en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

Resumen de seguridad de agosto de 2020

Estamos tan sorprendidos como cualquiera al informar que otro mes ha pasado volando. Y, aunque pasó rápido, agosto estuvo lleno de noticias de seguridad. Este mes echaremos un vistazo a:

Internet de las cosas dejada abierta a través de protocolos de comunicación inseguros

Más de 3.7 millones de dispositivos IoT (Internet de las cosas) se han dejado abiertos al ataque a través de dos protocolos de comunicación inseguros de igual a igual: Red CS2 P2P y Shenzhen Yunni iLNKP2P.

Un artículo de Shaun Nichols en El registro se mete en los problemas que han dejado cosas como cámaras web, monitores para bebés y otros dispositivos conectados a Internet vulnerables al secuestro. Los dos protocolos son utilizados por millones de dispositivos en todo el mundo, lo que significa que cualquiera que quiera fisgonear o algo peor puede acceder a esos dispositivos.

Los errores fueron encontrados por Paul Marrapese, que tiene un sitio completo, cámara pirateada, dedicado a las vulnerabilidades. `` Hasta agosto de 2020, se han encontrado más de 3.7 millones de dispositivos vulnerables en Internet '', dice el sitio, que enumera los dispositivos afectados y consejos sobre qué hacer si tiene algún equipo en riesgo. (Resumen: deséchelo o intente cortarlo con un firewall).

Por supuesto, como señala Nichols, las vulnerabilidades no terminan con los dispositivos en los que se ejecutan los protocolos de comunicación.

... tenga en cuenta que estos dispositivos se encuentran en las redes Wi-Fi y LAN de las personas, por lo que una vez que haya tomado una cámara de seguridad, o lo que sea, puede acceder a las máquinas adyacentes para explotarlas, o usar las direcciones MAC de la red inalámbrica cercana para identificar la ubicación del hardware de las bases de datos de Google, etc.

Para leer el artículo completo, "y así sucesivamente", que es bastante, recomendamos leer el artículo completo, también nos lleva a un Charla DEFCON de Paul Marrapese que ofrece una mirada en profundidad para cualquiera que esté interesado o preocupado por los riesgos de seguridad:


Para llevar de SSL.com: ¡La seguridad de Internet de las cosas es un gran problema en estos días! Si es un fabricante o proveedor de IoT, SSL.com puede ayudarlo asegura tus dispositivos con certificados digitales de confianza pública emitidos de forma segura a través de protocolos estándar de la industria como CUMBRE.

Los grandes bloques cortafuegos TLS 1.3 y ENSI

Agosto también trajo noticias que el Gran Cortafuegos de China ahora bloquea HTTPS tráfico que usa TLS 1.3 y ESNI (Indicación de nombre de servidor cifrado). Ambas tecnologías dificultan que los censores chinos vean a qué sitios los ciudadanos intentan conectarse y que los censores controlen el acceso a esos sitios web.

Una articulación informe de IYouPort, la Universidad de Maryland y el Great Firewall Report confirmaron la prohibición, según un artículo por Catalin Cimpanu de ZDNet. La prohibición, que entró en vigor a finales de julio, todavía permite el tráfico HTTPS que utiliza versiones anteriores de TLS y sin cifrar SNI, lo que permite a los censores del gobierno ver a qué dominios intentan llegar los ciudadanos.

Por el momento, los grupos que lanzaron el informe han identificado seis formas de eludir la prohibición del lado del cliente y cuatro formas de evitarla del lado del servidor, pero tanto el grupo como el artículo de ZDNet reconocen que estas soluciones no son una solución a largo plazo como el "juego del gato y el ratón" entre la tecnología y La censura china avanza.

Para llevar de SSL.com:  No es ningún secreto que los gobiernos autoritarios (y otros) se oponen al acceso de los ciudadanos a un cifrado sólido de extremo a extremo y una navegación web anónima. SSL.com, por otro lado, sigue comprometido con una Internet segura y encriptada.

Vulnerabilidades en wolfSSL descubiertas

Gérald Doussot de la empresa de seguridad cibernética Grupo NCC una publicación asesoría técnica el 24 de agosto describiendo un TLS 1.3 vulnerabilidad en versiones de loboSSL antes de 4.5.0. La versión 4.5.0 de la biblioteca wolfSSL, que contiene una solución, se lanzó el 17 de agosto, antes de la publicación del aviso del Grupo NCC, y el Grupo NCC recomienda que los usuarios actualicen a la versión más nueva y segura.

Según NCC Group:

wolfSSL implementa incorrectamente el TLS 1.3 máquina de estado del cliente. Esto permite a los atacantes en una posición de red privilegiada suplantar completamente cualquier TLS 1.3 servidores y leer o modificar información potencialmente sensible entre clientes que utilizan la biblioteca wolfSSL y estos TLS servidores.

Como se describe en Sitio web de wolfSSL, la biblioteca SSL embebida de wolfSSL en cuestión “es un SSL ligero, portátil y basado en lenguaje C /TLS biblioteca dirigida a entornos de IoT, integrados y RTOS principalmente debido a su tamaño, velocidad y conjunto de funciones ". El hecho de que estas vulnerabilidades se encuentren en Internet de las cosas y de que las “cosas” en las que se encuentra wolfSSL asciendan a miles de millones hace que valga la pena notarlo. Se recomienda encarecidamente una actualización de la versión fija disponible de la biblioteca.

Para llevar de SSL.com: Como habrás notado anteriormente, la seguridad de IoT es un gran problema en estos días. wolfSSL's sitio web afirma que "Más de 2 millones de aplicaciones y dispositivos están protegidos con productos wolfSSL". Obviamente, estamos de acuerdo con NCC Group en que aquellos que usan la biblioteca wolfSSL para TLS 1.3 debería actualizarse inmediatamente a la última versión.

Lanzamiento de la versión tres del estándar PKCS # 11 de OASIS

Un agosto de 19 anuncio en el blog de PrimeKey nos dio una pista sobre el hecho de que la versión 3 de la interfaz de token criptográfico PKCS # 11 estándar de OASIS se publicó en junio de 2020.

PKCS # 11 existe desde 1995 y, como lo describe el propio blog, es una “API independiente de la plataforma para acceder y utilizar funciones criptográficas en módulos de seguridad de hardware (HSM), tarjetas inteligentes, tokens USB, TPM y similares. "

Según PrimeKey (proveedores del software de autoridad de certificación EJBCA), el estándar PKCS # 11 ha tenido algunos problemas con los problemas de estandarización relacionados con los mecanismos definidos por el proveedor en los tokens de hardware que limitan su utilidad como API estándar. La versión anterior del estándar también ha tenido algunos problemas para mantenerse al día con el rápido ritmo del desarrollo criptográfico en estos días, por lo que la versión tres es un cambio necesario y bienvenido. Como señala el blog:

En general, ha funcionado sorprendentemente bien a lo largo de los años, pero ha habido matices sutiles que requieren consideración al intentar utilizar un nuevo token que afirma ser compatible con PKCS # 11, lo que provoca problemas de interoperabilidad entre clientes y servidores.

La adición de nuevos mecanismos criptográficos estandarizados en PKCS # 11 v3.0 (incluidas las firmas SHA3 y EdDSA) permitirá a PrimeKey y a otros proveedores de software implementarlos de manera estandarizada en módulos de seguridad de hardware y tokens que admitan el nuevo estándar.

Para llevar de SSL.com:  SSL.com apoya el desarrollo de estándares criptográficos que promueven la interoperabilidad fluida de hardware y software y evitan el bloqueo de proveedores.

Suscríbase al boletín de SSL.com

No se pierda los nuevos artículos y actualizaciones de SSL.com