisadores executaram seu software em hardware idêntico ao usado para calcular o logaritmo discreto de 768 bits em 2016. Eles descobriram que usar o hardware antigo para peneirar o tamanho recorde de 795 bits levaria 25% menos tempo do que o mesmo equipamento necessário para executar o cálculo do DLP de 768 bits.

O caminho de SSL.com: Concordamos com Nadia Heninger (uma pesquisadora da equipe de recordes), que as “sugestões para os profissionais são basicamente que esperamos que eles tenham seguido os conselhos para mudar para pelo menos 2048 bits RSA, Diffie-Hellman ou DSA. há vários anos, o que os manteria a salvo de qualquer uma dessas melhorias. ”

 

Obrigado por escolher SSL.com! Se você tiver alguma dúvida, entre em contato conosco por e-mail em Support@SSL.com, ligar 1-877-SSL-SECUREou clique no link de bate-papo no canto inferior direito desta página.


Inscreva-se no boletim informativo de SSL.com

Não perca novos artigos e atualizações de SSL.com

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.