Olemme yhtä yllättyneitä kuin kukaan, kun ilmoitamme, että toinen kuukausi on kulunut. Ja vaikka se kului nopeasti, elokuu oli täynnä turvallisuusuutisia. Tässä kuussa tarkastelemme:
- Esineiden Internet on haavoittuva epävarmojen viestintäkäytäntöjen kautta
- Kiina estää TLS 1.3 ja ENSI
- wolfSSL-haavoittuvuus löydetty
- OASIS-standardin PKCS # 11 versio XNUMX julkaistu
Esineiden internet jätettiin avoimeksi epävarmojen viestintäkäytäntöjen avulla
Yli 3.7 miljoonaa IoT (Internet of Things) -laitetta on jätetty hyökkäämään kahden epävarman vertaisviestintäprotokollan kautta: CS2-verkko P2P ja Shenzhen Yunni iLNKP2P.
Shaun Nicholsin artikkeli Rekisteri joutuu ongelmiin jotka ovat jättäneet verkkokamerat, itkuhälyttimet ja muut Internetiin liitetyt laitteet alttiiksi kaappauksille. Näitä kahta protokollaa käyttävät miljoonat laitteet maailmanlaajuisesti, mikä tarkoittaa, että kuka tahansa, joka haluaa ryöstää tai pahempaa, voi käyttää näitä laitteita.
Virheet löysi Paul Marrapese, jolla on koko sivusto, hakkeroitu. kamera, joka on omistettu haavoittuvuuksille. 'Elokuussa 2020 Internetistä on löydetty yli 3.7 miljoonaa haavoittuvaa laitetta', lukee sivusto, jossa luetellaan kyseiset laitteet ja neuvoja siitä, mitä tehdä, jos sinulla on vaarassa olevia laitteita. (Yhteenveto: heitä se pois tai yritä palomuuria.)
Tietysti, kuten Nichols toteaa, haavoittuvuudet eivät pääty laitteisiin, joilla viestintäprotokollat toimivat.
... pidä mielessä, että nämä gadgetit istuvat ihmisten Wi-Fi- ja LAN-verkoissa, joten kun olet ohjannut valvontakameran tai mikä tahansa se voi olla, voit tavoittaa viereiset koneet hyödyntääkseen tai käyttää lähellä olevien langattomien verkkojen MAC-osoitteita tarkan tarkan paikan löytämiseen. laitteiston sijainti Googlen tietokannoista ja niin edelleen.
Kaiken kaikkiaan "ja niin edelleen", mikä on melko paljon, suosittelemme lukemaan koko artikkelin, johtaa meidät myös a DEFCON-puhe Paul Marrapese, joka antaa perusteellisen katsauksen kaikille, jotka ovat kiinnostuneita tai huolissaan turvallisuusriskeistä:
Suuri palomuuri estää TLS 1.3 ja ENSI
Elokuu toi myös uutiset että Kiinan suuri palomuuri estää nyt HTTPS liikenne, joka käyttää TLS 1.3 ja ESNI (salatun palvelimen nimen indikaatio). Molemmat tekniikat vaikeuttavat kiinalaisten sensuurien näkemistä, mihin sivustoihin kansalaiset yrittävät muodostaa yhteyden, ja sensoreita hallitsemaan pääsyä näille verkkosivustoille.
Liitos raportti IYouPortilta, Marylandin yliopisto ja Great Firewall Report vahvistivat kiellon artikkeli kirjoittanut Catalin Cimpanu, ZDNet. Joskus heinäkuun lopulla voimaan tullut kielto sallii edelleen HTTPS-liikenteen, joka käyttää vanhempia versioita TLS ja salaamattomana SNI, sallimalla valtion sensuurien nähdä, mihin alueisiin kansalaiset yrittävät päästä.
Tällä hetkellä ryhmät, jotka julkaisivat raportti ovat tunnistaneet kuusi tapaa kiertää kieltoasiakaspuoli ja neljä tapaa välttää se palvelinpuolella, mutta sekä ryhmä että ZDNet-artikkeli tunnustavat, että nämä kiertotavat eivät ole pitkäaikainen ratkaisu teknologian ja "kissan ja hiiren pelinä". Kiinan sensuuri etenee.
Löydetty wolfSSL-haavoittuvuudet
Gérald Doussot, kyberturvallisuusyritys NCC-ryhmä julkaistu tekninen neuvonta 24. elokuuta kuvataan a TLS 1.3 haavoittuvuus version susiSSL ennen 4.5.0. Korjauksen sisältävä wolfSSL-kirjaston versio 4.5.0 julkaistiin 17. elokuuta ennen NCC-ryhmän neuvonnan julkaisemista, ja NCC Group suosittelee, että käyttäjät päivittävät uudemman, suojatun version.
NCC Groupin mukaan:
wolfSSL toteuttaa väärin TLS 1.3 asiakkaan tilakone. Tämä antaa etuoikeutetussa verkkoasemassa oleville hyökkääjille mahdollisuuden esiintyä täysin millä tahansa TLS 1.3 palvelimia ja lue tai muokkaa potentiaalisesti arkaluontoisia tietoja asiakkaiden välillä wolfSSL-kirjaston ja näiden avulla TLS palvelimia.
Kuten kuvataan wolfSSL: n verkkosivusto, kyseessä oleva wolfSSL-upotettu SSL-kirjasto “on kevyt, kannettava, C-kielipohjainen SSL /TLS IoT-, sulautettuihin ja RTOS-ympäristöihin kohdistettu kirjasto ensisijaisesti sen koon, nopeuden ja ominaisuuksien vuoksi. " Se, että nämä haavoittuvuudet löytyvät esineiden internetistä ja että "asiat", jotka wolfSSL löytyy useissa miljardeissa, tekee tästä huomionarvoisen. Kirjaston kiinteän, saatavana olevan version päivitys on erittäin suositeltavaa.
OASIS-standardin PKCS # 11 versio XNUMX julkaistu
Elokuu 19 ilmoitus PrimeKeyn blogissa kiinnitti meidät siihen tosiseikkaan, että OASIS-standardin PKCS # 3-salauskäyttöliittymän versio 11 julkaistiin kesäkuussa 2020.
PKCS # 11 on ollut olemassa vuodesta 1995 lähtien, ja kuten blogi itse kuvaa, se on "alustasta riippumaton sovellusliittymä, jolla pääsee salaustoimintoihin ja niitä voidaan käyttää laitteistojen suojausmoduuleissa, älykorteissa, USB-rahakkeissa, TPM: issä ja vastaavissa. ”
Mukaan PrimeKey (Certificate Authority-ohjelmiston toimittajat EJBCA), PKCS # 11 -standardilla on ollut joitain ongelmia standardointikysymyksissä, jotka liittyvät toimittajan määrittelemiin mekanismeihin laitteistotunnisteissa, jotka rajoittavat sen hyödyllisyyttä tavallisena sovellusliittymänä. Standardin edellisellä versiolla on myös ollut vaikeuksia pysyä nykyään nopeana salauksen kehityksessä, joten versio XNUMX on tervetullut ja tarvittava muutos. Kuten blogi toteaa:
Yleensä se on toiminut yllättävän hyvin vuosien varrella, mutta on ollut hienovaraisia vivahteita, jotka vaativat huomiota, kun yritetään käyttää uutta tunnusta, jonka väitetään olevan PKCS # 11 -yhteensopiva, mikä aiheuttaa yhteentoimivuusongelmia asiakkaiden ja palvelinten välillä.
Uusien, standardoitujen salausmekanismien lisääminen PKCS # 11 v3.0: een (mukaan lukien SHA3- ja EdDSA-allekirjoitukset) antaa PrimeKeylle ja muille ohjelmistotoimittajille mahdollisuuden toteuttaa ne standardoidusti uutta standardia tukevissa laitteistojen suojausmoduuleissa ja -merkeissä.
