Wir sind genauso überrascht wie jeder andere, zu berichten, dass ein weiterer Monat vergangen ist. Und obwohl es schnell vorbei war, war August voller Sicherheitsnachrichten. Diesen Monat werfen wir einen Blick auf:
- Internet der Dinge, die über unsichere Kommunikationsprotokolle anfällig sind
- China blockiert TLS 1.3 und ENSI
- wolfSSL-Sicherheitslücke entdeckt
- Version Drei von OASIS Standard PKCS # 11 veröffentlicht
Internet der Dinge durch unsichere Kommunikationsprotokolle offen gelassen
Über 3.7 Millionen IoT-Geräte (Internet of Things) wurden für Angriffe über zwei unsichere Peer-to-Peer-Kommunikationsprotokolle offen gelassen: CS2-Netzwerk P2P und Shenzhen Yunni iLNKP2P.
Ein Artikel von Shaun Nichols in Das Register kommt in die Probleme Dadurch sind Dinge wie Webcams, Babyphone und andere mit dem Internet verbundene Geräte anfällig für Entführungen. Die beiden Protokolle werden von Millionen von Geräten weltweit verwendet, was bedeutet, dass auf diese Geräte jeder zugreifen kann, der schnüffeln möchte oder noch schlimmer.
Die Fehler wurden von Paul Marrapese gefunden, der eine ganze Site hat, gehackte.Kamera, gewidmet den Schwachstellen. "Bis August 2020 wurden im Internet über 3.7 Millionen anfällige Geräte gefunden", heißt es auf der Website, auf der betroffene Geräte aufgelistet sind und Ratschläge zur Vorgehensweise bei gefährdeten Geräten gegeben werden. (Zusammenfassung: Werfen Sie es weg oder versuchen Sie, es durch eine Firewall zu entfernen.)
Wie Nichols bemerkt, enden die Sicherheitslücken natürlich nicht mit den Geräten, auf denen die Kommunikationsprotokolle ausgeführt werden.
… Denken Sie daran, dass diese Geräte im WLAN und in den LANs der Benutzer gespeichert sind. Wenn Sie also eine Überwachungskamera oder was auch immer befehligt haben, können Sie benachbarte Computer erreichen, um diese auszunutzen, oder die MAC-Adressen des nahe gelegenen drahtlosen Netzwerks verwenden, um die genauen Werte zu ermitteln Speicherort der Hardware aus den Google-Datenbanken usw.
Für das vollständige "und so weiter", was ziemlich viel ist, empfehlen wir, den gesamten Artikel zu lesen, führt uns auch zu einem DEFCON sprechen von Paul Marrapese, der jedem, der an den Sicherheitsrisiken interessiert oder besorgt ist, einen detaillierten Einblick gibt:
Die großen Firewall-Blöcke TLS 1.3 und ENSI
August brachte auch News dass Chinas große Firewall jetzt blockiert HTTPS Verkehr, der verwendet TLS 1.3 und ESNI (Encrypted Server Name Indication). Beide Technologien erschweren es chinesischen Zensoren, zu erkennen, mit welchen Websites die Bürger eine Verbindung herstellen möchten, und Zensoren, den Zugriff auf diese Websites zu kontrollieren.
Ein Joint berichten von IYouPort, der University of Maryland und dem Great Firewall Report bestätigten das Verbot laut einem Artikel von Catalin Cimpanu von ZDNet. Das Verbot, das irgendwann Ende Juli in Kraft trat, erlaubt weiterhin HTTPS-Verkehr, der ältere Versionen von verwendet TLS und unverschlüsselt SNISo können Regierungszensoren sehen, welche Bereiche die Bürger erreichen wollen.
Im Moment haben die Gruppen, die die berichten haben sechs Möglichkeiten identifiziert, um das Verbot clientseitig zu umgehen, und vier Möglichkeiten, es serverseitig zu vermeiden, aber sowohl die Gruppe als auch der ZDNet-Artikel erkennen an, dass diese Problemumgehungen keine langfristige Lösung sind, da das „Katz-und-Maus-Spiel“ zwischen Technologie und Die chinesische Zensur schreitet voran.
Sicherheitslücken in wolfSSL entdeckt
Gérald Doussot von der Cyber-Sicherheitsfirma NCC Group veröffentlicht ein technische Beratung am 24. August beschreibt a TLS 1.3 Sicherheitslücke in Versionen von wolfSSL vor 4.5.0. Die Version 4.5.0 der wolfSSL-Bibliothek, die einen Fix enthält, wurde am 17. August vor der Veröffentlichung des Hinweises der NCC Group veröffentlicht. Die NCC Group empfiehlt den Benutzern, auf die neuere, sichere Version zu aktualisieren.
Laut NCC Group:
wolfSSL implementiert das falsch TLS 1.3 Client-Zustandsmaschine. Auf diese Weise können sich Angreifer in einer privilegierten Netzwerkposition vollständig als solche ausgeben TLS 1.3 Server und lesen oder ändern Sie potenziell vertrauliche Informationen zwischen Clients, die die wolfSSL-Bibliothek verwenden, und diesen TLS Servers
Wie am beschrieben wolfSSLs Website, die fragliche eingebettete wolfSSL-SSL-Bibliothek “ist eine leichte, tragbare, C-sprachbasierte SSL /TLS Bibliothek, die vor allem aufgrund ihrer Größe, Geschwindigkeit und ihres Funktionsumfangs auf IoT-, Embedded- und RTOS-Umgebungen ausgerichtet ist. “ Die Tatsache, dass diese Sicherheitslücken im Internet der Dinge gefunden werden und dass die „Dinge“, die wolfSSL in Milliardenhöhe findet, dies bemerkenswert machen. Ein Update der festen, verfügbaren Version der Bibliothek wird dringend empfohlen.
Version Drei von OASIS Standard PKCS # 11 veröffentlicht
Ein August 19 Ankündigung Auf dem Blog von PrimeKey wurde uns darauf hingewiesen, dass Version 3 der OASIS-Standardschnittstelle für kryptografische Token PKCS # 11 im Juni 2020 veröffentlicht wurde.
PKCS # 11 besteht seit 1995 und ist, wie der Blog selbst beschreibt, eine „plattformunabhängige API für den Zugriff auf und die Verwendung von kryptografischen Funktionen in Hardware-Sicherheitsmodulen (HSMs), Smartcards, USB-Token, TPMs und dergleichen. ”
Laut PrimeKey (Anbieter der Certificate Authority-Software EJBCA) hatte der PKCS # 11-Standard einige Probleme mit Standardisierungsproblemen im Zusammenhang mit vom Hersteller definierten Mechanismen in Hardware-Token, die seine Nützlichkeit als Standard-API einschränken. Die vorherige Version des Standards hatte auch einige Probleme, mit dem rasanten Tempo der kryptografischen Entwicklung in diesen Tagen Schritt zu halten. Daher ist Version drei eine willkommene und notwendige Änderung. Wie der Blog feststellt:
Im Allgemeinen hat es im Laufe der Jahre überraschend gut funktioniert, aber es gab subtile Nuancen, die berücksichtigt werden mussten, wenn versucht wurde, ein neues Token zu verwenden, das behauptet, PKCS # 11-konform zu sein, was zu Interoperabilitätsproblemen zwischen Clients und Servern führte.
Durch die Hinzufügung neuer, standardisierter kryptografischer Mechanismen in PKCS # 11 v3.0 (einschließlich SHA3- und EdDSA-Signaturen) können PrimeKey und andere Softwareanbieter diese standardisiert in Hardware-Sicherheitsmodulen und Token implementieren, die den neuen Standard unterstützen.