August 2020 Sikkerhetsrunde

Vi er like overrasket som alle andre om å rapportere at en måned til har flydd forbi. Og selv om det gikk raskt, var august full av sikkerhetsnyheter. Denne måneden tar vi en titt på:

Tingenes internett som er åpent gjennom usikre kommunikasjonsprotokoller

Over 3.7 millioner IoT (Internet of Things) -enheter har blitt åpnet for angrep gjennom to usikre peer-to-peer-kommunikasjonsprotokoller: CS2-nettverk P2P og Shenzhen Yunni iLNKP2P.

En artikkel av Shaun Nichols i Registeret kommer inn i problemene som har etterlatt ting som webkameraer, babymonitorer og andre internettkoblede enheter sårbare for kapring. De to protokollene brukes av millioner av enheter over hele verden, noe som betyr at disse enhetene er tilgjengelige av alle som ønsker å snuse, eller verre.

Feilene ble funnet av Paul Marrapese, som har et helt nettsted, hacket.kamera, dedikert til sårbarhetene. `` Fra og med august 2020 har det blitt funnet over 3.7 millioner sårbare enheter på internett, '' leser nettstedet, som viser berørte enheter og råd om hva du skal gjøre hvis du har utstyr som er i faresonen. (Sammendrag: kast den, eller prøv å brannmur den av.)

Selvfølgelig, som Nichols bemerker, slutter ikke sårbarhetene med enhetene som kommunikasjonsprotokollene kjører på.

... husk at disse enhetene sitter på folks Wi-Fi og LAN, så når du har kommandert et sikkerhetskamera, eller hva det måtte være, kan du nå tilstøtende maskiner for å utnytte, eller bruke nærliggende trådløse nettverks MAC-adresser for å finne ut nøyaktig plassering av maskinvaren fra Googles databaser, og så videre.

For det fulle, "og så videre," som er ganske mye, anbefaler vi å lese hele artikkelen, fører oss også til en DEFCON snakk fra Paul Marrapese som gir et grundig blikk for alle som er interessert eller bekymret for sikkerhetsrisikoen:


SSL.coms takeaway: Sikkerheten til tingenes internett er et stort problem i disse dager! Hvis du er en IoT-produsent eller leverandør, kan SSL.com hjelpe sikre enhetene dine med offentlig pålitelige digitale sertifikater som er sikkert utstedt via industristandardprotokoller som ACME.

Den store brannmuren blokkerer TLS 1.3 og ENSI

August brakte også nyheter at Kinas store brannmur nå blokkerer HTTPS trafikk som bruker TLS 1.3 og ESNI (kryptert servernavnindikasjon). Begge teknologiene gjør det vanskeligere for kinesiske sensorer å se hvilke nettsteder innbyggerne prøver å koble til og for sensorer å kontrollere tilgangen til disse nettstedene.

Et ledd rapporterer fra IYouPort, University of Maryland og Great Firewall Report bekreftet forbudet, ifølge en Artikkel av Catalin Cimpanu fra ZDNet. Forbudet, som trådte i kraft en gang i slutten av juli, tillater fortsatt HTTPS-trafikk som bruker eldre versjoner av TLS og ukryptert SNI, som tillater myndighetssensorer å se hvilke domener innbyggerne prøver å nå.

For øyeblikket gruppene som ga ut rapporterer har identifisert seks måter å omgå forbudet på klientsiden og fire måter å unngå det på serversiden, men både gruppen og ZDNet-artikkelen erkjenner at disse løsningene ikke er en langsiktig løsning som "katt og musespillet" mellom teknologi og Kinesisk sensur utvikler seg.

SSL.coms takeaway:  Det er ingen hemmelighet at autoritære (og andre) regjeringer er motstandere av innbyggernes tilgang til sterk end-to-end-kryptering og anonym nettlesing. SSL.com, derimot, er fortsatt forpliktet til et sikkert og kryptert internett.

Sårbarheter hos wolfSSL Oppdaget

Gérald Doussot fra cybersikkerhetsfirma NCC Group publisert en teknisk rådgivning 24. august som beskriver a TLS 1.3 sårbarhet i versjoner av ulvSSL før 4.5.0. Versjon 4.5.0 av wolfSSL-biblioteket, som inneholder en løsning, ble utgitt 17. august før publiseringen av NCC Groups rådgivning, og NCC Group anbefaler at brukere oppdaterer til den nyere, sikre versjonen.

I følge NCC Group:

wolfSSL implementerer feilaktig TLS 1.3 klientstatusmaskin. Dette lar angripere i en privilegert nettverksposisjon fullstendig utgi seg for enhver TLS 1.3 servere og lese eller endre potensielt sensitiv informasjon mellom klienter som bruker wolfSSL-biblioteket og disse TLS servere.

Som beskrevet på wolfSSLs nettsted, det aktuelle wolfSSL-innebygde SSL-biblioteket “er en lett, bærbar, C-språkbasert SSL /TLS bibliotek rettet mot IoT-, innebygde og RTOS-miljøer primært på grunn av størrelse, hastighet og funksjonssett. ” Det faktum at disse sårbarhetene finnes på tingenes internett og at "tingene" som wolfSSL finnes på antall i milliarder, gjør dette verdt å merke seg. Det anbefales sterkt å oppdatere den faste, tilgjengelige versjonen av biblioteket.

SSL.coms takeaway: Som du kanskje har lagt merke til ovenfor, er IoT-sikkerhet et stort problem i disse dager. wolfSSL nettsted sier at "Over 2 milliarder applikasjoner og enheter er sikret med wolfSSL-produkter." Åpenbart er vi enige med NCC Group som de som bruker wolfSSL-biblioteket for TLS 1.3 bør umiddelbart oppdateres til den nyeste versjonen.

Versjon tre av OASIS Standard PKCS # 11 Utgitt

En 19. august kunngjøring på PrimeKeys blogg visste oss om at versjon 3 av OASIS-standard PKCS # 11 kryptografisk token-grensesnitt ble publisert i juni 2020.

PKCS # 11 har eksistert siden 1995 og er, som bloggen selv beskriver det, et “plattformuavhengig API for å få tilgang til og bruke kryptografiske funksjoner i maskinvaresikkerhetsmoduler (HSM), smartkort, USB-tokens, TPM og lignende. ”

Ifølge PrimeKey (leverandører av Certificate Authority-programvaren EJBCA), har PKCS # 11-standarden hatt noen problemer med standardiseringsproblemer relatert til leverandørdefinerte mekanismer i maskinvaretokener som begrenser bruken av den som en standard API. Den forrige versjonen av standarden har også hatt noen problemer med å følge med på det raske tempoet i kryptografisk utvikling i disse dager, så versjon tre er en velkommen og nødvendig endring. Som bloggen bemerker:

Generelt har det fungert overraskende bra gjennom årene, men det har vært subtile nyanser som krever vurdering når du prøver å bruke et nytt token som hevder å være PKCS # 11-kompatibel, og forårsaker interoperabilitetsproblemer mellom klienter og servere.

Tillegget til nye, standardiserte kryptografiske mekanismer i PKCS # 11 v3.0 (inkludert SHA3 og EdDSA-signaturer) vil tillate PrimeKey og andre programvareleverandører å implementere dem på en standardisert måte på tvers av maskinvaresikkerhetsmoduler og tokens som støtter den nye standarden.

SSL.coms takeaway:  SSL.com støtter utvikling av kryptografiske standarder som fremmer jevn interoperabilitet mellom maskinvare og programvare og hindrer leverandørinnlåsing.

Abonner på SSL.coms nyhetsbrev

Ikke gå glipp av nye artikler og oppdateringer fra SSL.com

Vi vil gjerne ha tilbakemeldinger

Ta vår spørreundersøkelse og fortell oss dine tanker om ditt nylige kjøp.