우리는 다른 한 달이지나 갔다고보고하는 사람만큼 놀랍습니다. 그리고 빠르게지나 갔지만 XNUMX 월은 보안 뉴스로 가득 차있었습니다. 이번 달에는 다음 사항을 살펴 보겠습니다.
안전하지 않은 통신 프로토콜을 통해 열린 사물 인터넷
3.7 만 개가 넘는 IoT (사물 인터넷) 장치가 두 가지 안전하지 않은 PXNUMXP 통신 프로토콜을 통해 공격을받을 수 있도록 열려 있습니다. CS2 네트워크 P2P 및 심천 Yunni iLNKP2P.
Shaun Nichols의 기사 등록 문제에 빠지다 웹캠, 베이비 모니터 및 기타 인터넷 연결 장치와 같은 것을 하이재킹에 취약하게 만들었습니다. 두 프로토콜은 전 세계적으로 수백만 대의 장치에서 사용됩니다. 즉, 스누핑을 원하는 사람은 누구나 해당 장치에 액세스 할 수 있습니다.
버그는 전체 사이트를 보유한 Paul Marrapese가 발견했습니다. 해킹.카메라, 취약점 전용. '2020 년 3.7 월 기준으로 XNUMX 만 개 이상의 취약한 장치가 인터넷에서 발견되었습니다.'이 사이트에는 영향을받는 장치와 위험에 처한 장비가있는 경우 어떻게해야하는지에 대한 조언이 나열되어 있습니다. (요약 : 버리거나 방화벽을 해제하십시오.)
물론 Nichols가 지적했듯이 취약점은 통신 프로토콜이 실행되는 장치로 끝나지 않습니다.
… 이러한 가제트는 사람들의 Wi-Fi 및 LAN에 설치되어 있으므로 보안 카메라를 사용하거나 어떤 것이 든 상관없이 인접한 컴퓨터에 접근하여 정확한 정보를 찾기 위해 근처의 무선 네트워크 MAC 주소를 사용할 수 있습니다. Google 데이터베이스의 하드웨어 위치 등.
전체 기사를 읽는 것이 좋습니다. 전체 기사를 읽는 것이 좋습니다. DEFCON 토크 보안 위험에 관심이 있거나 우려되는 모든 사람을 자세히 살펴 보는 Paul Marrapese의
만리 방화벽 블록 TLS 1.3 및 ENSI
XNUMX 월도 가져왔다 news 중국의 만리 방화벽이 현재 HTTPS 사용하는 트래픽 TLS 1.3 및 ESNI (암호화 된 서버 이름 표시). 두 기술 모두 중국 검열 관이 시민들이 연결하려는 사이트를 확인하고 검열 관이 해당 웹 사이트에 대한 액세스를 제어하는 것을 더 어렵게 만듭니다.
관절 신고 IYouPort의 메릴랜드 대학과 Great Firewall Report는 금지 조치를 확인했습니다. 기사 ZDNet의 Catalin Cimpanu가 작성했습니다. XNUMX 월 말에 발효 된이 금지는 여전히 이전 버전을 사용하는 HTTPS 트래픽을 허용합니다. TLS 암호화되지 않음 SNI, 정부 검열 관이 시민이 도달하려는 도메인을 볼 수 있도록합니다.
현재 출시 한 그룹은 신고 클라이언트 측 금지를 우회하는 XNUMX 가지 방법과 서버 측 금지를 피하는 XNUMX 가지 방법을 확인했지만 그룹과 ZDNet 기사 모두 이러한 해결 방법이 기술과 마우스 사이의 "고양이와 마우스 게임"이라는 장기적인 해결책이 아니라는 점을 인정했습니다. 중국 검열이 진행됩니다.
wolfSSL의 취약점 발견
사이버 보안 회사의 Gérald Doussot NCC 그룹 출판 기술 자문 24 월 XNUMX 일에 TLS 1.3 버전의 취약점 늑대 4.5.0 이전. 수정 사항이 포함 된 wolfSSL 라이브러리 버전 4.5.0은 NCC 그룹의 권고가 게시되기 전에 17 월 XNUMX 일에 릴리스되었으며 NCC 그룹은 사용자가 최신 보안 버전으로 업데이트 할 것을 권장합니다.
NCC 그룹에 따르면 :
wolfSSL은 TLS 1.3 클라이언트 상태 머신. 이를 통해 권한있는 네트워크 위치에있는 공격자는 모든 TLS 1.3 서버를 사용하고 wolfSSL 라이브러리를 사용하는 클라이언트간에 잠재적으로 민감한 정보를 읽거나 수정합니다. TLS 서버.
에 설명 된대로 wolfSSL의 웹 사이트, 문제의 wolfSSL 임베디드 SSL 라이브러리 "는 가볍고 휴대 가능한 C 언어 기반 SSL /TLS 크기, 속도 및 기능 세트 때문에 주로 IoT, 임베디드 및 RTOS 환경을 대상으로하는 라이브러리입니다. " 이러한 취약점이 사물 인터넷에서 발견되고 wolfSSL이 수십억 개에 달하는 "사물"이 발견된다는 사실에 주목할 가치가 있습니다. 사용 가능한 고정 버전의 라이브러리로 업데이트하는 것이 좋습니다.
OASIS 표준 PKCS # 11 버전 XNUMX 출시
19 월 XNUMX 일 발표 PrimeKey의 블로그에서 OASIS 표준 PKCS # 3 암호화 토큰 인터페이스의 버전 11이 2020 년 XNUMX 월에 게시되었다는 사실을 알 수있었습니다.
PKCS # 11은 1995 년부터 존재 해 왔으며 블로그 자체에서 설명 하듯이“하드웨어 보안 모듈 (HSM), 스마트 카드, USB 토큰, TPM 등의 암호화 기능에 액세스하고 사용하기위한 플랫폼 독립적 API입니다. ”
에 따르면 프라임 키 (인증 기관 소프트웨어 EJBCA의 공급 업체), PKCS # 11 표준은 표준 API로서의 유틸리티를 제한하는 하드웨어 토큰의 공급 업체 정의 메커니즘과 관련된 표준화 문제에 몇 가지 문제가있었습니다. 이전 버전의 표준도 요즘 빠른 암호화 개발 속도를 따라 잡는 데 약간의 문제가 있었으므로 버전 XNUMX은 환영 받고 필요한 변경 사항입니다. 블로그 노트 :
일반적으로 수년 동안 놀랍게도 잘 작동했지만 PKCS # 11을 준수한다고 주장하는 새 토큰을 사용하려고 할 때 클라이언트와 서버 간의 상호 운용성 문제를 일으키는 미묘한 뉘앙스가 있습니다.
PKCS # 11 v3.0 (SHA3 및 EdDSA 서명 포함)에 새롭고 표준화 된 암호화 메커니즘을 추가하면 PrimeKey 및 기타 소프트웨어 공급 업체가 새로운 표준을 지원하는 하드웨어 보안 모듈 및 토큰 전반에 걸쳐 표준화 된 방식으로이를 구현할 수 있습니다.
