我们感到惊讶的是,有人报告说又过了一个月。 而且,尽管很快过去了,但八月充满了安全消息。 本月我们将看一下:
物联网通过不安全的通信协议开放
超过3.7万种IoT(物联网)设备已经开放,可以通过两种不安全的对等通信协议进行攻击: CS2网络P2P 和 深圳云妮iLNKP2P.
Shaun Nichols在 注册 陷入问题 留下的东西像网络摄像头,婴儿监视器和其他互联网连接的设备容易被劫持。 这两个协议已在全球范围内的数百万个设备中使用,这意味着任何想要监听或更糟的人都可以访问这些设备。
这些错误是由拥有整个网站的Paul Marrapese发现的, 被黑的相机,专门针对漏洞。 该网站写道:“截至2020年3.7月,在互联网上发现了超过XNUMX万个易受攻击的设备。”该网站列出了受影响的设备,并建议您在有风险的情况下应采取的措施。 (摘要:将其丢弃,或尝试对其进行防火墙保护。)
当然,正如Nichols指出的那样,这些漏洞并不会随着运行通信协议的设备而终止。
…请记住,这些小工具位于人们的Wi-Fi和LAN上,因此,一旦您抢占了安全摄像机或其他安全摄像机,便可以到达附近的计算机进行利用,或使用附近的无线网络MAC地址来精确定位Google的数据库中硬件的位置,等等。
对于大量的“等等”,我们建议阅读整篇文章,并引导我们了解 DEFCON谈话 Paul Marrapese的文章深入探讨了对安全风险感兴趣或关注的任何人:
伟大的防火墙块 TLS 1.3和ENSI
八月也带来了 消息 中国的长防火墙正在阻止 HTTPS 使用的流量 TLS 1.3 和ESNI(加密服务器名称指示)。 两种技术都使中国审查员更难了解公民试图连接的站点,并使审查员难以控制对这些网站的访问。
结合点 报告 据IYouPort报道,马里兰大学和防火墙报告证实了这一禁令。 刊文 由ZDNet的Catalin Cimpanu撰写。 该禁令已于XNUMX月下旬生效,但仍然允许使用旧版本HTTPS流量的HTTPS流量 TLS 并且未加密 SNI,从而允许政府审查员查看公民正在尝试到达的域。
目前,发布了 报告 我们已经确定了六种方法来规避禁止客户端的方法,以及四种方法来避免在服务器端的方法,但是该小组和ZDNet都承认,这些解决方案并不是长期的解决方案,因为它是技术与技术之间的“猫捉老鼠”游戏。中国的审查制度在进步。
发现wolfSSL中的漏洞
网络安全公司的GéraldDoussot NCC集团 出版了 技术咨询 在24月XNUMX日描述了 TLS 1.3版本的漏洞 狼SSL 4.5.0之前的版本。 wolfSSL库的4.5.0版本(包含修复程序)已于NCC Group的公告发布之前于17月XNUMX日发布,并且NCC Group建议用户更新到较新的安全版本。
根据NCC集团的说法:
wolfSSL错误地实现了 TLS 1.3客户端状态机。 这使处于特权网络位置的攻击者可以完全模拟任何 TLS 1.3服务器,并使用wolfSSL库与以下客户端读取或修改客户端之间的潜在敏感信息 TLS 服务器。
如上所述 wolfSSL的网站,“ wolfSSL嵌入式SSL库”是一种轻量级,可移植的,基于C语言的SSL /TLS 主要针对IoT,嵌入式和RTOS环境的库,主要是因为它的大小,速度和功能集。” 这些漏洞是在物联网上发现的,而wolfSSL的“事物”却以数十亿的数量被发现,这一事实值得一提。 强烈建议对库的固定可用版本进行更新。
OASIS标准PKCS#11的第三版发布
19月XNUMX日 公告 PrimeKey博客上的文章暗示了OASIS标准PKCS#3加密令牌接口的版本11已于2020年XNUMX月发布。
PKCS#11自1995年以来一直存在,正如博客本身所描述的那样,它是“平台无关的API,用于访问和使用硬件安全模块(HSM),智能卡,USB令牌,TPM等中的加密功能。 ”
根据 主键 (证书颁发机构软件EJBCA的供应商),PKCS#11标准存在与硬件令牌中供应商定义的机制相关的标准化问题,从而限制了其作为标准API的实用性。 如今,该标准的先前版本在跟上加密技术的快速发展方面也遇到了一些麻烦,因此,第三版是受欢迎的且需要进行的更改。 如博客所述:
总的来说,多年来,它一直运行良好,但是在尝试使用声称符合PKCS#11的新令牌时,需要考虑一些细微的细微差别,从而导致客户端和服务器之间的互操作性问题。
PKCS#11 v3.0中增加了新的标准化加密机制(包括SHA3和EdDSA签名),PrimeKey和其他软件供应商将可以在支持新标准的硬件安全模块和令牌中以标准化方式实现它们。
