Raccolta di sicurezza di agosto 2020

Siamo sorpresi come chiunque altro nel segnalare che un altro mese è volato. E, sebbene sia passato rapidamente, agosto era pieno di notizie sulla sicurezza. Questo mese daremo uno sguardo a:

Internet delle cose lasciate aperte grazie a protocolli di comunicazione non sicuri

Oltre 3.7 milioni di dispositivi IoT (Internet of Things) sono stati lasciati aperti agli attacchi tramite due protocolli di comunicazione peer-to-peer non sicuri: CS2 Rete P2P ed Shenzhen Yunni iLNKP2P.

Un articolo di Shaun Nichols in Il registro entra nei problemi che hanno lasciato cose come webcam, baby monitor e altri dispositivi collegati a Internet vulnerabili al dirottamento. I due protocolli sono utilizzati da milioni di dispositivi in ​​tutto il mondo, il che significa che è possibile accedere a quei dispositivi da chiunque voglia curiosare, o peggio.

I bug sono stati trovati da Paul Marrapese, che ha un intero sito, hacked.fotocamera, dedicato alle vulnerabilità. "A partire dall'agosto 2020, su Internet sono stati trovati oltre 3.7 milioni di dispositivi vulnerabili", si legge nel sito, che elenca i dispositivi interessati e fornisce consigli su cosa fare se si dispone di attrezzatura a rischio. (Riepilogo: buttalo via o prova a disattivarlo.)

Ovviamente, come osserva Nichols, le vulnerabilità non finiscono con i dispositivi su cui girano i protocolli di comunicazione.

... tieni presente che questi gadget si trovano sul Wi-Fi e sulle LAN delle persone, quindi una volta che hai requisito una videocamera di sicurezza, o qualunque cosa sia, puoi raggiungere le macchine adiacenti da sfruttare o utilizzare gli indirizzi MAC della rete wireless nelle vicinanze per individuare l'esatto posizione dell'hardware dai database di Google e così via.

Per il pieno, "e così via", che è abbastanza, consigliamo di leggere l'intero articolo, ci porta anche a un Discorso DEFCON di Paul Marrapese che dà uno sguardo approfondito a chiunque sia interessato o preoccupato per i rischi per la sicurezza:


Da asporto di SSL.com: La sicurezza dell'Internet of Things è un grosso problema in questi giorni! Se sei un produttore o fornitore di IoT, SSL.com può aiutarti proteggi i tuoi dispositivi con certificati digitali pubblicamente attendibili emessi in modo sicuro tramite protocolli standard del settore come ACME.

I grandi blocchi del firewall TLS 1.3 e ENSI

Anche agosto ha portato notizie che il Great Firewall cinese sta ora bloccando HTTPS traffico che utilizza TLS 1.3 e ESNI (Encrypted Server Name Indication). Entrambe le tecnologie rendono più difficile per i censori cinesi vedere a quali siti i cittadini stanno cercando di connettersi e per i censori controllare l'accesso a tali siti web.

Un giunto rapporto da IYouPort, l'Università del Maryland e il Great Firewall Report hanno confermato il divieto, secondo un articolo di Catalin Cimpanu di ZDNet. Il divieto, entrato in vigore alla fine di luglio, consente ancora il traffico HTTPS che utilizza versioni precedenti di TLS e non crittografato SNI, consentendo alla censura del governo di vedere quali domini i cittadini stanno cercando di raggiungere.

Al momento, i gruppi che hanno rilasciato il rapporto hanno identificato sei modi per aggirare il divieto lato client e quattro modi per evitarlo lato server, ma sia il gruppo che l'articolo di ZDNet riconoscono che queste soluzioni alternative non sono una soluzione a lungo termine come il "gioco del gatto e del topo" tra tecnologia e La censura cinese progredisce.

Da asporto di SSL.com:  Non è un segreto che i governi autoritari (e altri) siano contrari all'accesso dei cittadini a una forte crittografia end-to-end e alla navigazione web anonima. SSL.com, d'altra parte, rimane impegnato in un Internet sicuro e crittografato.

Rilevate vulnerabilità in wolfSSL

Gérald Doussot della società di sicurezza informatica Gruppo NCC pubblicato un consulenza tecnica il 24 agosto descrivendo a TLS 1.3 vulnerabilità nelle versioni di lupoSSL prima della 4.5.0. La versione 4.5.0 della libreria wolfSSL, contenente una correzione, è stata rilasciata il 17 agosto, prima della pubblicazione dell'advisory di NCC Group, e NCC Group consiglia agli utenti di eseguire l'aggiornamento alla versione più recente e sicura.

Secondo NCC Group:

wolfSSL implementa in modo errato il file TLS 1.3 macchina a stati del client. Ciò consente agli aggressori in una posizione di rete privilegiata di impersonare completamente qualsiasi file TLS 1.3 server e leggere o modificare informazioni potenzialmente sensibili tra i client utilizzando la libreria wolfSSL e questi TLS server.

Come descritto su sito web di wolfSSL, la libreria SSL incorporata wolfSSL in questione "è un SSL / linguaggio C leggero, portatile eTLS libreria destinata agli ambienti IoT, embedded e RTOS principalmente per le sue dimensioni, velocità e set di funzionalità ". Il fatto che queste vulnerabilità si trovino nell'Internet of Things e che le "cose" che wolfSSL si trovano in numero di miliardi rende questo degno di nota. Si consiglia vivamente un aggiornamento alla versione fissa e disponibile della libreria.

Da asporto di SSL.com: Come avrai notato sopra, la sicurezza IoT è un grosso problema in questi giorni. wolfSSL's sito web afferma che "Oltre 2 miliardi di applicazioni e dispositivi sono protetti con i prodotti wolfSSL". Ovviamente, siamo d'accordo con NCC Group che coloro che utilizzano la libreria wolfSSL per TLS 1.3 dovrebbe essere aggiornato immediatamente all'ultima versione.

Rilasciata la versione tre dello standard PKCS # 11 di OASIS

Un 19 agosto annuncio sul blog di PrimeKey ci ha fatto capire che la versione 3 dell'interfaccia del token crittografico PKCS # 11 standard OASIS è stata pubblicata a giugno 2020.

PKCS # 11 esiste dal 1995 e, come lo descrive il blog stesso, è una "API indipendente dalla piattaforma per accedere e utilizzare funzioni crittografiche in moduli di sicurezza hardware (HSM), smart card, token USB, TPM e simili. "

Secondo PrimeKey (fornitori del software EJBCA dell'autorità di certificazione), lo standard PKCS # 11 ha avuto alcuni problemi con problemi di standardizzazione relativi ai meccanismi definiti dal fornitore nei token hardware che ne limitano l'utilità come API standard. La versione precedente dello standard ha anche avuto qualche problema a tenere il passo con il rapido ritmo dello sviluppo crittografico in questi giorni, quindi la versione tre è un cambiamento gradito e necessario. Come osserva il blog:

In generale, ha funzionato sorprendentemente bene nel corso degli anni, ma ci sono state sottili sfumature che richiedono considerazione quando si tenta di utilizzare un nuovo token che dichiara di essere conforme a PKCS # 11 causando problemi di interoperabilità tra client e server.

L'aggiunta di nuovi meccanismi crittografici standardizzati in PKCS # 11 v3.0 (comprese le firme SHA3 e EdDSA) consentirà a PrimeKey e ad altri fornitori di software di implementarli in modo standardizzato su moduli di sicurezza hardware e token che supportano il nuovo standard.

Da asporto di SSL.com:  SSL.com supporta lo sviluppo di standard crittografici che promuovono la fluida interoperabilità di hardware e software e prevengono il blocco del fornitore.

Iscriviti alla Newsletter di SSL.com

Non perdere nuovi articoli e aggiornamenti da SSL.com

Ci piacerebbe il tuo feedback

Partecipa al nostro sondaggio e facci sapere cosa ne pensi del tuo recente acquisto.