De problemen oplossen #1 – CAA - Plato Data Intelligence

Leestijd: 6 minuten

Na het incident op 15 maart introduceerde Comodo onmiddellijk aanvullende methoden en controles tegen deze nieuwe dreigingsvector. Op 26 maart ontdekten deze systemen dat een andere wederverkoper werd aangevallen door wat naar onze mening dezelfde dader is. De nieuwe beveiligingsmaatregelen waren tegen deze aanval beschermd. Geen van deze recente aanvallen betrof het compromitteren van een Comodo-infrastructuur. Comodo heeft het incidentrapport bijgewerkt. Bij Comodo kijken we ernaar uit om ons werk met alle belanghebbenden en de beveiligingssector voort te zetten om op dit incident te blijven reageren door middel van herstelmaatregelen en nieuwe normen te stellen voor deze nieuwe en opkomende bedreigingen.

Naarmate het gebruik van internet verandert, verandert het bedreigingsmodel. De zwakke punten in de internetinfrastructuur die door de aanval uit Iran naar voren zijn gekomen, zijn al meer dan tien jaar aanwezig, maar de betekenis ervan is veranderd.

Geld is een fungibel goed en het is niet de moeite waard om $ X aan tijd, moeite en middelen te besteden om activa ter waarde van minder dan $ X te beschermen. Vrijheid is geen fungibel goed en daarom is het dreigingsmodel veranderd.

Als we succesvol willen zijn, moeten we de beveiliging van het systeem aanpakken en verder kijken dan de onmiddellijke gebeurtenis en het specifieke doelwit. De aanval wijst op een tekortkoming in de infrastructuur van de certificeringsinstantie die we al voorstelden om aan te pakken met het voorstel van de certificeringsautoriteit (CAA) aan de IETF, mede-auteur van Ben Laurie van Google.

We zullen dadelijk naar CAA kijken, maar laten we eerst kijken naar de andere delen van het systeem die kwetsbaar zijn; wachtwoordverificatie en code-authenticatie.

Het uiteindelijke doel van de aanval was om de communicatie naar de authenticatieservers van grote e-mailproviders en sociale netwerksites te onderscheppen, met name om controle te krijgen over die accounts door gebruikersnamen en wachtwoorden te verkrijgen. De belangrijkste zwakte van het huidige webverificatieschema is dat de webbrowser wordt geverifieerd bij een webserver door het wachtwoord door te geven. Gebruik van SSL beschermt het wachtwoord tegen onderschepping tijdens communicatie, maar de webserver ontvangt het daadwerkelijke wachtwoord dat de gebruiker heeft ingevoerd. Het gevolg van een compromis van een webserver of een SSL-certificaat is dus een inbreuk op de gebruikersgegevens. Dit is een onnodige zwakte in de internetbeveiligingsinfrastructuur en kan worden opgelost door enkele kleine wijzigingen in de SSL/ HTML-authenticatiemechanisme, als we maar de wil konden vinden om te handelen.

Het andere deel van het systeem dat kwetsbaar is, is de codeverificatie. Een van de vele diensten die de regering van Iran aan haar burgers aanbiedt, is een webserver met gratis software. In tegenstelling tot de gratis software die wordt geleverd door SourceForge en dergelijke, is deze gratis software meestal gestolen commerciële software waarbij alle kopieerbeveiligingsmechanismen zijn verwijderd. Experts die de software hebben beoordeeld, vertellen me dat deze backdoors en keystroke loggers dat zou overheidstoezicht op het gebruik van de machine mogelijk maken.

Als we succesvol willen zijn in het verdedigen tegen dit nieuwe aanvalsniveau, moeten we proactief zijn en alle drie de problemen aanpakken. Een reactieve aanpak die alleen kwetsbaarheden aanpakt wanneer ze worden misbruikt, zal mislukken.

Autorisatie van certificeringsinstantie (CAA) is een voorstel om het eerste door mijzelf en Rob Stradling van Comodo en Ben Laurie van Google geschreven kwetsbaarheidsgebied aan te pakken. De eerste versie van het voorstel werd in oktober 2010 opgesteld, voordat ofwel de aanslag, ofwel de politieke gebeurtenissen waarvan werd aangenomen dat ze gemotiveerd waren, plaatsvonden.

CAA is een mechanisme waarmee een domeinnaameigenaar kan specificeren welke certificeringsinstanties en / of handtekeningensleutels bevoegd zijn om certificaten voor een domein uit te geven. Het basismechanisme stelt certificeringsinstanties in staat foutieve afgifte van certificaten te voorkomen en voor toepassingssoftware om te voorkomen dat zij vertrouwen op verkeerd verstrekte certificaten.

Stel je bijvoorbeeld voor dat Alice Corp een bedrijf met 10,000 werknemers is met kantoren in 30 landen. Als Carol CA een certificaat aanvraagt dat beweert van Alice Corp te zijn, zullen zij het certificaat valideren en afgeven onder het beleid van Carol CA, dat mogelijk heel anders is dan het beleid dat Alice Corp zou willen toepassen.

Grote bedrijven die regelmatig het doelwit zijn van dit type aanval, hebben dit specifieke beveiligingslek herkend en hebben enige of beperkte leveranciersovereenkomsten gesloten met een enkele CA of een klein aantal CA's. Het proces van het uitgeven van certificaten en het beheer van de certificaatlevenscyclus kan vervolgens worden geïntegreerd in de bedrijfsprocessen van de klant.

Het voorkomen van een verkeerde afgifte van een Alice Corp-certificaat door een goedgekeurde CA is vrij eenvoudig, aangezien alle legitieme verzoeken worden gedaan via de specifieke processen die zijn overeengekomen tussen Alice Corp en de goedgekeurde CA. Het probleem doet zich voor wanneer Carol CA geen goedgekeurde CA is. Tegenwoordig weet Carol CA niet dat er zelfs een beperkt leveranciersbeleid bestaat. Met CAA kan een domeinnaameigenaar adverteren voor het bestaan van een beperkt leveranciersbeleid en zo misproblematiek voorkomen. Als Carol CA op de lijst van geautoriseerde certificeringsinstanties staat, zal het controleren of het voldoet aan alle aanvullende authenticatievereisten die buiten de band zijn overeengekomen. Als een reeks geautoriseerde certificeringsinstanties wordt gepubliceerd en Carol CA niet wordt vermeld, is het verzoek vrijwel zeker frauduleus en moet het worden afgewezen.

Het CAA-mechanisme maakt het niet alleen gemakkelijker voor een certificeringsinstantie om verkeerde uitgiftes te voorkomen, maar biedt ook een objectieve standaard voor verkeerde uitgiftes. Als een certificeringsinstantie ondanks een gepubliceerde autorisatieset voor certificeringsinstanties uitgaat, kan de uitgifte van het certificaat alleen een verkeerde uitgifte zijn. Certificeringsinstanties die voortdurend een verkeerde uitgifte doen, zijn van mening dat leveranciers van clientsoftware niet langer bereid zijn hun basiscertificaten op te nemen of als betrouwbaar te markeren.

CAA is dus een verantwoordingsbeheer tegen verkeerde uitgifte van certificaten. In tegenstelling tot de meeste voorgestelde wijzigingen aan de internetinfrastructuur, kunnen de voordelen van het voorkomen van gebeurtenissen met een verkeerd probleem zeer snel worden gerealiseerd. Een domeinnaamhouder hoeft niet te wachten totdat iedereen zijn webbrowser heeft geüpdatet, zij zullen het voordeel krijgen wanneer certificeringsinstanties worden ingezet en deze laatste hebben een zeer sterke motivatie om dit zeer snel te doen.

Als het dreigingsmodel beperkt was tot financieel gemotiveerde aanvallen van de georganiseerde misdaad, zou de verantwoordingsplicht alleen voldoende kunnen zijn. Verantwoordingcontroles zijn niet voldoende wanneer het dreigingsmodel zich uitstrekt tot overheidsinstellingen die een certificeringsinstantie of hun agent kunnen dwingen.

We kunnen een persoon aansprakelijk stellen voor miskwesties die het gevolg zijn van nalatigheid of boosaardigheid, maar het systeem moet bestand zijn tegen dreigementen van dwang. Bankmedewerkers krijgen op de eerste werkdag te horen dat ze bij een poging tot een gewapende overval de inhoud van de kluis en de dobbelsteen moeten overhandigen. Pogingen om een gewapende overval te weerstaan, zijn een schietmisdrijf. We moeten dezelfde aanpak volgen voor de activiteiten van de certificeringsautoriteit: neem alle redelijke voorzorgsmaatregelen, maar verwacht geen onredelijke. Banken beperken diefstal door gewapende overvallen door ervoor te zorgen dat de voorraad (dwz geld) nooit hoger is dan een relatief klein bedrag.

Naast de controle op verantwoording die een vrijwel onmiddellijk voordeel biedt zodra de benodigde DNS-bronrecordcode is toegewezen, staat CAA toe dat beperkingen voor certificaatuitgevers worden gehandhaafd door clientsoftware zoals webbrowsers. Om van deze controle te profiteren, moet een gebruiker natuurlijk zijn webbrowser updaten. De voordelen zullen in eerste instantie dus in eerste instantie beperkt zijn tot een relatief klein aantal gebruikers, maar dit is een aanvaardbare beperking, aangezien de browsergebruikers die het meest waarschijnlijk het doelwit zijn van deze vorm van aanval al weten dat ze hun softwarebescherming actueel moeten houden.

Dit laatste punt, het feit dat kan worden verwacht dat degenen die het doelwit zijn van door de regering aangestuurde aanvallen, early adopters zijn voor tegenmaatregelen, is belangrijk omdat het ons in staat stelt andere, uitgebreidere maatregelen te overwegen. De kwetsbaarheid van het gebruik van gebruikersnamen en wachtwoorden als basis voor internetverificatie is al meer dan twee decennia bekend, evenals het feit dat de benadering die in de webwereld wordt gehanteerd, om het wachtwoord zelf ter verificatie naar een server te sturen, een van de ergste is. Wat tot nu toe ontbrak, was de prikkel om de nodige veranderingen door te voeren.

Halverwege de jaren negentig hadden we een soortgelijk probleem met internetmailinglijsten. Destijds was het enige dat nodig was om u op een mailinglijst te abonneren, een verzoek te verzenden. Een paar mailinglijstmanagers konden een e-mail sturen om bevestiging te vragen, maar deze optie werd zelden gebruikt. Op een dag besloot een of andere wagen om een paar duizend openbare mailinglijsten op elkaar in te schrijven, zodat een mail die naar de ene lijst werd gestuurd, naar alle anderen zou stromen en de postadressen van het Amerikaanse Witte Huis zou aanmelden voor het resultaat.

Ik herinner me dat de aanval op een vrijdag begon. De volgende maandag was bijna elke mailinglijst op internet actief met geverifieerde abonnementsverzoeken of met verzoekverificatie ingeschakeld. Internetstandaarden gaan meestal vrij langzaam, maar soms zelfs heel snel. We zouden CAA met vergelijkbare snelheid kunnen inzetten.

In dit geval moeten we snel handelen: eerst CAA implementeren en vervolgens de verificatie van de webgebruiker oplossen.

TEST JE E-MAILBEVEILIGING KRIJG GRATIS UW DIRECTE BEVEILIGINGSSCOREKAART Bron: https://blog.comodo.com/comodo-news/fixing-the-problems-1-caa/

Generatieve data-intelligentie

De problemen # 1 - CAA oplossen

Top-5 rechtsgebieden voor het verkrijgen van een Forex-licentie

De impact van AI op industriële vooruitgang

Laatste intelligentie

Bitcoin Ordinals-ontwikkelaar deelt tips voor het minen van runen tijdens de halvering – zonder Rekt te krijgen – decoderen

Uw bedrijf opfleuren: 5 marketingstrategieën op zonne-energie om uw bedrijf te laten groeien De essentie van marketingstrategieën op zonne-energie

Prop Trading Firm True Forex Funds introduceert Match-Trader als secundair handelsplatform

Navigeren door XR-adoptie: huidig landschap en strategieën voor groei

Herdefinieer uw aanwezigheid: dynamische influencermarketing voor YouTube-succes

Ramp Network om USDt mogelijk te maken voor TON-aankopen en -opnames

Chat met ons