別の月が過ぎ去ったことを報告する誰にとっても、私たちは驚きます。 そして、それはすぐに過ぎましたが、XNUMX月はセキュリティニュースでいっぱいでした。 今月は次のことを見ていきます。
- 安全でない通信プロトコルを介して脆弱なモノのインターネット
- 中国ブロック TLS 1.3およびENSI
- wolfSSLの脆弱性が発見されました
- OASIS標準PKCS#11のバージョンXNUMXがリリースされました
安全でない通信プロトコルによってオープンなままのモノのインターネット
3.7万台を超えるIoT(モノのインターネット)デバイスは、XNUMXつの安全でないピアツーピア通信プロトコルを介して攻撃するために開かれたままになっています。 CS2ネットワークP2P • 深センユンニiLNKP2P.
ショーン・ニコルズの記事 登録 問題に入る ウェブカメラ、ベビーモニター、その他のインターネットにリンクされたデバイスなどのハイジャックの脆弱性が残っています。 XNUMXつのプロトコルは世界中で数百万のデバイスで使用されています。つまり、これらのデバイスは、スヌープしたい、またはそれよりも悪意のあるユーザーがアクセスできます。
バグは、サイト全体を所有するPaul Marrapeseによって発見されました。 ハッキングされたカメラ、脆弱性に特化。 「2020年3.7月の時点で、XNUMX万個を超える脆弱なデバイスがインターネット上で発見されています」とサイトを読み、影響を受けるデバイスと、リスクのあるギアがある場合の対処法についてのリストを掲載しています。 (要約:捨てるか、ファイアウォールで遮断してみてください。)
もちろん、Nicholsが指摘しているように、脆弱性は通信プロトコルが実行されているデバイスだけに留まりません。
…これらのガジェットは人々のWi-FiとLAN上にあることを覚えておいてください。セキュリティカメラなどを指揮したら、隣接するマシンにアクセスして悪用したり、近くのワイヤレスネットワークのMACアドレスを使用して正確に特定したりできますGoogleのデータベースからのハードウェアの場所など。
完全な「など」についてはかなり多く、記事全体を読むことをお勧めします。また、 DEFCONトーク セキュリティリスクに関心のある、または心配している人を詳細に調べるPaul Marrapeseからの引用:
優れたファイアウォールブロック TLS 1.3およびENSI
XNUMX月ももたらした ニュース 中国のグレートファイアウォールがブロックしていること HTTPS を使用するトラフィック TLS 1.3 およびESNI(暗号化サーバー名表示)。 どちらのテクノロジーも、中国の検閲者が市民が接続しようとしているサイトを確認することや、検閲者がそれらのWebサイトへのアクセスを制御することを困難にします。
ジョイント レポート IYouPortから、メリーランド大学と大ファイアウォールレポートが禁止を確認したと、 記事 ZDNetのCatalin Cimpanuによる。 XNUMX月下旬に施行された禁止措置では、以前のバージョンの TLS 暗号化されていない SNI、政府の検閲者が市民が到達しようとしているドメインを確認できるようにします。
現時点では、リリースしたグループ レポート 禁止クライアント側を回避するXNUMXつの方法とサーバー側を回避するXNUMXつの方法を特定しましたが、グループとZDNetの記事の両方で、これらの回避策は、テクノロジーと中国の検閲が進行します。
wolfSSLの脆弱性が発見されました
サイバーセキュリティ会社のGéraldDoussot NCCグループ 公開 テクニカルアドバイザリー 24月XNUMX日に TLS 1.3のバージョンの脆弱性 wolfSSL 4.5.0より前。 修正を含むwolfSSLライブラリのバージョン4.5.0は、NCCグループのアドバイザリが公開される前の17月XNUMX日にリリースされました。NCCグループは、ユーザーが新しい安全なバージョンに更新することを推奨しています。
NCCグループによると:
wolfSSLは誤って実装します TLS 1.3クライアントステートマシン。 これにより、特権ネットワークの位置にいる攻撃者は、完全になりすましを行うことができます。 TLS 1.3サーバー、およびwolfSSLライブラリとこれらを使用してクライアント間の潜在的に機密性の高い情報を読み取りまたは変更する TLS サーバー。
に記載されているように wolfSSLのウェブサイト、問題のwolfSSL組み込みSSLライブラリは、「軽量でポータブルなC言語ベースのSSL /です。TLS 主にそのサイズ、速度、機能セットのために、IoT、組み込み、RTOS環境を対象としたライブラリ。」 これらの脆弱性がモノのインターネットで発見されているという事実と、wolfSSLが数十億の数で発見されている「モノ」は、これを注目に値するものにします。 修正された利用可能なバージョンのライブラリを更新することを強くお勧めします。
OASIS標準PKCS#11のバージョンXNUMXがリリースされました
8月の19 発表 PrimeKeyのブログで、OASIS標準PKCS#3暗号化トークンインターフェイスのバージョン11が2020年XNUMX月に公開されたという事実を知ることができました。
PKCS#11は1995年から存在しており、ブログ自体が説明しているように、ハードウェアセキュリティモジュール(HSM)、スマートカード、USBトークン、TPMなどの暗号化機能にアクセスして使用するためのプラットフォームに依存しないAPIです。 」
による プライムキー (認証局ソフトウェアEJBCAのベンダー)、PKCS#11標準には、標準APIとしてのユーティリティを制限するハードウェアトークンのベンダー定義メカニズムに関連する標準化の問題にいくつかの問題がありました。 標準の以前のバージョンでも、最近の暗号開発の急速なペースに対応するのに問題がありました。そのため、バージョンXNUMXは歓迎され、必要な変更です。 ブログのメモとして:
一般に、それは長年にわたって驚くほどうまく機能しましたが、クライアントとサーバー間の相互運用性の問題を引き起こすPKCS#11準拠であると主張する新しいトークンを使用しようとする場合、考慮が必要な微妙なニュアンスがありました。
PKCS#11 v3.0(SHA3およびEdDSA署名を含む)に新しい標準化された暗号化メカニズムを追加すると、PrimeKeyおよび他のソフトウェアベンダーは、新しい標準をサポートするハードウェアセキュリティモジュールおよびトークン全体で標準化された方法でそれらを実装できます。