Fröhlichen Frühling an alle unsere Leser! Willkommen zu dieser März-Ausgabe des SSL.com Security Roundup, in der wir auf einen weiteren Monat im Jahr 2021 zurückblicken. Insbesondere blicken wir auf den letzten Monat im Bereich der digitalen Sicherheit zurück und haben das gesammelt, was wir als am aktuellsten erachten Dinge in diesem Bereich, für Sie, unten.
IETF veraltet TLS 1.0 und 1.1
Das wissen wir schon eine Weile TLS Die Versionen 1.0 und 1.1 sind unsicher. Die Internet Engineering Task Force (IETF) hat es gerade offiziell gemacht RFC 8996, die diese veraltet formell ablehnt TLS Versionen.
Aus der Zusammenfassung:
In diesem Dokument wird die Sicherheit der Transportschicht offiziell abgelehnt (TLS) Versionen 1.0 (RFC 2246) und 1.1 (RFC 4346). Dementsprechend wurden diese Dokumente in den Status "Historisch" verschoben. Diese Versionen unterstützen keine aktuellen und empfohlenen kryptografischen Algorithmen und Mechanismen sowie verschiedene Regierungs- und Branchenprofile von Anwendungen, die verwendet werden TLS Jetzt Mandat, diese alten zu vermeiden TLS Versionen. TLS Version 1.2 wurde 2008 zur empfohlenen Version für IETF-Protokolle (später veraltet von TLS Version 1.3 im Jahr 2018), die ausreichend Zeit für den Übergang von älteren Versionen bietet. Durch das Entfernen der Unterstützung für ältere Versionen aus Implementierungen wird die Angriffsfläche verringert, die Möglichkeit von Fehlkonfigurationen verringert und die Wartung von Bibliotheken und Produkten optimiert.
Chrome 90 verwendet standardmäßig HTTPS
Ab Version 90 verwendet die Adressleiste von Chrome HTTPS als Standardprotokoll. Das bedeutet, dass URLs, die ohne Präfix eingegeben werden, wie es die meisten Benutzer tun, umso sicherer werden https:// statt http://Dies war bis zu diesem Zeitpunkt die Standardeinstellung für Chrome. Der Switch hat offensichtliche Auswirkungen auf die Sicherheit: HTTPS ist sicherer und verhindert das Abfangen und Snooping durch Verschlüsselung des Datenverkehrs. Der Switch von Chrome bietet auch eine Leistungssteigerung, da keine Umleitung von der vorherigen Standardeinstellung zum am weitesten verbreiteten Protokoll erforderlich ist. Wie berichtet, Chromium Blog:
Diese Änderung stellt nicht nur eine deutliche Verbesserung der Sicherheit und des Datenschutzes dar, sondern verbessert auch die anfängliche Ladegeschwindigkeit von Websites, die HTTPS unterstützen, da Chrome eine direkte Verbindung zum HTTPS-Endpunkt herstellt, ohne dass eine Umleitung von http: // nach https: // erforderlich ist. Bei Websites, die HTTPS noch nicht unterstützen, greift Chrome auf HTTP zurück, wenn der HTTPS-Versuch fehlschlägt (auch wenn Zertifikatfehler wie Namensinkongruenz oder nicht vertrauenswürdiges selbstsigniertes Zertifikat oder Verbindungsfehler wie DNS-Auflösungsfehler vorliegen). .
Zunächst wird der Switch auf Chrome Desktop und Chrome für Android eingeführt. Ein Wechsel für Chrome unter iOS wird folgen.
Verkada Hack stellt 150,000 Überwachungskameras zur Verfügung
Bei einem eher ungünstigen Start erlitt ein als Verkada bekanntes Silicon Valley-Startup eine massive Sicherheitsverletzung. Hacker übernahmen die Kontrolle über mehr als 150,000 Kameras in Gefängnissen, Polizeistationen, Tesla-Fabriken, Krankenhäusern, Fitnessstudios und sogar in den Büros des Unternehmens. Warum befanden sich diese Kameras an so empfindlichen Orten? Nun, weil Verkada leider eine Sicherheitsfirma ist. Gemäß ein ausführlicher Bericht by Bloombergs William Turton, die Hacker, erhielten Zugriff über einen Benutzernamen und ein Passwort, die online für ein „Super Admin“ -Konto gefunden wurden, und gewährten allen Kunden des Unternehmens Zugriff auf die Kameras.
Dieser Zugang ermöglichte es den Eindringlingen, in Krankenzimmer zu sehen, Zeugeninterviews zwischen Polizei und kriminellen Verdächtigen zu führen und zu sehen, wer in einem Tempe-Krankenhaus eine Zugangskontrollkarte verwendet hatte. Was die Motivation hinter dem Hack betrifft, Bloomberg Berichte:
Die Datenverletzung wurde von einem internationalen Hacker-Kollektiv durchgeführt und sollte die Verbreitung der Videoüberwachung und die Leichtigkeit zeigen, mit der in Systeme eingebrochen werden kann, sagte Tillie Kottmann, eine der Hackerinnen, die die Verletzung der in San Mateo, Kalifornien, ansässigen, als Verdienst geltend machte Verkada. Kottmann, der sie / sie-Pronomen verwendet, behauptete zuvor, er habe den Chiphersteller Intel Corp. und den Autobauer Nissan Motor Co. gehackt. Kottmann sagte, ihre Gründe für das Hacken seien „viel Neugier, Kampf für Informationsfreiheit und gegen geistiges Eigentum, eine riesige Dosis von Antikapitalismus, ein Hauch von Anarchismus - und es macht auch einfach zu viel Spaß, es nicht zu tun. “
Der Hack "zeigt, wie umfassend wir überwacht werden und wie wenig Sorgfalt darauf verwendet wird, zumindest die dafür verwendeten Plattformen zu sichern und nichts als Profit zu verfolgen", sagte Kottmann.
Nach dem Vorfall deaktivierte Verkada alle internen Administratorkonten und leitete eine Untersuchung ein.
Wichtige Sicherheitslücken in der Netop Vision-Software
In beängstigenden Nachrichten für Eltern, die nur versuchen, den Rest des Lernens zu Hause zu überstehen, wurden in Netop Vision - einer beliebten virtuellen Lernsoftware, die von etwa 3 Millionen Lehrern und Schülern verwendet wird - große Sicherheitslücken gefunden. Netop ermöglicht das Lernen zu Hause, indem es als Schülerüberwachungssystem dient, mit dem Lehrer remote an den Computern ihrer Schüler arbeiten können. Es wird hauptsächlich zur Verwaltung von Computerlabors oder Klassenzimmern in Schulen verwendet. Aufgrund von Covid haben die Schüler jedoch Computer mit der Software für Fernunterricht mit nach Hause genommen, wodurch ihre Reichweite und Verwundbarkeit erhöht wurde.
Forscher bei McAfee kündigten an dass sie vier kritische Fehler in der Klassenraumverwaltungssoftware gefunden hatten. Die Fehler könnten es Angreifern ermöglichen, die Kontrolle über Computer zu übernehmen, Anmeldeinformationen zu stehlen oder Ransomware zu installieren. Besorgniserregend ist, dass die Sicherheitsprobleme es Hackern auch ermöglichen könnten, sich als Lehrer auszugeben und Schüler zu beobachten.
Benjamin befreit bei EdScoop über das Problem berichtet März:
Mitglieder der Advanced Threat Research Group von McAfee testeten das Netop-Programm, indem sie ein simuliertes virtuelles Klassenzimmer mit einem Computer als Lehrerstation und drei Schülergeräten erstellten. Eines der ersten Dinge, die den Forschern auffielen, war, dass Benutzerprofile von Lehrern und Schülern unterschiedliche Berechtigungsstufen hatten. Sie stellten auch schnell fest, dass der gesamte Netzwerkverkehr zwischen Lehrer und Schülern in unverschlüsselten Paketen gesendet wurde - einschließlich Screenshots der Schülerbildschirme, die an den Lehrer gesendet wurden -, ohne dass die Verschlüsselung aktiviert werden konnte.
"Mit diesen Informationen konnte sich das Team als Lehrer verkleiden, indem es seinen Code änderte", schrieben die McAfee-Forscher.
Nachdem das Unternehmen von dem Angriff erfahren hatte, reagierte es schnell, um die meisten Probleme zu beheben. Die Software verwendet jedoch weiterhin unverschlüsselte Verbindungen, was ein anhaltendes Risiko darstellt.
