Vi är lika förvånade som alla att rapportera att ytterligare en månad har flög förbi. Och även om det gick snabbt, var augusti full av säkerhetsnyheter. Den här månaden tittar vi på:
- Sakernas internet sårbart via osäkra kommunikationsprotokoll
- Kina blockerar TLS 1.3 och ENSI
- wolfSSL-sårbarhet upptäckt
- Version tre av OASIS Standard PKCS # 11 släppt
Sakernas internet som är öppet genom osäkra kommunikationsprotokoll
Över 3.7 miljoner IoT-enheter (Internet of Things) har lämnats öppna för att attackera genom två osäkra peer-to-peer-kommunikationsprotokoll: CS2-nätverk P2P och Shenzhen Yunni iLNKP2P.
En artikel av Shaun Nichols i Registret kommer in i problemen som har lämnat saker som webbkameror, babymonitorer och andra internetlänkade enheter sårbara för kapning. De två protokollen används av miljontals enheter över hela världen, vilket innebär att dessa enheter kan nås av alla som vill snoop, eller värre.
Insekterna hittades av Paul Marrapese, som har en hel webbplats, hackad. kamera, tillägnad sårbarheterna. '' Från och med augusti 2020 har över 3.7 miljoner utsatta enheter hittats på internet '', läser webbplatsen, som visar berörda enheter och råd om vad du ska göra om du har någon riskutrustning. (Sammanfattning: kasta bort den, eller försök brandvägg av den.)
Naturligtvis, som Nichols konstaterar, slutar sårbarheterna inte med de enheter som kommunikationsprotokollen kör på.
... kom ihåg att dessa prylar sitter på människors Wi-Fi och LAN, så när du har kommanderat en säkerhetskamera, eller vad det än kan vara, kan du nå närliggande maskiner för att utnyttja eller använda närliggande trådlösa nätverks MAC-adresser för att hitta exakt plats för hårdvaran från Googles databaser och så vidare.
För det hela, "och så vidare", vilket är ganska mycket, rekommenderar vi att du läser hela artikeln, leder oss också till en DEFCON-samtal från Paul Marrapese som ger en djupgående titt för alla som är intresserade eller bekymrade över säkerhetsriskerna:
Stora brandväggens block TLS 1.3 och ENSI
August kom också nyheter att Kinas stora brandvägg nu blockerar HTTPS trafik som använder TLS 1.3 och ESNI (Encrypted Server Name Indication). Båda teknikerna gör det svårare för kinesiska censorer att se vilka webbplatser medborgarna försöker ansluta till och för censorer att kontrollera åtkomst till dessa webbplatser.
En led rapport från IYouPort, University of Maryland och Great Firewall Report bekräftade förbudet, enligt en Artikeln av Catalin Cimpanu från ZDNet. Förbudet, som trädde i kraft någon gång i slutet av juli, tillåter fortfarande HTTPS-trafik som använder äldre versioner av TLS och okrypterad SNI, som tillåter regeringscensorer att se vilka domäner medborgarna försöker nå.
För närvarande har de grupper som släppt rapport har identifierat sex sätt att kringgå förbudet på klientsidan och fyra sätt att undvika det på serversidan, men både gruppen och ZDNet-artikeln erkänner att dessa lösningar inte är en långsiktig lösning som "katt- och musspel" mellan teknik och Kinesisk censur utvecklas.
Sårbarheter i wolfSSL upptäckt
Gérald Doussot från cybersäkerhetsföretaget NCC Group publicerade a teknisk rådgivning den 24 augusti som beskriver en TLS 1.3 sårbarhet i versioner av wolfSSL före 4.5.0. Version 4.5.0 av wolfSSL-biblioteket, som innehåller en fix, släpptes den 17 augusti innan publiceringen av NCC-gruppens rådgivning, och NCC Group rekommenderar att användare uppdaterar till den nyare, säkra versionen.
Enligt NCC Group:
wolfSSL implementerar felaktigt TLS 1.3 klienttillståndsmaskin. Detta gör det möjligt för angripare i en privilegierad nätverksposition att helt utge sig för alla TLS 1.3-servrar och läsa eller ändra potentiellt känslig information mellan klienter som använder wolfSSL-biblioteket och dessa TLS servrar.
Som beskrivs på wolfSSLs webbplats, wolfSSL-inbäddade SSL-biblioteket i fråga ”är en lätt, bärbar, C-språkbaserad SSL /TLS bibliotek riktat till IoT-, inbäddade och RTOS-miljöer främst på grund av dess storlek, hastighet och funktionsuppsättning. ” Det faktum att dessa sårbarheter finns på Internet of Things och att de "saker" som wolfSSL finns på nummer i miljarder gör detta värt att märka. En uppdatering av den fasta, tillgängliga versionen av biblioteket rekommenderas starkt.
Version tre av OASIS Standard PKCS # 11 släppt
En augusti 19 meddelande på PrimeKeys blogg ledde oss till att version 3 av OASIS standard PKCS # 11 kryptografiskt token-gränssnitt publicerades i juni 2020.
PKCS # 11 har funnits sedan 1995 och är, som bloggen själv beskriver det, ett ”plattformsoberoende API för åtkomst och användning av kryptografiska funktioner i hårdvarusäkerhetsmoduler (HSM), smartkort, USB-tokens, TPM och liknande. ”
Enligt PrimeKey (leverantörer av certifikatutfärdarens programvara EJBCA), har PKCS # 11-standarden haft några problem med standardiseringsfrågor relaterade till leverantörsdefinierade mekanismer i hårdvarutoken som begränsar dess användbarhet som ett standard-API. Den tidigare versionen av standarden har också haft problem med att hålla jämna steg med den snabba kryptografiska utvecklingen idag, så version tre är en välkommen och nödvändig förändring. Som bloggen noterar:
I allmänhet har det fungerat överraskande bra genom åren, men det har funnits subtila nyanser som kräver övervägande när man försöker använda en ny token som påstår sig vara PKCS # 11-kompatibel och orsakar interoperabilitetsproblem mellan klienter och servrar.
Tillägget av nya, standardiserade kryptografiska mekanismer i PKCS # 11 v3.0 (inklusive SHA3 och EdDSA-signaturer) gör det möjligt för PrimeKey och andra programvaruleverantörer att implementera dem på ett standardiserat sätt över hårdvarusäkerhetsmoduler och token som stöder den nya standarden.
