Kami sama terkejutnya dengan siapa pun yang melaporkan bahwa satu bulan lagi telah berlalu. Dan, meski berlalu dengan cepat, Agustus penuh dengan berita keamanan. Bulan ini kita akan membahas:
- Internet of Things Rentan melalui Protokol Komunikasi yang Tidak Aman
- Blok China TLS 1.3 dan ENSI
- Kerentanan wolfSSL Ditemukan
- Versi Tiga dari Standar OASIS PKCS # 11 Dirilis
Internet of Things Dibiarkan Terbuka Melalui Protokol Komunikasi yang Tidak Aman
Lebih dari 3.7 juta perangkat IoT (Internet of Things) telah dibiarkan terbuka untuk diserang melalui dua protokol komunikasi peer-to-peer yang tidak aman: P2P Jaringan CS2 dan Shenzhen Yunni iLNKP2P.
Artikel oleh Shaun Nichols di Pendaftaran mendapat masalah yang membuat hal-hal seperti webcam, monitor bayi, dan perangkat lain yang terhubung ke internet rentan terhadap pembajakan. Kedua protokol tersebut digunakan oleh jutaan perangkat di seluruh dunia, yang berarti perangkat tersebut dapat diakses oleh siapa saja yang ingin mengintip, atau lebih buruk lagi.
Bug ditemukan oleh Paul Marrapese, yang memiliki seluruh situs, diretas.kamera, didedikasikan untuk kerentanan. `` Pada Agustus 2020, lebih dari 3.7 juta perangkat rentan telah ditemukan di internet, '' tulis situs tersebut, yang mencantumkan perangkat yang terkena dampak dan saran tentang apa yang harus dilakukan jika Anda memiliki peralatan yang berisiko. (Ringkasan: buang, atau coba firewall.)
Tentu saja, seperti yang dicatat oleh Nichols, kerentanan tidak berakhir dengan perangkat yang menjalankan protokol komunikasi.
… Ingatlah bahwa gadget ini berada di Wi-Fi dan LAN orang, jadi setelah Anda mengambil alih kamera keamanan, atau apa pun itu, Anda dapat menjangkau mesin yang berdekatan untuk mengeksploitasi, atau menggunakan alamat MAC jaringan nirkabel terdekat untuk menunjukkan dengan tepat lokasi perangkat keras dari database Google, dan sebagainya.
Untuk selengkapnya, "dan seterusnya," yang cukup banyak, sebaiknya baca seluruh artikel, juga mengarahkan kita ke DEFCON bicara dari Paul Marrapese yang memberikan gambaran mendalam tentang siapa saja yang tertarik atau mengkhawatirkan risiko keamanan:
Blok Tembok Api Besar TLS 1.3 dan ENSI
Agustus juga dibawa berita Tembok Api Besar China itu sekarang diblokir HTTPS lalu lintas yang menggunakan TLS 1.3 dan ESNI (Indikasi Nama Server Terenkripsi). Kedua teknologi tersebut mempersulit penyensoran China untuk melihat situs apa yang dicoba dihubungkan oleh warga dan bagi sensor untuk mengontrol akses ke situs web tersebut.
Gabungan melaporkan dari IYouPort, University of Maryland dan Great Firewall Report mengonfirmasi larangan tersebut, menurut sebuah artikel oleh Catalin Cimpanu dari ZDNet. Larangan tersebut, yang mulai berlaku sekitar akhir Juli, masih mengizinkan lalu lintas HTTPS yang menggunakan versi lama TLS dan tidak terenkripsi SNI, mengizinkan sensor pemerintah untuk melihat domain mana yang ingin dijangkau oleh warga.
Saat ini, grup yang merilis file melaporkan telah mengidentifikasi enam cara untuk menghindari larangan sisi klien dan empat cara untuk menghindarinya dari sisi server, tetapi grup dan artikel ZDNet mengakui bahwa penyelesaian ini bukanlah solusi jangka panjang karena "permainan kucing dan tikus" antara teknologi dan Sensor China berkembang.
Kerentanan di wolfSSL Ditemukan
Gérald Doussot dari firma keamanan cyber Grup NCC menerbitkan penasehat teknis pada tanggal 24 Agustus menjelaskan a TLS 1.3 kerentanan dalam versi serigalaSSL sebelum 4.5.0. Versi 4.5.0 pustaka wolfSSL, yang berisi perbaikan, dirilis pada 17 Agustus, sebelum publikasi nasihat Grup NCC, dan NCC Group merekomendasikan agar pengguna memperbarui ke versi yang lebih baru dan aman.
Menurut NCC Group:
wolfSSL salah mengimplementasikan TLS 1.3 mesin negara klien. Ini memungkinkan penyerang dalam posisi jaringan yang memiliki hak istimewa untuk sepenuhnya meniru siapa pun TLS 1.3 server dan membaca atau mengubah informasi yang mungkin sensitif antara klien menggunakan perpustakaan wolfSSL dan ini TLS Server.
Seperti yang dijelaskan di situs wolfSSL, pustaka SSL tersemat wolfSSL yang dimaksud "adalah SSL /TLS perpustakaan yang ditargetkan pada lingkungan IoT, tertanam, dan RTOS terutama karena ukuran, kecepatan, dan kumpulan fiturnya. ” Fakta bahwa kerentanan ini ditemukan di Internet of Things dan bahwa "hal-hal" yang ditemukan wolfSSL dalam jumlah miliaran membuat hal ini patut diperhatikan. Pembaruan untuk versi pustaka yang tetap dan tersedia sangat disarankan.
Versi Tiga dari Standar OASIS PKCS # 11 Dirilis
19 Agustus pengumuman di blog PrimeKey memberi petunjuk kepada kami fakta bahwa versi 3 dari antarmuka token kriptografi standar PKCS # 11 OASIS diterbitkan pada bulan Juni 2020.
PKCS # 11 telah ada sejak 1995 dan, seperti yang digambarkan oleh blog itu sendiri, adalah “API yang tidak bergantung platform untuk mengakses dan menggunakan fungsi kriptografi dalam modul keamanan perangkat keras (HSM), kartu pintar, token USB, TPM dan sejenisnya. ”
Menurut Kunci Utama (vendor perangkat lunak Otoritas Sertifikat EJBCA), standar PKCS # 11 memiliki beberapa masalah dengan masalah standardisasi terkait dengan mekanisme yang ditentukan vendor dalam token perangkat keras yang membatasi utilitasnya sebagai API standar. Versi standar sebelumnya juga mengalami beberapa masalah mengikuti laju perkembangan kriptografi yang cepat akhir-akhir ini, jadi versi tiga adalah perubahan yang disambut baik dan perlu. Sebagai catatan blog:
Secara umum, ini telah bekerja dengan sangat baik selama bertahun-tahun, tetapi ada nuansa halus yang memerlukan pertimbangan saat mencoba menggunakan token baru yang mengklaim sesuai dengan PKCS # 11 yang menyebabkan masalah interoperabilitas antara klien dan server.
Penambahan mekanisme kriptografi standar baru di PKCS # 11 v3.0 (termasuk tanda tangan SHA3 dan EdDSA) akan memungkinkan PrimeKey dan vendor perangkat lunak lain untuk mengimplementasikannya dengan cara standar di seluruh modul dan token keamanan perangkat keras yang mendukung standar baru.
