È il 2018, di rete e middleware ancora non in grado di gestire TLS senza rompere la crittografia

0
117

Zero

Un accademico di studio pubblicato il mese scorso dimostra che, nonostante anni di ricerca il miserabile stato del traffico di rete, apparecchiature di controllo, i venditori sono ancora problemi nella spedizione di elettrodomestici che non irrevocabilmente rompere la crittografia TLS per l’utente finale.

Il controllo del traffico cifrato dispositivi (noto anche come il middleware), sia hardware o software sofisticati, sono stati utilizzati in reti di impresa per più di due decenni.

Gli amministratori di sistema di distribuzione di tali apparecchi per creare un man-in-the-middle TLS proxy che può guardare all’interno di HTTPS traffico crittografato, a scansione per malware o phishing o conformarsi con le forze dell’ordine o la sicurezza nazionale.

Inoltre: Perché il 31% delle violazioni di dati di piombo per i dipendenti il licenziamento di TechRepublic

Tutti questi dispositivi funzionano allo stesso modo, la creazione di un server TLS sulla rete interna e un TLS client sulla rete esterna. Il TLS server riceve del traffico da parte dell’utente, decodifica la connessione, consente all’apparecchio di ispezionare il traffico, e poi ri-codifica e relè il collegamento al server desiderato imitando il browser, tramite il proprio client TLS.

Per molti anni, questo non è stato un problema, soprattutto perché all’inizio, le connessioni HTTPS erano semplici da impostare. Ma come le tecnologie di supporto TLS traffico sono diventati sempre più complessi, è diventato più difficile per i fornitori supportare tutti i tipi di connessioni senza accidentalmente o intenzionalmente il downgrade crittografia HTTPS.

Nell’ultimo decennio, i ricercatori di sicurezza hanno guardato da vicino il problema di TLS ispezione elettrodomestici che si rompono o downgrade di crittografia. C’è stata molta ricerca sull’argomento, da gruppi di ricerca provenienti da tutto il mondo [1, 2, 3, 4, 5].

Ma nonostante anni di avvertimenti e di ricerca, alcuni venditori non riescono ancora a mantenere il corretto livello di sicurezza di una connessione TLS quando l’inoltro del traffico attraverso la loro attrezzatura e dei software.

La ricerca accademica pubblicato a fine settembre da tre ricercatori della Concordia University di Montreal, in Canada, mostra che il traffico di rete di ispezione elettrodomestici ancora in pausa di protezione TLS, anche oggi.

Il team di ricerca ha guardato 17 versioni di 13 TLS apparecchiature di rete, tra luglio 2017 e Marzo 2018, tra cui open source, free, low-end e high-end TLS middleware elettrodomestici.

tls-study-tested-equipment.png

Testato TLS middleware elettrodomestici

Per farlo, la ricerca trio creato un ampio quadro che potrebbero analizzare il TLS comportamenti correlati di appliance-based proxy e delle loro potenziali vulnerabilità.

I ricercatori hanno esaminato TLS versione e certificato di mappatura parametro, cipher suite, la chiave privata generazione e la sua protezione, il contenuto della root CA store, noto TLS attacchi, e 32 certificato di test di convalida.

Anche: KRACK attacco: Ecco come le aziende stanno rispondendo CNET

Lo studio è stato più che proficuo, trovando parecchi problemi con quasi tutti i dispositivi. I risultati sono come segue:

WebTitan, UserGate, Comodo e non eseguire la convalida del certificato. Questi apparecchi ammessi tutti difettosi certificati TLS, i ricercatori hanno detto.Comodo e Endian non eseguire la convalida del certificato in default setup perché una casella di controllo per accettare tutti i certificati è selezionata per impostazione predefinita nella sua configurazione. I ricercatori hanno detto che anche dopo deselezionando la casella, Comodo ancora non è riuscito a eseguire la certificazione di convalida, accettando tutto a monte certificati.Cacheguard accettati i certificati autofirmati, consentendo morti-semplici attacchi MITM.Trend Micro, McAfee, e Cacheguard uso pre-generati chiavi, l’attivazione di un simile morti-semplice attacco MITM.McAfee afferma nella sua documentazione che esso genera una coppia di chiavi private durante l’installazione, ma i ricercatori hanno trovato l’apparecchio per l’utilizzo di un pre-coppia di chiavi generata invece.Quattro apparecchi –UserGate, WebTitan, Microsoft, Comodo e– accettare i certificati per la esternamente contenuto fornito. Se un utente malintenzionato di ottenere l’accesso alle chiavi private di questi apparecchi, lui/lei può lanciare un attacco MITM per impersonare qualsiasi server web. I ricercatori hanno detto che le chiavi private sono memorizzati sui dispositivi e sono facilmente accessibili se un’altra vulnerabilità consente a un utente malintenzionato di leggere i dati da TLS middleware. Gli utenti Non-root sul UserGate, WebTitan, Comodo e in grado di leggere la chiave privata, mentre i diritti di amministratore sono necessari per recuperare la chiave su dispositivi Microsoft.Tutti gli elettrodomestici tranne Districare e McAfee accettare i certificati firmati utilizzando l’algoritmo MD5.WebTitan, Microsoft, UserGate, Cisco, Comodo e ancora accettare MD4.Gli aggressori potrebbero rompere sessione di riservatezza per i clienti Sophos, Cacheguard, OpenSense, Comodo e Endian, come essi accettano RSA-512 lamina esterna certificati (RSA-512 è facilmente scomposto).I clienti dietro di Districare sono vulnerabili agli attacchi MITM, perché l’apparecchio utilizza la RSA-512 Principale “Agenzia” certificato nel proprio certificato attendibile store. La Principale Agenzia di CA certificato è valido fino al 2039, ed è stato utilizzato dal 1990 come il test di default certificato per la firma del codice e di sviluppo. I sistemi di Windows ancora includere questo certificato, ma segna come non attendibili, anche se questo non interrompere un attacco TLS middleware. La RSA-512 chiave privata corrispondente al certificato può essere facilmente scomposto in quattro ore.Gli hacker possono utilizzare la BESTIA attacco per recuperare i cookie di autenticazione da parte degli utenti dietro a Microsoft, Cisco, e TrendMicro TLS middleware.Attaccanti potrebbero anche recuperare i cookie dal client dietro WebTitan, Microsoft, TrendMicro, Comodo, e Endian a causa del loro uso di RC4.

Il gruppo di ricerca dice che tutte le appliance di problemi sono stati segnalati ai rispettivi fornitori dopo due serie di test nel 2017 e il 2018. Nonostante le segnalazioni, i ricercatori hanno detto che il fornitore risposte non erano quello che si aspettavano.

“In generale, le indicazioni sembrano avere un impatto limitato sui fornitori,” ha detto il team di ricerca. “Molti fornitori completamente ignorato i problemi di sicurezza (Districare, Microsoft, UserGate, e pfSense). Più preoccupante è il fatto che alcuni prodotti è diventato anche peggio nel corso del tempo (Cisco), e alcune patch versioni di prodotto introdotte nuove vulnerabilità rispetto alle loro versioni più vecchie (WebTitan).”

Anche: le Preoccupazioni derivano sicurezza del nuovo protocollo WebAuthn

Infruttuosa, per non dire altro.

I ricercatori sostengono che, poiché TLS middleware funziona come un proxy per il cliente-per-connessioni a server web, “che dovrebbe mantenere almeno lo stesso livello di protezione, come i browser moderni.” Allo stesso modo, in quanto agiscono come un server TLS per il web-to-client e connessioni di rete interni, essi dovrebbero anche essere “sicuro configurato come qualsiasi up-to-data server HTTPS.”

Attenendoci a questi semplici principi, i ricercatori dicono che i middleware elettrodomestici devono essere semplici da gestire.

Il framework di test utilizzato dalla Concordia University equipaggio è disponibile per il download da qui. Maggiori dettagli sono disponibili in un documento di ricerca dal titolo “Il triste Stato di Protezione TLS in Enterprise Intercettazione Elettrodomestici.”

STORIE CORRELATE:

Governo tira fuori la verifica in 2 passaggi .gov dominio ownersWeb hosting provider di tre giorni, in media, per rispondere di abuso reportsAfter due decenni di PHP, siti ancora esporre dati sensibili tramite debug modeWhy connessione Vpn non sono un rischio che vale la pena takingOver un milione vulnerabili fibra router può essere facilmente violati

Argomenti Correlati:

Enterprise Software

Di sicurezza, TV

La Gestione Dei Dati

CXO

Centri Dati

0