NSAは最近、特定の種類の攻撃に関する警告を発表しました, アルパカテクニックとして知られています. すぐに言った, エージェンシーは、ネットワーク管理者に使用のリスクについて警告しています “スコープが不十分なワイルドカードトランスポート層セキュリティ (TLS) 証明書。”
NSAのガイダンスには、いわゆるALPACA攻撃に関する詳細も含まれています, またはクロスプロトコル攻撃を許可するアプリケーション層プロトコル. この手法により、サイバー犯罪者は機密情報にアクセスできます.
初めに, ワイルドカード証明書とは? これは、ドメインの複数のサブドメインで利用できる公開鍵証明書です。. 主にHTTPSを使用するセキュリティWebサイトに適用されます, このタイプの証明書は、他の多くの分野で使用できます, 同じように.
“ワイルドカード証明書は、複数のサーバーを認証し、資格管理を簡素化するために使用されます, 時間とお金を節約する. でも, ワイルドカード証明書をホストしている1台のサーバーが侵害された場合, ワイルドカード証明書で表すことができる他のすべてのサーバーは危険にさらされます. ワイルドカード証明書の秘密鍵を持つ悪意のあるサイバー攻撃者は、証明書の範囲内の任意のサイトになりすまして、ユーザーの資格情報と保護された情報にアクセスする可能性があります,” NSAは言った.
アルパカ攻撃: 緩和策
アルパカテクニックは, Webアプリケーションと一致するスコープを持つTLS証明書で保護された非HTTPサービスを介して強化されたWebアプリを悪用します. この手法により、スコープが不十分なワイルドカード証明書を使用するという既存のリスクが高まります。, 代理店は追加しました.
このリスクを軽減するには, NSAはお勧めします 次のアクション:
- 組織で使用されている各ワイルドカード証明書の範囲を理解する
- サーバーの前でアプリケーションゲートウェイまたはWebアプリケーションファイアウォールを使用する, 非HTTPサーバーを含む
- 暗号化されたDNSを使用し、DNSセキュリティ拡張機能を検証してDNSリダイレクトを防止します
- アプリケーション層プロトコルネゴシエーションの有効化 (APLN), サーバー/アプリケーションが可能な場合に許可されたプロトコルを指定できるようにするTLS拡張
- 最新のアップデートで最新バージョンのWebブラウザを維持する
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: