私人加密密钥分享令人担忧但不是新的,说安全专家
VMware和AWS合资企业帮助企业管理多云环境
智能手机如何帮助美国航空航天局建立微小的卫星,你可以握在手中
FCC希望ISP在共享个人数据之前获得客户许可
Oracle Q1 2016-17:甲骨文的云销量增长到近1亿美元
Windows 10的WASHY升级战术享受份额增长
更新:FBI表示,可能已经找到了射击射手的iPhone的方法
Microsoft在Office 2016中添加宏锁定功能,以响应越来越多的攻击
厌倦了等待网站加载?这个新技术可以将时间缩短一半以上
更新:FBI表示,可能已经找到了射击射手的iPhone的方法
Apple的品牌感知,公众与FBI有关
英特尔通过旋转安全业务来筹集3.1亿美元
Apple iPad Pro变小,说深喉咙 - 发布日期3/15
英特尔通过旋转安全业务来筹集3.1亿美元
Oracle Q1 2016-17:甲骨文的云销量增长到近1亿美元
Windows 10的WASHY升级战术享受份额增长
Apple iPad Pro变小,说深喉咙 - 发布日期3/15
英特尔通过旋转安全业务来筹集3.1亿美元
Windows 10的WASHY升级战术享受份额增长
Microsoft在Office 2016中添加宏锁定功能,以响应越来越多的攻击
Google文档现在让您决定格式编辑
微软开源A.I.基于MINECRAFT的开发平台
消费者信任银行超过政府为生物识别安全
Whitehall Power斗争瘫痪政府数字服务吗?
IBM Sues Groupon侵犯其专利,包括来自Prodigy在线服务
欧洲延迟了千兆宽带部署
研究人员说,IoT安全威胁是真实的
英国国家网络安全中心设为推出
苏格兰地方政府任命CDO和CTO
制造商必须转移到更智能的软件到Stem Smartphone拒绝
LG G5到于4月初的美国
Google文档现在让您决定格式编辑
学习表演,勒索沃特沃特的五分之一的企业被迫关闭
二五分商业网络中DNS隧道的证据
生物超级计算机使用“生命果汁”
苏格兰地方政府任命CDO和CTO
Microsoft推出了Windows 10功能,以Stymie高级黑客攻击
Rackspace'on Brid Clink销售到私募股权房屋 - 报告
WWDC 2016:Apple的Swift 3.0,展会之星
Jeremy Corbyn推出劳动力数字宣言
WWDC 2016:Apple的Swift 3.0,展会之星
算法和实验在SXSW中制作奇怪的床单
DLA Piper将背面的角色移动到波兰
Rackspace'on Brid Clink销售到私募股权房屋 - 报告
萨里和边界NHS信任推出IOT试验对痴呆症患者
戴尔将Thunderbolt 3带到Linux PCS
为三星的装备VR制作VR世界,用Qualcomm Dev套件
Doj上诉纽约亲苹果法院命令
五角大楼飞越美国的无人机。为国内间谍活动
萨里和边界NHS信任推出IOT试验对痴呆症患者
您的位置:首页 >科技 > 技术前沿 >

私人加密密钥分享令人担忧但不是新的,说安全专家

2021-06-23 09:44:42 [来源]:

重复使用私有加密密钥令人担忧,但根据安全专家的响应关于安全公司SEC咨询的最新报告并非新的报告。

一项研究已经揭示了大约450万互联网连接的设备继续分享已知的私钥以加密他们的通信。

一个证书是共享但500,000个设备,而另一个证书由280,000个连接到Internet的设备共享。

根据最新研究,与2015年证券交易所咨询硬编码加密秘密的研究结果相比,过去一年的设备数量上涨了40%。

尽管该公司努力为使用HTTPS服务器证书的已知的私钥通知50种不同的供应商和各种互联网服务提供商(ISP)关于Web上的设备。

该报告引用了供应商无法提供安全漏洞的补丁,包括 - 但不限于 - 遗留或生活最终产品是最有可能的原因。

但是,即使在SEC咨询时,即使在可用补丁时,嵌入式系统很少修补。

该公司还通过用户和ISP,在ISP提供的客户房屋设备(CPE)的情况下,该公司在广域网(WAN)方面的防火设备不足,以及支持物联网产品的趋势,作为其他可能的贡献因素。

本着开放研究的精神,安全公司已发布GitHub上的原始数据,其中包括331个证书,包括匹配的私钥以及553个私人钥匙。

数据还包括包含在Internet范围扫描数据中找不到的证书/键和加密密钥的产品名称。

SEC咨询说,这些数据允许研究人员重现我们的研究结果,找到更多的案例或加密密钥重用,属性加密密钥,以及开发用于检测和利用此漏洞类别的工具,SEC咨询说。

该公司承认释放私钥允许攻击者以大规模剥削这种漏洞,但是说任何确定的攻击者都会重复该研究并轻松地从公开的固件中获取私钥。

SEC Consisce致电供应商,以确保每个设备使用可以在工厂或第一个启动中计算的随机,独特的加密密钥。

在CPE设备的情况下,ISP和供应商都必须共同努力,为受影响设备提供固定的固件。

ISP还必须确保通过WAN端口到CPE的远程访问。如果ISP需要访问远程支持目的,建议使用没有CPE到CPE通信的专用管理VLAN。

用户应该将SSH主键和x.509证书更改为特定于设备的证书,SEC咨询说,添加此并不总是可能,因为某些产品不允许更改此配置,或者用户没有权限执行此操作。

但美国证券交易委员会咨询说,一些所需的技术步骤不是一个可以预期的普通家庭用户的东西。

虽然重新使用关键网络安全设备中的私钥不是新的,但结果令人不安,特别是鉴于许多受影响的设备在关键基础设施和电信系统中使用的事实,凯文·博克斯(Kevin Boce)是安全的副主席Venafi的战略与威胁情报。

“我们分享SEC Comparation的挫败感。使用加密旨在唯一地验证应用程序并保护隐私,因此将设备与重复使用数十万次的钥匙和证书才能疯狂,“他说。

Bocek补充说,这一实践不仅仅是留下门口上的关键,并将广告牌推出广告漏洞。

“传统安全 - 入侵检测系统,防火墙和防病毒 - 当攻击者在加密的流量中查看时,无助于您的加密流量,或伪装为您的可信应用程序或设备之一。糟糕的家伙可以从字面上采取他们想要的任何数据,“他说。

根据Bocek的说法,问题只是在每天增加数百万更多的设备时会变得更糟。

“Devops驾驶开发人员越快,技能保护钥匙和证书在供不应求。看到问题变得更糟,这并不奇怪。他说,事物开发或部署的设备互联网设备在沃博组织的许多情况下乘以问题,“他说。

Venafi认为公司需要收回控制并立即采取行动来保护自己。

通过识别网络上使用的所有键和证书,横跨云端,并向互联网出来,Bocek表示,组织可以识别可能的失败,如威胁要粉碎安全基础的猖獗的关键重用。

“一旦确定了关键重用,组织就可以尝试:用新的唯一键和证书替换,可以是或隔离那些不能和与供应商解决的人分区,”他说。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。