en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

Sicherheitsübersicht August 2020

Wir sind genauso überrascht wie jeder andere, zu berichten, dass ein weiterer Monat vergangen ist. Und obwohl es schnell vorbei war, war August voller Sicherheitsnachrichten. Diesen Monat werfen wir einen Blick auf:

Internet der Dinge durch unsichere Kommunikationsprotokolle offen gelassen

Über 3.7 Millionen IoT-Geräte (Internet of Things) wurden für Angriffe über zwei unsichere Peer-to-Peer-Kommunikationsprotokolle offen gelassen: CS2-Netzwerk P2P . Shenzhen Yunni iLNKP2P.

Ein Artikel von Shaun Nichols in Das Register kommt in die Probleme Dadurch sind Dinge wie Webcams, Babyphone und andere mit dem Internet verbundene Geräte anfällig für Entführungen. Die beiden Protokolle werden von Millionen von Geräten weltweit verwendet, was bedeutet, dass auf diese Geräte jeder zugreifen kann, der schnüffeln möchte oder noch schlimmer.

Die Fehler wurden von Paul Marrapese gefunden, der eine ganze Site hat, hacked.camera, gewidmet den Schwachstellen. "Bis August 2020 wurden im Internet über 3.7 Millionen anfällige Geräte gefunden", heißt es auf der Website, auf der betroffene Geräte aufgelistet sind und Ratschläge zur Vorgehensweise bei gefährdeten Geräten gegeben werden. (Zusammenfassung: Werfen Sie es weg oder versuchen Sie, es durch eine Firewall zu entfernen.)

Wie Nichols bemerkt, enden die Sicherheitslücken natürlich nicht mit den Geräten, auf denen die Kommunikationsprotokolle ausgeführt werden.

… Denken Sie daran, dass diese Geräte im WLAN und in den LANs der Benutzer gespeichert sind. Wenn Sie also eine Überwachungskamera oder was auch immer befehligt haben, können Sie benachbarte Computer erreichen, um diese auszunutzen, oder die MAC-Adressen des nahe gelegenen drahtlosen Netzwerks verwenden, um die genauen Werte zu ermitteln Speicherort der Hardware aus den Google-Datenbanken usw.

Für das vollständige "und so weiter", was ziemlich viel ist, empfehlen wir, den gesamten Artikel zu lesen, führt uns auch zu einem DEFCON sprechen von Paul Marrapese, der jedem, der an den Sicherheitsrisiken interessiert oder besorgt ist, einen detaillierten Einblick gibt:


Das Mitnehmen von SSL.com: Die Sicherheit des Internet der Dinge ist heutzutage ein großes Problem! Wenn Sie ein IoT-Hersteller oder -Anbieter sind, kann SSL.com helfen Sichern Sie Ihre Geräte mit öffentlich vertrauenswürdigen digitalen Zertifikaten, die sicher über branchenübliche Protokolle wie ausgestellt werden ACME.

Die großen Firewall-Blöcke TLS 1.3 und ENSI

August brachte auch News dass Chinas große Firewall jetzt blockiert HTTPS Verkehr, der verwendet TLS 1.3 und ESNI (Encrypted Server Name Indication). Beide Technologien erschweren es chinesischen Zensoren, zu erkennen, mit welchen Websites die Bürger eine Verbindung herstellen möchten, und Zensoren, den Zugriff auf diese Websites zu kontrollieren.

Ein Joint berichten von IYouPort, der University of Maryland und dem Great Firewall Report bestätigten das Verbot laut einem Artikel von Catalin Cimpanu von ZDNet. Das Verbot, das irgendwann Ende Juli in Kraft trat, erlaubt weiterhin HTTPS-Verkehr, der ältere Versionen von verwendet TLS und unverschlüsselt SNISo können Regierungszensoren sehen, welche Bereiche die Bürger erreichen wollen.

Im Moment haben die Gruppen, die die berichten haben sechs Möglichkeiten identifiziert, um das Verbot clientseitig zu umgehen, und vier Möglichkeiten, es serverseitig zu vermeiden, aber sowohl die Gruppe als auch der ZDNet-Artikel erkennen an, dass diese Problemumgehungen keine langfristige Lösung sind, da das „Katz-und-Maus-Spiel“ zwischen Technologie und Die chinesische Zensur schreitet voran.

Das Mitnehmen von SSL.com:  Es ist kein Geheimnis, dass autoritäre (und andere) Regierungen den Zugang der Bürger zu einer starken End-to-End-Verschlüsselung und anonymem Surfen im Internet ablehnen. SSL.com hingegen bleibt einem sicheren und verschlüsselten Internet verpflichtet.

Sicherheitslücken in wolfSSL entdeckt

Gérald Doussot von der Cyber-Sicherheitsfirma NCC Group veröffentlicht ein technische Beratung am 24. August beschreibt a TLS 1.3 Sicherheitslücke in Versionen von wolfSSL vor 4.5.0. Die Version 4.5.0 der wolfSSL-Bibliothek, die einen Fix enthält, wurde am 17. August vor der Veröffentlichung des Hinweises der NCC Group veröffentlicht. Die NCC Group empfiehlt den Benutzern, auf die neuere, sichere Version zu aktualisieren.

Laut NCC Group:

wolfSSL implementiert das falsch TLS 1.3 Client-Zustandsmaschine. Auf diese Weise können sich Angreifer in einer privilegierten Netzwerkposition vollständig als solche ausgeben TLS 1.3 Server und lesen oder ändern Sie potenziell vertrauliche Informationen zwischen Clients, die die wolfSSL-Bibliothek verwenden, und diesen TLS Servers

Wie am beschrieben wolfSSLs Website, die fragliche eingebettete wolfSSL-SSL-Bibliothek “ist eine leichte, tragbare, C-sprachbasierte SSL /TLS Bibliothek, die vor allem aufgrund ihrer Größe, Geschwindigkeit und ihres Funktionsumfangs auf IoT-, Embedded- und RTOS-Umgebungen ausgerichtet ist. “ Die Tatsache, dass diese Sicherheitslücken im Internet der Dinge gefunden werden und dass die „Dinge“, die wolfSSL in Milliardenhöhe findet, dies bemerkenswert machen. Ein Update der festen, verfügbaren Version der Bibliothek wird dringend empfohlen.

Das Mitnehmen von SSL.com: Wie Sie vielleicht oben bemerkt haben, ist die IoT-Sicherheit heutzutage ein großes Problem. wolfSSL's Website heißt es: "Über 2 Milliarden Anwendungen und Geräte sind mit wolfSSL-Produkten gesichert." Offensichtlich stimmen wir der NCC Group zu, dass diejenigen, die die wolfSSL-Bibliothek für verwenden TLS 1.3 sollte sofort auf die neueste Version aktualisiert werden.

Version Drei von OASIS Standard PKCS # 11 veröffentlicht

Ein August 19 Ankündigung Auf dem Blog von PrimeKey wurde uns darauf hingewiesen, dass Version 3 der OASIS-Standardschnittstelle für kryptografische Token PKCS # 11 im Juni 2020 veröffentlicht wurde.

PKCS # 11 besteht seit 1995 und ist, wie der Blog selbst beschreibt, eine „plattformunabhängige API für den Zugriff auf und die Verwendung von kryptografischen Funktionen in Hardware-Sicherheitsmodulen (HSMs), Smartcards, USB-Token, TPMs und dergleichen. ”

Gemäß PrimeKey (Anbieter der Certificate Authority-Software EJBCA) hatte der PKCS # 11-Standard einige Probleme mit Standardisierungsproblemen im Zusammenhang mit vom Hersteller definierten Mechanismen in Hardware-Token, die seine Nützlichkeit als Standard-API einschränken. Die vorherige Version des Standards hatte auch einige Probleme, mit dem rasanten Tempo der kryptografischen Entwicklung in diesen Tagen Schritt zu halten. Daher ist Version drei eine willkommene und notwendige Änderung. Wie der Blog feststellt:

Im Allgemeinen hat es im Laufe der Jahre überraschend gut funktioniert, aber es gab subtile Nuancen, die berücksichtigt werden mussten, wenn versucht wurde, ein neues Token zu verwenden, das behauptet, PKCS # 11-konform zu sein, was zu Interoperabilitätsproblemen zwischen Clients und Servern führte.

Durch die Hinzufügung neuer, standardisierter kryptografischer Mechanismen in PKCS # 11 v3.0 (einschließlich SHA3- und EdDSA-Signaturen) können PrimeKey und andere Softwareanbieter diese standardisiert in Hardware-Sicherheitsmodulen und Token implementieren, die den neuen Standard unterstützen.

Das Mitnehmen von SSL.com:  SSL.com unterstützt die Entwicklung kryptografischer Standards, die die reibungslose Interoperabilität von Hardware und Software fördern und eine Lieferantenbindung verhindern.

Abonnieren Sie den Newsletter von SSL.com

Verpassen Sie keine neuen Artikel und Updates von SSL.com