Nul
En akademisk undersøgelse, der blev offentliggjort i sidste måned, viser, at på trods af års forskning i den sørgelige tilstand af netværkstrafik inspektion af udstyr, der er leverandører, der stadig har problemer i shipping apparater, der ikke uigenkaldeligt brud TLS-kryptering til slutbrugeren.
Krypteret trafik kontrol-enheder (også kendt som middleware), enten speciel hardware eller sofistikeret software, der har været anvendt i virksomhedens netværk for mere end to årtier.
System-administratorer installere sådanne apparater til at skabe et man-in-the-middle-TLS-proxy, der kan se inde HTTPS krypteret trafik, til at scanne for malware eller phishing-links, eller at efterkomme politiets eller kravene til den nationale sikkerhed.
Også: Hvorfor 31% af brud på datasikkerheden føre til, at medarbejdere bliver fyret, TechRepublic
Alle disse enheder fungerer på samme måde for at oprette en TLS-server på det interne netværk og en TLS-klient, på det eksterne netværk. TLS-server, der modtager trafik fra brugeren, dekrypterer den forbindelse, giver apparatet for at kontrollere den trafik, og derefter re-krypterer og relæer forbindelsen til den påtænkte server ved at efterligne browser via sin egen TLS-klient.
For mange år, har dette ikke været et problem, primært fordi der i starten, HTTPS forbindelser var nemt at sætte op. Men som de teknologier, der understøtter TLS-trafikken er blevet mere og mere komplekse, og det blev også sværere for leverandører til at støtte alle typer af forbindelser, uden at der ved et uheld eller forsætligt nedgradering HTTPS-kryptering.
I det sidste årti, sikkerhed forskere har kigget nærmere på spørgsmålet om TLS-inspektion apparater, der bryder eller nedgradere kryptering. Der har været megen forskning på emnet, fra forskerhold fra hele verden [1, 2, 3, 4, 5].
Men på trods af mange års værd af advarsler og forskning, nogle leverandører stadig ikke er i stand til at holde den rette sikkerhedsniveau for en TLS-forbindelse, når genudlægning trafik gennem deres udstyr/software.
Akademisk forskning, der offentliggøres i slutningen af September med tre forskere fra Concordia University i Montreal, Canada, viser, at trafikken på netværket inspektion apparater stadig break-TLS-sikkerhed, selv i dag.
Forskerholdet kiggede på 17 versioner af 13 TLS-netværket apparater mellem juli 2017 og Marts 2018, herunder open source, gratis, low-end og high-end TLS-middleware-apparater.
Testet TLS-middleware-apparater
For at gøre dette, forskning trio oprettet en omfattende ramme, der kan analysere TLS-relaterede adfærd apparat-baseret fuldmagter og deres potentielle sårbarheder.
Forskerne kiggede på TLS version og certifikat parameter kortlægning, cipher suites, den private nøgle generation og dens beskyttelse, og indholdet af roden CA butik, der er kendt TLS-angreb, og 32 validering af certifikat tests.
Også: KRACK angreb: Her er hvordan virksomheder reagerer CNET
Undersøgelsen var mere end frugtbart, at finde flere problemer med næsten alle enheder. Resultaterne blev som følger:
WebTitan, UserGate, og Comodo udfør ikke nogen validering af certifikat. Disse apparater må alle defekte TLS-certifikater, siger forskerne.Comodo og Endian ikke udføre validering af certifikat i standard opsætninger, fordi et afkrydsningsfelt for at acceptere alle certifikater, som er markeret som standard i sin konfiguration. Forskerne sagde, at selv efter at fjerne markeringen af feltet, Comodo stadig ikke at udføre certificering validering, acceptere alle upstream-certifikater.Cacheguard accepteret selvsignerede certifikater, så døde simpelt MITM angreb.Trend Micro, McAfee, og Cacheguard bruge præ-genereret keypairs, der muliggør en lignende døde simpelt MITM-angreb.McAfee i sin dokumentation, at det genererer en privat nøglepar under installationen, men forskere har fundet ud af apparatet for at bruge et præ-genereret nøgle par i stedet.Fire apparater –UserGate, WebTitan, Microsoft, og Comodo– acceptere deres egne certifikater for eksternt leverede indhold. Hvis en hacker kan få adgang til de private nøgler af disse apparater, kan han/hun kan starte et MITM-angreb til at udgive dig for en web-server. Forskere siger, at de private nøgler er gemt på enheder og er let tilgængelige, hvis en anden sårbarhed gør det muligt for en hacker at læse data fra TLS middleware. Ikke-root brugere på UserGate, WebTitan, og Comodo kan læse den private nøgle, mens admin rettigheder, der er nødvendigt, for at hente nøglen på Microsoft-enheder.Alle apparater undtagen rede ud og McAfee acceptere certifikater, signeret med MD5-algoritmen.WebTitan, Microsoft, UserGate, Cisco, og Comodo stadig acceptere MD4.Fjernangribere kunne bryde session fortrolighed for klienter bag Sophos, Cacheguard, OpenSense, Comodo og Endian, som de accepterer RSA-512 eksterne blad certifikater (RSA-512 er nemt indregnet).Kunder bag Untangle er ligeledes sårbar over for MITM-angreb, fordi apparatet bruger RSA-512 “Root Agency” certifikat i sit certifikat, der er tillid butik. Roden Agentur CA-certifikat er gyldigt indtil 2039, og har været brugt siden 1990’erne som standard test certifikat for code signing og udvikling. Windows-systemer, som stadig omfatter dette certifikat, men de markerer det som ikke er tillid til, selv om dette ikke ville stoppe et angreb på TLS middleware. RSA-512 private nøgle, der svarer til dette certifikat kan nemt indregnet under fire timer.Fjernangribere kan bruge BEAST-angreb til at inddrive godkendelse cookies fra brugere bag Microsoft, Cisco, og TrendMicro TLS middleware.Angribere kan også gendanne cookies fra kunder, bag WebTitan, Microsoft, TrendMicro, Comodo, og Endian følge af deres brug af RC4.
Forskerholdet, der siger, at alle apparatet fejl blev rapporteret, at deres respektive leverandører efter to serier af tests i 2017 og 2018. På trods af de rapporter, forskerne sagde, at sælger svar ikke var, hvad de havde forventet.
“Alt i alt, de oplysninger, der synes at have begrænset indflydelse på leverandører,” sagde den forskning team. “Mange sælgere fuldstændig ignoreret sikkerhedsspørgsmål (rede ud, Microsoft, UserGate, og pfSense). Mere bekymrende, at nogle produkter blev endda værre over tid (Cisco), og nogle lappet produkt udgivelser indført nye sårbarheder i forhold til deres ældre versioner (WebTitan).”
Også opstå Bekymringer om sikkerheden af nye WebAuthn protokol
Ufrugtbare, for at sige det mildt.
Forskere hævder, at da TLS middleware fungerer som en proxy for klient-til-web-server-forbindelser, “de bør opretholde (mindst) den samme grad af sikkerhed som moderne browsere.” På samme måde, som de fungerer som en TLS-server for web-til-klient-interne netværk tilslutninger, bør de også være “sikkert konfigureret som alle up-to-date HTTPS-server.”
Ved at efterleve disse enkle principper, siger forskere middleware apparater skal være enkel at administrere.
Den test bruges af Concordia University besætning er tilgængelig for download fra her. Flere oplysninger er tilgængelige i et forsknings-papir med titlen “Den sørgelige Tilstand af TLS-Sikkerhed i Virksomheden Aflytning Apparater.”
RELATEREDE HISTORIER:
Den AMERIKANSKE regering ruller ud 2-trins bekræftelse for .gov domæne ownersWeb hosting-udbydere tager tre dage, i gennemsnit, for at imødegå misbrug reportsAfter to årtier af PHP, steder stadig afsløre følsomme oplysninger via debug modeWhy gratis Vpn er ikke en risiko værd at takingOver en million sårbare fiber routere kan nemt blive hacket
Relaterede Emner:
Virksomhedens Software
Sikkerhed-TV
Data Management
CXO
Datacentre
0