Ficamos tão surpresos quanto qualquer um ao informar que mais um mês se passou. E, embora tenha passado rapidamente, agosto foi repleto de notícias de segurança. Este mês, vamos dar uma olhada em:
- Internet das coisas vulnerável por meio de protocolos de comunicação inseguros
- Blocos da China TLS 1.3 e ENSI
- Vulnerabilidade wolfSSL descoberta
- Lançada versão três do padrão OASIS PKCS # 11
Internet das coisas deixada aberta por meio de protocolos de comunicação inseguros
Mais de 3.7 milhões de dispositivos IoT (Internet das coisas) foram deixados abertos para ataques por meio de dois protocolos de comunicação ponto a ponto inseguros: CS2 Rede P2P e Shenzhen Yunni iLNKP2P.
Um artigo de Shaun Nichols em O registro entra nos problemas que deixaram coisas como webcams, babás eletrônicas e outros dispositivos ligados à Internet vulneráveis a sequestros. Os dois protocolos são usados por milhões de dispositivos em todo o mundo, o que significa que esses dispositivos podem ser acessados por qualquer pessoa que queira espionar, ou pior.
Os bugs foram encontrados por Paul Marrapese, que tem um site inteiro, câmera.hackeada, dedicado às vulnerabilidades. 'Em agosto de 2020, mais de 3.7 milhões de dispositivos vulneráveis foram encontrados na Internet', diz o site, que lista os dispositivos afetados e conselhos sobre o que fazer se você tiver algum equipamento em risco. (Resumo: jogue fora ou tente usar um firewall.)
Claro, como observa Nichols, as vulnerabilidades não terminam com os dispositivos nos quais os protocolos de comunicação são executados.
... tenha em mente que esses gadgets ficam nas redes Wi-Fi e LANs das pessoas, então, uma vez que você tenha adquirido uma câmera de segurança, ou seja o que for, você pode acessar máquinas adjacentes para explorar ou usar endereços MAC de rede sem fio próximos para localizar localização do hardware nos bancos de dados do Google e assim por diante.
Para o completo, "e assim por diante", que é bastante, recomendamos a leitura de todo o artigo, que também nos leva a um DEFCON conversa de Paul Marrapese, que fornece um olhar aprofundado para quem está interessado ou preocupado com os riscos de segurança:
Os grandes blocos de firewall TLS 1.3 e ENSI
Agosto também trouxe notícias que o Grande Firewall da China agora está bloqueando HTTPS tráfego que usa TLS 1.3 e ESNI (Encrypted Server Name Indication). Ambas as tecnologias tornam mais difícil para os censores chineses verem a quais sites os cidadãos estão tentando se conectar e para os censores controlarem o acesso a esses sites.
Uma articulação Denunciar da IYouPort, da Universidade de Maryland e do Great Firewall Report confirmaram a proibição, de acordo com um artigo por Catalin Cimpanu da ZDNet. A proibição, que entrou em vigor no final de julho, ainda permite o tráfego HTTPS que usa versões mais antigas do TLS e não criptografado SNI, permitindo que os censores do governo vejam quais domínios os cidadãos estão tentando alcançar.
No momento, os grupos que lançaram o Denunciar identificaram seis maneiras de contornar o banimento do lado do cliente e quatro maneiras de evitá-lo do lado do servidor, mas tanto o grupo quanto o artigo da ZDNet reconhecem que essas soluções alternativas não são uma solução de longo prazo, pois o "jogo de gato e rato" entre tecnologia e A censura chinesa avança.
Vulnerabilidades em wolfSSL descobertas
Gérald Doussot, da empresa de segurança cibernética Grupo NCC publicaram um assessoria técnica em 24 de agosto descrevendo um TLS 1.3 vulnerabilidade em versões de loboSSL antes de 4.5.0. A versão 4.5.0 da biblioteca wolfSSL, contendo uma correção, foi lançada em 17 de agosto, antes da publicação do conselho do Grupo NCC, e o Grupo NCC recomenda que os usuários atualizem para a versão mais nova e segura.
De acordo com o Grupo NCC:
wolfSSL implementa incorretamente o TLS 1.3 máquina de estado do cliente. Isso permite que os invasores em uma posição de rede privilegiada representem completamente qualquer TLS 1.3 servidores e ler ou modificar informações potencialmente sensíveis entre clientes usando a biblioteca wolfSSL e estes TLS Servidores.
Como descrito em site do wolfSSL, a biblioteca SSL embutida wolfSSL em questão “é um SSL / leve, portátil, baseado na linguagem CTLS biblioteca voltada para ambientes IoT, incorporados e RTOS principalmente por causa de seu tamanho, velocidade e conjunto de recursos. ” O fato de que essas vulnerabilidades são encontradas na Internet das Coisas e que as “coisas” que wolfSSL é encontrado em um número na casa dos bilhões tornam isso digno de nota. Uma atualização da versão fixa disponível da biblioteca é fortemente recomendada.
Lançada versão três do padrão OASIS PKCS # 11
19 de agosto anúncio no blog da PrimeKey nos deu uma pista para o fato de que a versão 3 da interface de token criptográfico padrão OASIS PKCS # 11 foi publicada em junho de 2020.
PKCS # 11 existe desde 1995 e, como o próprio blog descreve, é uma “API independente de plataforma para acessar e usar funções criptográficas em módulos de segurança de hardware (HSMs), cartões inteligentes, tokens USB, TPMs e semelhantes. ”
De acordo com o PrimeKey (fornecedores do software de Autoridade de Certificação EJBCA), o padrão PKCS # 11 teve alguns problemas com questões de padronização relacionadas a mecanismos definidos pelo fornecedor em tokens de hardware que limitam sua utilidade como API padrão. A versão anterior do padrão também teve alguns problemas para acompanhar o ritmo acelerado de desenvolvimento criptográfico nos dias de hoje, portanto, a versão três é uma mudança bem-vinda e necessária. Como o blog observa:
Em geral, funcionou surpreendentemente bem ao longo dos anos, mas houve nuances sutis que exigem consideração ao tentar usar um novo token que afirma ser compatível com PKCS # 11, causando problemas de interoperabilidade entre clientes e servidores.
A adição de novos mecanismos criptográficos padronizados em PKCS # 11 v3.0 (incluindo assinaturas SHA3 e EdDSA) permitirá que PrimeKey e outros fornecedores de software os implementem de forma padronizada em módulos de segurança de hardware e tokens que suportam o novo padrão.
