September 2020 säkerhetsrundup

Välkommen till septemberutgåvan av SSL.coms månatliga säkerhetsomgång! Idag ska vi prata om:

• SSL.coms helt nya nyhetsbrev
• Ändringar i CA / B-forum EV SSL-riktlinjer
• Rysslands planer på förbjuda protokoll som döljer destinationen för internettrafik
• Smakämnen Tvättbjörn attack on TLS version 1.2 och tidigare
• Osäkra Internet av saker (IoT) praxis
  

Tillkännager SSL.com-nyhetsbrevet!

SSL.com är stolta över att meddela vårt nya nyhetsbrev per månad! Varje månad skickar vi dig nyheter och information om internetsäkerhet, PKI, och digitala certifikat, tillsammans med information om nya produkter och tjänster som erbjuds av SSL.com. För att registrera dig, fyll i formuläret nedan. (Du kan när som helst avsluta prenumerationen genom att klicka på prenumerationen länk i varje e-postmeddelande vi skickar.):

CA / B-omröstning SC30: Ändringar av EV SSL-certifikatriktlinjer

I nyheter av intresse för SSL.com EV SSL kunder, den aktuella versionen (1.7.3) av CA / Browser Forum Riktlinjer för SSL-certifikat för EV, som trädde i kraft den 20 augusti 2020, har några nya krav. Specifikt, som beskrivs i CA / B Forum Omröstning SC30måste certifikatmyndigheter (SSL), såsom SSL.com, nu publicera listan över registrerings- och inkorporeringsbyråer som de använder när de validerar EV SSL-certifikatförfrågningar. (Flytten är i linje med ett större mål att göra EV-valideringskällor konsekventa mellan CA: er.)

Som ett resultat kommer SSL.com att publicera en lista över de informationskällor vi använder när vi validerar företag och andra organisationer för EV-certifikat. När vi inte kan hitta en sökandes organisation i vår nuvarande källista, försöker vi hitta en annan livskraftig informationskälla och lägga till den i vår publicerade lista innan vi validerar ordern och utfärdar certifikatet.

Ryssland planerar att förbjuda protokoll som döljer trafikens destination

Den här historien kan verka bekant om du har hållit dig uppdaterad om digitala säkerhetsnyheter. Faktum är att förra månaden vi rapporterade på en berättelse att Kinas "Great Firewall" nu blockerar HTTPS-trafik som använder TLS 1.3 och ENSI (Encrypted Server Name Indication) i ett försök att göra det lättare för kinesiska censorer att se vilka webbplatser medborgarna försöker besöka och kontrollera åtkomst till sajterna.

Denna månad, en rapport av Catalin Cimpanu i ZDNet förklarade att Ryssland nu vill förbjuda användningen av vissa protokoll med en uppdatering av teknologilagarna som "skulle göra det olagligt att använda krypteringsprotokoll som helt döljer trafikens destination." Som noteras i artikeln skulle dessa protokoll inkludera TLS 1.3 DoH, DoT och ESNI. Resonemanget är naturligtvis ungefär som resonemanget bakom Kinas förbud - protokollen hindrar statens övervakning och censur. Från artikeln:

Ryssland använder inte ett nationellt brandväggssystem, men Moskva-regimen förlitar sig på ett system som kallas SORM som gör det möjligt för brottsbekämpning att fånga upp internettrafik för brottsbekämpande ändamål direkt vid källan, i telecentraler.
Dessutom har Rysslands telekommunikationsministerium, Roskomnadzor, drivit en de facto nationell brandvägg genom sin regleringsmakt över de lokala Internetleverantörerna. Under det senaste decenniet har Roskomnadzor förbjudit webbplatser som de ansåg farliga och uppmanat Internetleverantörer att filtrera sin trafik och blockera åtkomst till respektive webbplats.
Med TLS 1.3, DoH, DoT och ESNI blir antagna, kommer alla Rysslands nuvarande övervaknings- och censurverktyg att bli värdelösa, eftersom de förlitar sig på att ha tillgång till webbplatsidentifierarna som läcker från krypterad webbtrafik.

Lagen är för närvarande under övervägande, i avvaktan på allmänhetens återkoppling, och återkommer för omröstning i början av oktober. ZDNet noterar att, med tanke på klimatet, "är det nästan säkert att ändringen kommer att godkännas."

Nya TLS Attack: Tvättbjörn

Vi har redan en blogginlägg om ”Raccoon Attack”, men det är värt att nämna igen eftersom attacken kan göra det möjligt för tredje parter att bryta SSL /TLS kryptering för att läsa kommunikation är avsedd att hållas säker. Som förklaras i en nyligen publicerad akademiskt papper, utnyttjar attacken en tidssårbarhet i TLS version 1.2 och tidigare och kan dekryptera kommunikation som inkluderar användarnamn, lösenord, kreditkortsdata och annan känslig information. Från vårt inlägg tidigare denna månad:

Medan det låter skrämmande, kom ihåg att denna attack bara kan ske under mycket specifika och sällsynta omständigheter: servern måste återanvända offentliga Diffie-Hellman-nycklar i handskakning (redan betraktad som dålig praxis), och angriparen måste kunna göra exakta tidsmätningar. Dessutom måste webbläsaren stödja de sårbara krypteringssviterna (från och med juni 2020 har alla större webbläsare tappat dem).

Internet of (Vulnerable) Things, Coffee Maker Edition

Medan historien ovan inte var faktiskt om attacker från tvättbjörnar, den här historien handlar verkligen om kaffebryggare. För att vara mer exakt, Dan Goodins artikel i Ars Technica handlar om hur en kaffebryggare förvandlades till en ”lösenmaskin” genom att utnyttja vanliga svagheter i Internet of Things (IoT) -enheter.

I grund och botten har de (dåligt namngivna) smartare produkternas iKettle länge varit ett mål för dem som vill illustrera farorna med lätthackade apparater. Sedan 2015, versioner av vattenkokaren har fjärrstyrts genom omvänd teknik. Även om företaget har släppt en ny version av potten sedan dess är de gamla fortfarande i bruk, och pojken är de sårbara för vad artikeln noterar är "out of the box" -attacker. Nyligen bestämde en programmerare vid namn Martin Hron att testa gränserna för hur ett säkerhetsbrott på en kaffekanna kan se ut, i värsta fall:

När Hron först kopplade in sin smartare kaffebryggare upptäckte han att den omedelbart fungerade som en Wi-Fi-åtkomstpunkt som använde en osäker anslutning för att kommunicera med en smartphone-app. Appen används i sin tur för att konfigurera enheten och, om användaren väljer, ansluter den till ett hem-Wi-Fi-nätverk. Utan kryptering hade forskaren inga problem att lära sig hur telefonen kontrollerade kaffebryggaren och eftersom det inte fanns någon autentisering heller, hur en oseriös telefonapp kan göra samma sak.
Den möjligheten lämnade fortfarande Hron med endast en liten meny med kommandon, ingen av dem särskilt skadliga. Så han undersökte sedan mekanismen som kaffebryggaren använde för att få firmwareuppdateringar. Det visade sig att de togs emot från telefonen med - du gissade det - ingen kryptering, ingen autentisering och ingen kodsignering.

Det finns ett omfattande blogginlägg på kaffebryggaren som heter ”Den nya doften av lösenfritt kaffe. ” Det finns också en underhållande video demonstrerar det kaos som följde av att kaffemaskinens sårbarheter utnyttjades. Även om det är osannolikt att en attack som denna snart kommer till någons kök, är det en bra påminnelse om att "smart" betyder mer än "bekvämt."