We zijn net zo verrast als iedereen om te melden dat er weer een maand voorbij is gevlogen. En hoewel het snel voorbijging, stond augustus vol met beveiligingsnieuws. Deze maand kijken we naar:
- Internet of Things kwetsbaar via onveilige communicatieprotocollen
- China Blokken TLS 1.3 en ENSI
- wolfSSL-kwetsbaarheid ontdekt
- Versie drie van OASIS Standard PKCS # 11 uitgebracht
Internet of Things opengelaten door onveilige communicatieprotocollen
Meer dan 3.7 miljoen IoT-apparaten (Internet of Things) staan open voor aanvallen via twee onveilige peer-to-peer communicatieprotocollen: CS2 Netwerk P2P en Shenzhen Yunni iLNKP2P.
Een artikel van Shaun Nichols in Het register komt in de problemen die dingen als webcams, babyfoons en andere met internet verbonden apparaten kwetsbaar hebben gemaakt voor kaping. De twee protocollen worden door miljoenen apparaten over de hele wereld gebruikt, wat betekent dat die apparaten toegankelijk zijn voor iedereen die wil snuffelen, of erger.
De bugs zijn gevonden door Paul Marrapese, die een hele site heeft, gehackt.camera, gewijd aan de kwetsbaarheden. 'Sinds augustus 2020 zijn er meer dan 3.7 miljoen kwetsbare apparaten op internet gevonden', luidt de site, waarop de getroffen apparaten worden vermeld en advies geeft over wat je moet doen als je apparatuur hebt die risico loopt. (Samenvatting: gooi het weg of probeer het door een firewall af te schermen.)
Zoals Nichols opmerkt, eindigen de kwetsbaarheden natuurlijk niet bij de apparaten waarop de communicatieprotocollen draaien.
... houd er rekening mee dat deze gadgets zich op de Wi-Fi en LAN's van mensen bevinden, dus als je eenmaal een beveiligingscamera hebt aangestuurd, of wat het ook is, kun je aangrenzende machines bereiken om misbruik te maken, of MAC-adressen van draadloze netwerken in de buurt gebruiken om de exacte locatie van de hardware uit de databases van Google, enzovoort.
Voor het volledige "enzovoort", wat best veel is, raden we u aan het hele artikel te lezen, wat ons ook naar een DEFCON praten van Paul Marrapese die een diepgaande blik geeft voor iedereen die geïnteresseerd of bezorgd is over de veiligheidsrisico's:
De grote firewall blokkeert TLS 1.3 en ENSI
Augustus bracht ook nieuws dat China's Great Firewall nu blokkeert HTTPS verkeer dat gebruikmaakt van TLS 1.3 en ESNI (gecodeerde servernaamindicatie). Beide technologieën maken het voor Chinese censors moeilijker om te zien met welke sites burgers verbinding proberen te maken en voor censors om de toegang tot die websites te controleren.
Een joint verslag van IYouPort, de University of Maryland en het Great Firewall Report bevestigden het verbod, volgens een dit artikel door Catalin Cimpanu van ZDNet. Het verbod, dat ergens eind juli van kracht werd, staat nog steeds HTTPS-verkeer toe dat gebruikmaakt van oudere versies van TLS en niet-versleuteld SNI, waardoor overheidscensoren kunnen zien welke domeinen burgers proberen te bereiken.
Op dit moment zijn de groepen die de verslag hebben zes manieren geïdentificeerd om het verbod aan de clientzijde te omzeilen en vier manieren om het aan de serverzijde te vermijden, maar zowel de groep als het ZDNet-artikel erkennen dat deze tijdelijke oplossingen geen langetermijnoplossing zijn als het 'kat-en-muisspel' tussen technologie en De Chinese censuur vordert.
Kwetsbaarheden in wolfSSL ontdekt
Gérald Doussot van cyberbeveiligingsbedrijf NCC Group publiceerde een technisch advies op 24 augustus beschrijft een TLS 1.3 kwetsbaarheid in versies van wolfSSL vóór 4.5.0. Versie 4.5.0 van de wolfSSL-bibliotheek, die een fix bevat, werd uitgebracht op 17 augustus, voorafgaand aan de publicatie van het advies van de NCC Group, en NCC Group raadt gebruikers aan om bij te werken naar de nieuwere, veilige versie.
Volgens NCC Group:
wolfSSL implementeert onjuist het TLS 1.3 clientstatusmachine. Hierdoor kunnen aanvallers in een geprivilegieerde netwerkpositie zich volledig voordoen als iemand TLS 1.3 servers en lezen of wijzigen potentieel gevoelige informatie tussen clients die de wolfSSL-bibliotheek gebruiken en deze TLS servers.
Zoals beschreven op wolfSSL's websiteis de wolfSSL embedded SSL-bibliotheek in kwestie “een lichtgewicht, draagbare, op C-taal gebaseerde SSL /TLS bibliotheek gericht op IoT-, embedded- en RTOS-omgevingen, voornamelijk vanwege de grootte, snelheid en functieset. " Het feit dat deze kwetsbaarheden worden gevonden op het internet der dingen en dat de ‘dingen’ waar wolfSSL op in de miljarden te vinden is, maakt dit opmerkelijk. Een update naar de vaste, beschikbare versie van de bibliotheek wordt sterk aangeraden.
Versie drie van OASIS Standard PKCS # 11 uitgebracht
Een augustus 19 aankondiging op PrimeKey's blog heeft ons geïnformeerd over het feit dat versie 3 van de OASIS-standaard PKCS # 11 cryptografische tokeninterface in juni 2020 werd gepubliceerd.
PKCS # 11 bestaat sinds 1995 en is, zoals de blog zelf beschrijft, een “platformonafhankelijke API voor toegang tot en gebruik van cryptografische functies in hardware-beveiligingsmodules (HSM's), smartcards, USB-tokens, TPM's en dergelijke. "
Think PrimeKey (leveranciers van de Certificate Authority-software EJBCA), heeft de PKCS # 11-standaard enkele problemen gehad met standaardisatieproblemen met betrekking tot door de leverancier gedefinieerde mechanismen in hardwaretokens die het nut ervan als een standaard-API beperken. De vorige versie van de standaard had tegenwoordig ook wat moeite om het snelle tempo van de cryptografische ontwikkeling bij te houden, dus versie drie is een welkome en noodzakelijke verandering. Zoals de blog opmerkt:
Over het algemeen heeft het in de loop der jaren verrassend goed gewerkt, maar er zijn subtiele nuances waar rekening mee moet worden gehouden bij het proberen om een nieuw token te gebruiken dat claimt PKCS # 11-compatibel te zijn, wat interoperabiliteitsproblemen tussen clients en servers veroorzaakt.
Door de toevoeging van nieuwe, gestandaardiseerde cryptografische mechanismen in PKCS # 11 v3.0 (inclusief SHA3- en EdDSA-handtekeningen) kunnen PrimeKey en andere softwareleveranciers deze op een gestandaardiseerde manier implementeren in hardwarebeveiligingsmodules en tokens die de nieuwe standaard ondersteunen.
