Мы так же удивлены, как и все остальные, сообщением о том, что пролетел еще один месяц. И хотя все прошло быстро, август был полон новостей безопасности. В этом месяце мы рассмотрим:
- Интернет вещей уязвим из-за небезопасных протоколов связи
- Китайские блоки TLS 1.3 и ENSI
- Обнаружена уязвимость wolfSSL
- Выпущена третья версия стандарта PKCS # 11 OASIS
Интернет вещей остался открытым благодаря незащищенным протоколам связи
Более 3.7 миллиона устройств IoT (Интернет вещей) остались открытыми для атак через два небезопасных протокола одноранговой связи: CS2 Сеть P2P и Шэньчжэнь Юнни iLNKP2P.
Статья Шона Николса в Регистр попадает в проблемы которые сделали такие вещи, как веб-камеры, радионяни и другие подключенные к Интернету устройства, уязвимыми для взлома. Эти два протокола используются миллионами устройств по всему миру, а это означает, что к ним может получить доступ любой, кто хочет слежку, или что еще хуже.
Ошибки обнаружил Пол Маррапез, у которого есть целый сайт, взломанная камера, посвященный уязвимостям. «По состоянию на август 2020 года в Интернете было обнаружено более 3.7 миллиона уязвимых устройств», - говорится на сайте, где перечислены затронутые устройства и даны советы о том, что делать, если у вас есть какое-либо уязвимое оборудование. (Резюме: выбросьте его или попробуйте отключить брандмауэр.)
Конечно, как отмечает Николс, уязвимости не ограничиваются устройствами, на которых работают протоколы связи.
... имейте в виду, что эти гаджеты находятся в Wi-Fi и локальных сетях людей, поэтому, как только вы реквизируете камеру безопасности или что-то еще, вы можете подключиться к соседним машинам для использования или использовать MAC-адреса ближайшей беспроводной сети, чтобы точно определить точный расположение оборудования из баз данных Google и т. д.
Для полного «и так далее», а это довольно много, мы рекомендуем прочитать всю статью, также приводит нас к Обсуждение DEFCON от Пола Маррапезе, который дает подробный обзор для всех, кто интересуется или обеспокоен рисками безопасности:
Блокирует Великий Брандмауэр TLS 1.3 и ENSI
Август также принес Новости что Великий брандмауэр Китая теперь блокирует HTTPS трафик, который использует TLS 1.3 и ESNI (указание зашифрованного имени сервера). Обе технологии усложняют китайским цензорам отслеживание того, к каким сайтам граждане пытаются подключиться, и усложняют цензорам контроль доступа к этим сайтам.
Совместное отчету от IYouPort, Университет Мэриленда и отчет Great Firewall подтвердили запрет, согласно гайд Каталин Чимпану из ZDNet. Запрет, вступивший в силу где-то в конце июля, по-прежнему разрешает трафик HTTPS, использующий старые версии TLS и незашифрованный SNI, позволяя правительственным цензорам видеть, в какие домены граждане пытаются попасть.
На данный момент группы, выпустившие отчету определили шесть способов обойти запрет на стороне клиента и четыре способа избежать его на стороне сервера, но и группа, и статья ZDNet признают, что эти обходные пути не являются долгосрочным решением, как «игра в кошки-мышки» между технологиями и Китайская цензура прогрессирует.
Обнаружены уязвимости в wolfSSL
Жеральд Дуссо из фирмы по кибербезопасности Группа NCC опубликованных технический совет 24 августа, описывая TLS 1.3 уязвимость в версиях волкSSL до 4.5.0. Версия 4.5.0 библиотеки wolfSSL, содержащая исправление, была выпущена 17 августа, до публикации рекомендаций NCC Group, и NCC Group рекомендует пользователям выполнить обновление до более новой, безопасной версии.
По данным NCC Group:
wolfSSL неправильно реализует TLS 1.3 клиентский конечный автомат. Это позволяет злоумышленникам, находящимся в привилегированном положении в сети, полностью выдавать себя за любой TLS 1.3 серверов и считывать или изменять потенциально конфиденциальную информацию между клиентами, использующими библиотеку wolfSSL, и этими TLS сервера.
Как описано на сайт wolfSSL, рассматриваемая встроенная SSL-библиотека wolfSSL «представляет собой легкий, переносимый протокол SSL /TLS библиотека, предназначенная для сред IoT, встроенных систем и ОСРВ, прежде всего из-за ее размера, скорости и набора функций ». Тот факт, что эти уязвимости обнаружены в Интернете вещей и что количество «вещей», которые wolfSSL обнаруживают в миллиардах, делает это заметным. Настоятельно рекомендуется обновить фиксированную доступную версию библиотеки.
Выпущена третья версия стандарта PKCS # 11 OASIS
Август 19 г. объявление в блоге PrimeKey намекнули на тот факт, что версия 3 стандартного интерфейса криптографических токенов PKCS # 11 OASIS была опубликована в июне 2020 года.
PKCS # 11 существует с 1995 года и, как описывает его сам блог, представляет собой «платформенно-независимый API для доступа и использования криптографических функций в аппаратных модулях безопасности (HSM), смарт-картах, USB-токенах, TPM и т.п.». ”
По ПраймКи (поставщики программного обеспечения центра сертификации EJBCA), стандарт PKCS # 11 имел некоторые проблемы со стандартизацией, связанные с механизмами, определяемыми поставщиком в аппаратных токенах, которые ограничивают его полезность в качестве стандартного API. Предыдущая версия стандарта также имела некоторые проблемы с тем, чтобы идти в ногу с быстрыми темпами развития криптографии в наши дни, поэтому третья версия является долгожданным и необходимым изменением. Как отмечается в блоге:
В целом, на протяжении многих лет он работал на удивление хорошо, но были тонкие нюансы, требующие рассмотрения при попытке использовать новый токен, утверждающий, что он совместим с PKCS # 11, что приводит к проблемам взаимодействия между клиентами и серверами.
Добавление новых стандартизованных криптографических механизмов в PKCS # 11 v3.0 (включая подписи SHA3 и EdDSA) позволит PrimeKey и другим поставщикам программного обеспечения реализовать их стандартизированным образом в аппаратных модулях безопасности и токенах, поддерживающих новый стандарт.
