Сентябрь 2020 г. Обзор безопасности

Добро пожаловать в сентябрьский выпуск ежемесячного обзора безопасности SSL.com! Сегодня мы поговорим о:

• Совершенно новый SSL.com Новостную рассылку
• Изменения в CA / B Forum Рекомендации EV SSL
• Планы России по запретить протоколы которые скрывают адресат интернет-трафика
• Ассоциация Енот Атака on TLS версии 1.2 и ранее
• небезопасный Интернет вещей (IoT) практиками
  

Объявление о новостной рассылке SSL.com!

SSL.com с радостью представляет нашу новую ежемесячную рассылку по электронной почте! Каждый месяц мы будем присылать вам новости и информацию об интернет-безопасности, PKI, а также цифровые сертификаты, а также информацию о новых продуктах и ​​услугах, предлагаемых SSL.com. Чтобы зарегистрироваться, просто заполните форму ниже. (Вы можете легко отказаться от подписки в любое время, нажав на отказаться от подписки ссылка в каждом электронном письме, которое мы отправляем.):

Бюллетень для голосования на форуме CA / B SC30: изменения в рекомендациях по сертификатам EV SSL

В новостях, представляющих интерес для SSL.com ЕВ SSL клиентам, текущая версия (1.7.3) CA / Browser Forum's Рекомендации по сертификатам EV SSL, вступивший в силу 20 августа 2020 г., содержит ряд новых требований. В частности, как описано на форуме CA / B Бюллетень SC30центры сертификации (ЦС), такие как SSL.com, теперь должны публиковать список агентств регистрации и регистрации, которые они используют при проверке запросов сертификатов EV SSL. (Этот шаг соответствует более широкой цели - сделать источники валидации EV согласованными между центрами сертификации.)

В результате SSL.com опубликует список источников информации, которые мы используем при проверке сертификатов EV для предприятий и других организаций. Когда мы не можем найти организацию заявителя в нашем текущем списке источников, мы попытаемся найти другой жизнеспособный источник информации и добавить его в наш опубликованный список перед проверкой заказа и выдачей сертификата.

Россия планирует запретить протоколы, скрывающие назначения трафика

Эта история может показаться знакомой, если вы всегда были в курсе новостей цифровой безопасности. Фактически, в прошлом месяце мы сообщили на истории о том, что «Великий брандмауэр» Китая теперь блокирует трафик HTTPS, который использует TLS 1.3 и ENSI (зашифрованное указание имени сервера), чтобы упростить китайским цензорам возможность видеть, какие сайты пытаются посетить граждане, и контролировать доступ к этим сайтам.

Этот месяц, доклад Каталин Чимпану в ZDNet пояснили, что Россия теперь пытается запретить использование некоторых протоколов с обновлением законов о технологиях, которое «сделало бы незаконным использование протоколов шифрования, которые полностью скрывают пункт назначения трафика». Как отмечено в статье, эти протоколы будут включать TLS 1.3, DoH, DoT и ESNI. Причина, конечно же, очень похожа на аргументацию запрета Китая - протоколы препятствуют слежке и цензуре со стороны государства. Из статьи:

Россия не использует национальную систему сетевой защиты, но московский режим полагается на систему, называемую СОРМ что позволяет правоохранительным органам перехватывать интернет-трафик для правоохранительных целей прямо у источника, в центрах обработки данных телекоммуникационных компаний.
Кроме того, министерство связи России, Роскомнадзор, де-факто использует национальный межсетевой экран через свои регулирующие полномочия в отношении местных интернет-провайдеров. В течение последнего десятилетия Роскомнадзор запрещал веб-сайты, которые он считал опасными, и просил интернет-провайдеров фильтровать их трафик и блокировать доступ к соответствующим сайтам.
Доступно TLS 1.3, DoH, DoT и ESNI становятся все более популярными, все существующие в России инструменты наблюдения и цензуры станут бесполезными, поскольку они полагаются на доступ к идентификаторам веб-сайтов, которые утекают из зашифрованного веб-трафика.

В настоящее время закон находится на рассмотрении, ожидает отклика общественности и вернется на голосование в начале октября. ZDNet отмечает, что, учитывая климат, «почти наверняка поправка будет принята».

Новые TLS Атака: Енот

У нас уже есть блоге об «атаке енота», но стоит упомянуть еще раз, поскольку атака может позволить третьим сторонам взломать SSL /TLS шифрование для чтения сообщений, предназначенное для обеспечения безопасности. Как объясняется в недавно опубликованном академическая работа, атака использует временную уязвимость в TLS версии 1.2 и более ранние и могут расшифровывать сообщения, которые включают имена пользователей, пароли, данные кредитных карт и другую конфиденциальную информацию. Из нашего сообщения в начале этого месяца:

Хотя это звучит устрашающе, имейте в виду, что эта атака может иметь место только при очень определенных и редких обстоятельствах: сервер должен повторно использовать общедоступные ключи Диффи-Хеллмана в рукопожатие (уже считается плохой практикой), и злоумышленник должен иметь возможность производить точные измерения времени. Кроме того, браузер должен поддерживать уязвимые наборы шифров (по состоянию на июнь 2020 года все основные браузеры отказались от них).

Интернет (уязвимых) вещей, Coffee Maker Edition

Хотя рассказ выше не был на самом деле про нападения енотов, эта история действительно про кофеварки. Точнее, статья Дэна Гудина в Ars Technica о том, как кофеварка была превращена в «машину для выкупа» за счет использования общих недостатков устройств Интернета вещей (IoT).

По сути, iKettle (плохо названный) продуктов Smarter уже давно является целью для тех, кто хочет проиллюстрировать опасности легко взламываемых устройств. С 2015 года версии чайника были удаленно реквизированы через обратный инжиниринг. Хотя с тех пор компания выпустила новую версию пота, старые до сих пор используются, и, черт возьми, они уязвимы для атак «из коробки», как отмечается в статье. Недавно программист по имени Мартин Хрон решил проверить пределы того, как может выглядеть нарушение безопасности кофейника в худшем случае:

Когда Хрон впервые подключил свою кофеварку Smarter, он обнаружил, что она сразу же действует как точка доступа Wi-Fi, которая использует незащищенное соединение для связи с приложением для смартфона. Приложение, в свою очередь, используется для настройки устройства и, если пользователь выберет, подключения его к домашней сети Wi-Fi. Без шифрования у исследователя не было проблем с изучением того, как телефон управляет кофеваркой, и, поскольку не было аутентификации, как мошенническое приложение для телефона могло делать то же самое.
Эта возможность оставила Хрону лишь небольшое меню команд, ни одна из которых не была особенно опасной. Затем он изучил механизм, который кофеварка использовала для получения обновлений прошивки. Оказалось, что они были получены с телефона, как вы уже догадались, без шифрования, аутентификации и подписи кода.

В блоге есть обширный пост о хакерской работе с кофеваркой под названием «Свежий запах выкупленного кофе. » Есть также забавное видео демонстрируя хаос, возникший в результате использования уязвимостей кофемашины. Хотя маловероятно, что подобная атака скоро дойдет до чьей-либо кухни, это хорошее напоминание о том, что «умный» означает больше, чем «удобный».