Välkommen till november 2019: s utgåva av SSL.coms säkerhetsrunda, där vi presenterar ett urval av månadens utveckling inom SSL /TLS, digitala certifikat och nätverkssäkerhet! I den här utgåvan kommer vi att täcka:
- TPM-FAIL: nyupptäckt sårbarheter i Intel-firmwarebaserade TPM och STMicroelectronics TPM-chips
- Delegerade referenser för TLS
- Europas brist på IPv4-adresser
- Smakämnen bryter mot av flera domännamnsregistratorer
TPM-FAIL
Sirgiu Gatlan på Bleeping Computer rapporter att ett forskargrupp från Worcester Polytechnic Institute, University of Lübeck och University of California, San Diego har upptäckt två sårbarheter i Intel-firmwarebaserade TPM (fTPM) och STMicroelectronics TPM-chips (Trusted Platform Module).
Dessa sårbarheter, dubblerade TPM-FAIL av forskarna, låt angriparna återfå lagrade privata kryptografiska nycklar. På TPM-FAIL webbplatssäger forskarna att:
Vi upptäckte timingläckage på Intel-firmwarebaserade TPM (fTPM) såväl som i STMicroelectronics TPM-chip. Båda uppvisar hemliga beroende körningstider under kryptografisk signaturgenerering. Medan nyckeln ska förbli säkert inne i TPM-hårdvaran, visar vi hur den här informationen tillåter en angripare att återställa 256-bitars privata nycklar från digitala signaturscheman baserat på elliptiska kurvor.
De demonstrerade attackerna är praktiska, eftersom forskarna också hävdar att
En lokal motståndare kan återställa ECDSA-nyckeln från Intel fTPM på 4-20 minuter beroende på åtkomstnivå. Vi visar till och med att dessa attacker kan utföras på distans i snabba nätverk genom att återställa autentiseringsnyckeln för en virtuell privat nätverksserver (VPN) på fem timmar.
Gatlan noterar att "Den sårbara Intel fTPM ... används av de allra flesta datortillverkare, inklusive men inte begränsat till Dell, HP och Lenovo," och används också " Intel Internet of Things (IoT) -plattform produktfamilj som används inom industri, sjukvård, smarta städer och anslutna fordon. ”
Intel har utfärdat en plåster till deras fTPM-firmware för att fixa TPM-FAIL-sårbarheterna, och STMicroelectronics har utfärdat ett TPM-FAIL-resistent TPM-chip.
Delegerade referenser för TLS
Den 1 november, Cloudflare meddelade stöd för delegerade referenser för TLS, ett nytt kryptografiskt protokoll utvecklat i samarbete med Facebook och Mozilla. Delegerade referenser är avsedda att underlätta SSL /TLS distribution över flera globala slutpunkter, till exempel i ett innehållsleveransnätverk (CDN). Enligt Cloudflare är en delegerad referens:
en kortvarig nyckel som certifikatets ägare har delegerat för användning i TLS. De fungerar som en fullmakt: din server bemyndigar vår server att avslutas TLS under en begränsad tid. När en webbläsare som stöder detta protokoll ansluter till våra kantservrar kan vi visa den här "fullmakt" istället för att behöva nå tillbaka till en kunds server för att få den att godkänna TLS förbindelse. Detta minskar latens och förbättrar prestanda och tillförlitlighet.
Eftersom delegerade referenser regelbundet skjuts till CDNs kantservrar innan den tidigare referensen upphör, undviker systemet den latens som är associerad med pull-baserade protokoll som Nyckellös SSL. Du kan läsa Facebook och Mozillas meddelanden om delegerade referenser här. och här.respektive och få fullständig information från IETF utkast av specifikationen.
IPv4-adresser tar slut
RIPE (Europas regionala internetregister) meddelade den 25 november att de inte har fler IPv4-adresser kvar
Vi gjorde vår slutliga / 22 IPv4-tilldelning från de sista återstående adresserna i vår tillgängliga pool. Vi har nu slut på IPv4-adresser.
RIPE säger att även om de saknar IPv4-adresser kommer de att fortsätta att återhämta sig mer i framtiden "från organisationer som har gått ur drift eller stängts, eller från nätverk som returnerar adresser som de inte längre behöver", och kommer att utdela dem ut till Lokala Internetregister (LIRs) via en väntelista.
Registratorer för flera domännamn bryts
Steve Dent på Engadget rapporter att Web.com och dess dotterbolag NetworkSolutions.com och Register.com bröts av angripare i slutet av augusti 2019.
Enligt Web.com involverade överträdelsen ett "begränsat antal av dess datorsystem", att "inga kreditkortsuppgifter komprometterades" och att de inte tror att lagrade, krypterade lösenord är sårbara (men att kunderna bör ändra dem) . Angriparna kan dock ha kunnat samla in kontaktuppgifter som ”namn, adress, telefonnummer, e-postadresser och information om de tjänster vi erbjuder till en viss kontoinnehavare.”
Dent konstaterar att kompromissen med ett domännamnsregister kan ha allvarliga konsekvenser:
Till exempel hackare en gång äventyras domännamnsregistratorn för en brasiliansk bank och omdirigerade användare till liknande webbplatser som stal deras referenser och installerade skadlig kod. "Om din DNS är under kontroll av cyberbrottslingar är du i grund och botten", berättade Kasperskys Dmitry Bestuzhev Trådbunden om händelsen.