Resumo de segurança de novembro de 2019

Bem-vindo à edição de novembro de 2019 do Security Roundup de SSL.com, onde apresentamos uma seleção dos desenvolvimentos do mês em SSL /TLS, certificados digitais e segurança de rede! Nesta edição, abordaremos:

FALHA TPM

Sirgiu Gatlan na Bleeping Computer relatórios que uma equipe de pesquisa do Worcester Polytechnic Institute, da University of Lübeck e da University of California, San Diego descobriu duas vulnerabilidades nos chips TPM (fTPM) baseados em firmware da Intel e TPM (Trusted Platform Module) da STMicroelectronics.

Essas vulnerabilidades, apelidadas de FALHA TPM pelos pesquisadores, permitem que os invasores recuperem chaves criptográficas privadas armazenadas. No Site do TPM-FAIL, os pesquisadores afirmam que:

Descobrimos vazamento de tempo no TPM baseado em firmware da Intel (fTPM), bem como no chip TPM da STMicroelectronics. Ambos exibem tempos de execução dependentes do segredo durante a geração da assinatura criptográfica. Embora a chave deva permanecer com segurança dentro do hardware TPM, mostramos como essas informações permitem que um invasor recupere chaves privadas de 256 bits de esquemas de assinatura digital baseados em curvas elípticas.

Os ataques demonstrados são práticos, pois os pesquisadores também afirmam que

Um adversário local pode recuperar a chave ECDSA do Intel fTPM em 4-20 minutos, dependendo do nível de acesso. Mostramos até que esses ataques podem ser realizados remotamente em redes rápidas, recuperando a chave de autenticação de um servidor de rede virtual privada (VPN) em 5 horas.

Gatlan observa que "O Intel fTPM vulnerável ... é usado pela grande maioria dos fabricantes de computadores, incluindo, mas não se limitando a Dell, HP e Lenovo", e "também é amplamente usado por Plataforma Intel Internet das Coisas (IoT) família de produtos usados ​​na indústria, saúde, cidades inteligentes e veículos conectados. ”

A Intel emitiu um remendo ao firmware fTPM para corrigir as vulnerabilidades do TPM-FAIL, e a STMicroelectronics emitiu um chip TPM resistente ao TPM-FAIL.

Conclusão de SSL.com: Qualquer pessoa com suas chaves privadas pode roubar sua identidade. É muito provável que você possua pelo menos um dispositivo afetado por essas vulnerabilidades - verifique com o fabricante do dispositivo se há atualizações de firmware.

Credenciais delegadas para TLS

Em 1º de novembro, o Cloudflare anunciou suporte para credenciais delegadas para TLS, um novo protocolo criptográfico desenvolvido em colaboração com o Facebook e a Mozilla. As credenciais delegadas têm como objetivo facilitar SSL /TLS implantação em vários terminais globais, como em uma rede de distribuição de conteúdo (CDN). De acordo com a Cloudflare, uma credencial delegada é:

uma chave de curta duração que o proprietário do certificado delegou para uso em TLS. Eles funcionam como uma procuração: seu servidor autoriza nosso servidor a encerrar TLS por um tempo limitado. Quando um navegador que oferece suporte a este protocolo se conecta aos nossos servidores de ponta, podemos mostrar a ele esta "procuração", em vez de precisar entrar em contato com o servidor do cliente para obter a autorização para o TLS conexão. Isso reduz a latência e melhora o desempenho e a confiabilidade.

Como as credenciais delegadas são periodicamente enviadas aos servidores de borda do CDN antes que a credencial anterior expire, o sistema evita a latência associada a protocolos baseados em pull, como SSL sem chave. Você pode ler os anúncios do Facebook e da Mozilla sobre credenciais delegadas SUA PARTICIPAÇÃO FAZ A DIFERENÇA e SUA PARTICIPAÇÃO FAZ A DIFERENÇA, respectivamente, e obtenha detalhes completos da IETF rascunho da especificação.

Conclusão de SSL.com: Estamos interessados ​​em qualquer desenvolvimento que facilite a implementação global segura e eficiente de SSL /TLS, e acompanharemos esta tecnologia de perto enquanto ela se desenvolve.

Endereços IPv4 acabando

RIPE (registro regional da Internet da Europa) anunciou em 25 de novembro, eles não têm mais endereços IPv4 restantes

fizemos nossa alocação final / 22 IPv4 a partir dos últimos endereços restantes em nosso pool disponível. Agora ficamos sem endereços IPv4.

RIPE diz que mesmo que eles estejam sem endereços IPv4, eles continuarão a se recuperar mais no futuro “de organizações que fecharam ou fecharam, ou de redes que retornam endereços de que não precisam mais” e os distribuirá sair para Registros locais na Internet (LIRs) por meio de uma lista de espera.

Conclusão de SSL.com: IPv6 usa endereços de 128 bits, em comparação com os 4 bits do IPv32, resultando em 7.9 × 1028 vezes tantos endereços possíveis quanto IPv4. Concordamos com RIPE que “sem a implantação do IPv6 em larga escala, corremos o risco de entrar em um futuro em que o crescimento de nossa Internet é desnecessariamente limitado”.

Vários registradores de nomes de domínio violados

Steve Dent na Engadget relatórios que o Web.com e suas subsidiárias NetworkSolutions.com e Register.com foram violados por invasores no final de agosto de 2019.

De acordo com Web.com, a violação envolveu um "número limitado de seus sistemas de computador", que "nenhum dado de cartão de crédito foi comprometido" e que eles não acreditam que senhas armazenadas e criptografadas sejam vulneráveis ​​(mas que os clientes devem alterá-las) . No entanto, os invasores podem ter conseguido coletar detalhes de contato, como “nome, endereço, números de telefone, endereços de e-mail e informações sobre os serviços que oferecemos a um determinado titular de conta”.

Dent observa que o comprometimento de um registro de nome de domínio tem consequências potencialmente terríveis:

Por exemplo, hackers uma vez comprometido o registrador de nomes de domínio de um banco brasileiro e usuários redirecionados para sites semelhantes que roubaram suas credenciais e instalaram malware. “Se o seu DNS está sob o controle de cibercriminosos, você está basicamente ferrado”, disse Dmitry Bestuzhev da Kaspersky Wired sobre o incidente.

Conclusão de SSL.com: Se você foi afetado por essa violação, verifique seus registros DNS e altere sua senha.
Obrigado por visitar SSL.com, onde acreditamos que um mais segura Internet é uma better Internet! Você pode entrar em contato conosco por e-mail em Support@SSL.com, ligar 1-877-SSL-SECUREou clique no link de bate-papo no canto inferior direito desta página.


Inscreva-se no boletim informativo de SSL.com

Não perca novos artigos e atualizações de SSL.com

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.