Augusti 2020 Säkerhetsomgång

Augusti Security Roundup innehåller osäkra IoT-protokoll, blockering av Kina TLS 1.3 / ESNI, en sårbarhet hos wolfSSL TLS bibliotek och version 3 av PKCS # 11.

Relaterat innehåll

Vill du fortsätta lära dig?

Prenumerera på SSL.coms nyhetsbrev, håll dig informerad och säker.

Vi är lika förvånade som alla att rapportera att ytterligare en månad har flög förbi. Och även om det gick snabbt, var augusti full av säkerhetsnyheter. Den här månaden tittar vi på:

Sakernas internet som är öppet genom osäkra kommunikationsprotokoll

Över 3.7 miljoner IoT-enheter (Internet of Things) har lämnats öppna för att attackera genom två osäkra peer-to-peer-kommunikationsprotokoll: CS2-nätverk P2P och Shenzhen Yunni iLNKP2P.

En artikel av Shaun Nichols i Registret kommer in i problemen som har lämnat saker som webbkameror, babymonitorer och andra internetlänkade enheter sårbara för kapning. De två protokollen används av miljontals enheter över hela världen, vilket innebär att dessa enheter kan nås av alla som vill snoop, eller värre.

Insekterna hittades av Paul Marrapese, som har en hel webbplats, hackad. kamera, tillägnad sårbarheterna. '' Från och med augusti 2020 har över 3.7 miljoner utsatta enheter hittats på internet '', läser webbplatsen, som visar berörda enheter och råd om vad du ska göra om du har någon riskutrustning. (Sammanfattning: kasta bort den, eller försök brandvägg av den.)

Naturligtvis, som Nichols konstaterar, slutar sårbarheterna inte med de enheter som kommunikationsprotokollen kör på.

... kom ihåg att dessa prylar sitter på människors Wi-Fi och LAN, så när du har kommanderat en säkerhetskamera, eller vad det än kan vara, kan du nå närliggande maskiner för att utnyttja eller använda närliggande trådlösa nätverks MAC-adresser för att hitta exakt plats för hårdvaran från Googles databaser och så vidare.

För det hela, "och så vidare", vilket är ganska mycket, rekommenderar vi att du läser hela artikeln, leder oss också till en DEFCON-samtal från Paul Marrapese som ger en djupgående titt för alla som är intresserade eller bekymrade över säkerhetsriskerna:


SSL.com: s takeaway: Säkerheten för sakernas internet är en stor fråga idag! Om du är en IoT-tillverkare eller leverantör kan SSL.com hjälpa till säkra dina enheter med offentligt betrodda digitala certifikat säkert utfärdade via industristandardprotokoll som ACME.

Stora brandväggens block TLS 1.3 och ENSI

August kom också nyheter att Kinas stora brandvägg nu blockerar HTTPS trafik som använder TLS 1.3 och ESNI (Encrypted Server Name Indication). Båda teknikerna gör det svårare för kinesiska censorer att se vilka webbplatser medborgarna försöker ansluta till och för censorer att kontrollera åtkomst till dessa webbplatser.

En led rapport från IYouPort, University of Maryland och Great Firewall Report bekräftade förbudet, enligt en Artikeln av Catalin Cimpanu från ZDNet. Förbudet, som trädde i kraft någon gång i slutet av juli, tillåter fortfarande HTTPS-trafik som använder äldre versioner av TLS och okrypterad SNI, som tillåter regeringscensorer att se vilka domäner medborgarna försöker nå.

För närvarande har de grupper som släppt rapport har identifierat sex sätt att kringgå förbudet på klientsidan och fyra sätt att undvika det på serversidan, men både gruppen och ZDNet-artikeln erkänner att dessa lösningar inte är en långsiktig lösning som "katt- och musspel" mellan teknik och Kinesisk censur utvecklas.

SSL.com: s takeaway:  Det är ingen hemlighet att auktoritära (och andra) regeringar motsätter sig medborgarnas tillgång till stark end-to-end-kryptering och anonym surfning. SSL.com, å andra sidan, är fortsatt engagerat i ett säkert och krypterat internet.

Sårbarheter i wolfSSL upptäckt

Gérald Doussot från cybersäkerhetsföretaget NCC Group publicerade a teknisk rådgivning den 24 augusti som beskriver en TLS 1.3 sårbarhet i versioner av wolfSSL före 4.5.0. Version 4.5.0 av wolfSSL-biblioteket, som innehåller en fix, släpptes den 17 augusti innan publiceringen av NCC-gruppens rådgivning, och NCC Group rekommenderar att användare uppdaterar till den nyare, säkra versionen.

Enligt NCC Group:

wolfSSL implementerar felaktigt TLS 1.3 klienttillståndsmaskin. Detta gör det möjligt för angripare i en privilegierad nätverksposition att helt utge sig för alla TLS 1.3-servrar och läsa eller ändra potentiellt känslig information mellan klienter som använder wolfSSL-biblioteket och dessa TLS servrar.

Som beskrivs på wolfSSLs webbplats, wolfSSL-inbäddade SSL-biblioteket i fråga ”är en lätt, bärbar, C-språkbaserad SSL /TLS bibliotek riktat till IoT-, inbäddade och RTOS-miljöer främst på grund av dess storlek, hastighet och funktionsuppsättning. ” Det faktum att dessa sårbarheter finns på Internet of Things och att de "saker" som wolfSSL finns på nummer i miljarder gör detta värt att märka. En uppdatering av den fasta, tillgängliga versionen av biblioteket rekommenderas starkt.

SSL.com: s takeaway: Som du kanske har lagt märke till ovan är IoT-säkerhet ett stort problem idag. wolfSSL webbplats säger att "Över 2 miljarder applikationer och enheter är säkrade med wolfSSL-produkter." Uppenbarligen håller vi med NCC Group om att de som använder wolfSSL-biblioteket för TLS 1.3 bör omedelbart uppdateras till den senaste versionen.

Version tre av OASIS Standard PKCS # 11 släppt

En augusti 19 meddelande på PrimeKeys blogg ledde oss till att version 3 av OASIS standard PKCS # 11 kryptografiskt token-gränssnitt publicerades i juni 2020.

PKCS # 11 har funnits sedan 1995 och är, som bloggen själv beskriver det, ett ”plattformsoberoende API för åtkomst och användning av kryptografiska funktioner i hårdvarusäkerhetsmoduler (HSM), smartkort, USB-tokens, TPM och liknande. ”

Enligt PrimeKey (leverantörer av certifikatutfärdarens programvara EJBCA), har PKCS # 11-standarden haft några problem med standardiseringsfrågor relaterade till leverantörsdefinierade mekanismer i hårdvarutoken som begränsar dess användbarhet som ett standard-API. Den tidigare versionen av standarden har också haft problem med att hålla jämna steg med den snabba kryptografiska utvecklingen idag, så version tre är en välkommen och nödvändig förändring. Som bloggen noterar:

I allmänhet har det fungerat överraskande bra genom åren, men det har funnits subtila nyanser som kräver övervägande när man försöker använda en ny token som påstår sig vara PKCS # 11-kompatibel och orsakar interoperabilitetsproblem mellan klienter och servrar.

Tillägget av nya, standardiserade kryptografiska mekanismer i PKCS # 11 v3.0 (inklusive SHA3 och EdDSA-signaturer) gör det möjligt för PrimeKey och andra programvaruleverantörer att implementera dem på ett standardiserat sätt över hårdvarusäkerhetsmoduler och token som stöder den nya standarden.

SSL.com: s takeaway:  SSL.com stöder utvecklingen av kryptografiska standarder som främjar smidig interoperabilitet mellan hårdvara och programvara och förhindrar leverantörslås.

Vi vill gärna ha din feedback

Följ vår undersökning och låt oss veta vad du tycker om ditt senaste köp.