Καλή Άνοιξη σε όλους τους αναγνώστες μας! Καλώς ήρθατε σε αυτήν την έκδοση Μαρτίου του SSL.com Security Roundup, στην οποία ανατρέχουμε σε έναν άλλο μήνα που πέρασε το 2021. Συγκεκριμένα, κοιτάζουμε τον τελευταίο μήνα στην ψηφιακή ασφάλεια και έχουμε συλλέξει αυτό που θεωρούμε ως το πιο νέο πράγματα σε αυτόν τον κόσμο, για εσάς, παρακάτω.
Το IETF καταργεί TLS 1.0 και 1.1
Γνωρίζουμε για λίγο τώρα TLS Οι εκδόσεις 1.0 και 1.1 δεν είναι ασφαλείς. Η Ομάδα Μηχανικής Διαδικτύου (IETF) μόλις το έκανε επίσημο RFC 8996, που καταργεί επίσημα αυτά τα ξεπερασμένα TLS εκδόσεις.
Από την αφηρημένη:
Αυτό το έγγραφο καταργεί επίσημα την ασφάλεια επιπέδου μεταφοράς (TLS) εκδόσεις 1.0 (RFC 2246) και 1.1 (RFC 4346). Κατά συνέπεια, τα έγγραφα αυτά έχουν μεταφερθεί σε ιστορική κατάσταση. Αυτές οι εκδόσεις δεν υποστηρίζουν τρέχοντες και προτεινόμενους κρυπτογραφικούς αλγορίθμους και μηχανισμούς, καθώς και διάφορα κυβερνητικά και βιομηχανικά προφίλ εφαρμογών που χρησιμοποιούν TLS τώρα εντολή αποφεύγοντας αυτά τα παλιά TLS εκδόσεις. TLS Η έκδοση 1.2 έγινε η συνιστώμενη έκδοση για πρωτόκολλα IETF το 2008 (στη συνέχεια παρωχημένη από το TLS έκδοση 1.3 το 2018), παρέχοντας αρκετό χρόνο για μετάβαση από παλαιότερες εκδόσεις. Η κατάργηση υποστήριξης για παλαιότερες εκδόσεις από εφαρμογές μειώνει την επιφάνεια επίθεσης, μειώνει τις ευκαιρίες για εσφαλμένη διαμόρφωση και βελτιστοποιεί τη συντήρηση βιβλιοθήκης και προϊόντων.
Το Chrome 90 θα είναι προεπιλεγμένο σε HTTPS
Από την έκδοση 90, η γραμμή διευθύνσεων του Chrome θα χρησιμοποιεί το HTTPS ως το προεπιλεγμένο πρωτόκολλο. Αυτό σημαίνει ότι οι διευθύνσεις URL που έχουν εισαχθεί χωρίς το πρόθεμα, όπως κάνουν οι περισσότεροι χρήστες, θα γίνουν πιο ασφαλείς https:// αντί του http://, η οποία ήταν η προεπιλογή του Chrome μέχρι αυτό το σημείο. Ο διακόπτης έχει προφανείς συνέπειες για την ασφάλεια - το HTTPS είναι πιο ασφαλές και αποτρέπει την παρακολούθηση και κατασκοπεία κρυπτογραφώντας την κυκλοφορία. Ο διακόπτης από το Chrome προσφέρει επίσης ενίσχυση της απόδοσης, καθώς εξαλείφει την ανάγκη ανακατεύθυνσης από την προηγούμενη προεπιλογή στο πιο ευρέως χρησιμοποιούμενο πρωτόκολλο. Όπως αναφέρθηκε από ο Ιστολόγιο Chromium:
Εκτός από τη σαφή βελτίωση της ασφάλειας και του απορρήτου, αυτή η αλλαγή βελτιώνει την αρχική ταχύτητα φόρτωσης ιστότοπων που υποστηρίζουν HTTPS, καθώς το Chrome θα συνδεθεί απευθείας στο τελικό σημείο HTTPS χωρίς να χρειάζεται να ανακατευθυνθεί από http: // σε https: //. Για ιστότοπους που δεν υποστηρίζουν ακόμη HTTPS, το Chrome θα επιστρέψει σε HTTP όταν αποτύχει η προσπάθεια HTTPS (συμπεριλαμβανομένων όταν υπάρχουν σφάλματα πιστοποιητικού, όπως αναντιστοιχία ονόματος ή μη αξιόπιστο πιστοποιητικό αυτο-υπογραφής ή σφάλματα σύνδεσης, όπως αποτυχία επίλυσης DNS) .
Αρχικά, ο διακόπτης θα κυκλοφορήσει σε Chrome Desktop και Chrome για Android. Θα ακολουθήσει ένας διακόπτης για το Chrome σε iOS.
Το Verkada Hack εκθέτει 150,000 κάμερες ασφαλείας
Σε μια μάλλον δυσοίωνη αρχή, μια εκκίνηση της Silicon Valley γνωστή ως Verkada υπέστη μια τεράστια παραβίαση ασφαλείας. Οι χάκερ ανέλαβαν τον έλεγχο περισσότερων από 150,000 καμερών που βρίσκονται σε μέρη όπως φυλακές, αστυνομικά τμήματα, εργοστάσια Tesla, νοσοκομεία, γυμναστήρια, ακόμη και τα γραφεία της ίδιας της εταιρείας. Γιατί ήταν αυτές οι κάμερες σε τόσο ευαίσθητες τοποθεσίες; Λοιπόν, επειδή η Verkada, δυστυχώς, είναι εταιρεία ασφαλείας. Σύμφωνα με μια εκτενή έκθεση by Το Bloomberg William Turton, οι χάκερς απέκτησαν πρόσβαση μέσω ονόματος χρήστη και κωδικού πρόσβασης που βρέθηκαν στο διαδίκτυο για λογαριασμό "Super Admin", παρέχοντας πρόσβαση στις κάμερες όλων των πελατών της εταιρείας.
Αυτή η πρόσβαση επέτρεψε στους εισβολείς να βλέπουν στα δωμάτια του νοσοκομείου, να κάνουν συνεντεύξεις μαρτύρων μεταξύ αστυνομικών και εγκληματιών υπόπτων και να δουν ποιος είχε χρησιμοποιήσει κάρτα ελέγχου πρόσβασης σε νοσοκομείο Tempe. Όσο για το κίνητρο πίσω από το hack, Bloomberg εκθέσεις:
Η παραβίαση δεδομένων πραγματοποιήθηκε από μια διεθνή ομάδα χάκερ και είχε σκοπό να δείξει τη διείσδυση της παρακολούθησης βίντεο και την ευκολία με την οποία τα συστήματα θα μπορούσαν να εισέλθουν, δήλωσε η Tillie Kottmann, ένας από τους χάκερ που ισχυρίστηκε ότι παραβίασε το San Mateo, με έδρα την Καλιφόρνια Βερκάδα. Ο Kottmann, ο οποίος χρησιμοποιεί τις αντωνυμίες, είχε προηγουμένως αξιώσει πίστωση για την πειρατεία της chipmaker Intel Corp. και της αυτοκινητοβιομηχανίας Nissan Motor Co. αντι-καπιταλισμός, μια ένδειξη αναρχισμού - και είναι επίσης πάρα πολύ διασκεδαστικό να μην το κάνεις. "
Το hack «αποκαλύπτει πόσο ευρέως παρακολουθούμε και πόσο λίγη φροντίδα γίνεται τουλάχιστον για την εξασφάλιση των πλατφορμών που χρησιμοποιούνται για να το κάνουν, επιδιώκοντας παρά μόνο κέρδος», δήλωσε ο Kottmann.
Μετά το συμβάν, η Verkada απενεργοποίησε όλους τους εσωτερικούς λογαριασμούς διαχειριστή και ξεκίνησε μια έρευνα.
Βρέθηκαν σημαντικές αδυναμίες ασφαλείας στο λογισμικό Netop Vision
Σε τρομακτικά νέα για τους γονείς που προσπαθούν να περάσουν από την υπόλοιπη μάθηση στο σπίτι, έχουν βρεθεί σημαντικές ευπάθειες ασφαλείας στο Netop Vision - ένα δημοφιλές λογισμικό εικονικής μάθησης που χρησιμοποιείται από περίπου 3 εκατομμύρια εκπαιδευτικούς και μαθητές. Το Netop επιτρέπει την εκμάθηση στο σπίτι εξυπηρετώντας ως σύστημα παρακολούθησης μαθητών που επιτρέπει στους εκπαιδευτικούς να εργάζονται εξ αποστάσεως στους υπολογιστές των μαθητών τους, και χρησιμοποιείται κυρίως για τη διαχείριση εργαστηρίων υπολογιστών ή σχολικών τάξεων. Ωστόσο, λόγω του Covid, οι μαθητές έχουν μεταφέρει στο σπίτι τους υπολογιστές με το λογισμικό για εξ αποστάσεως μάθηση, αυξάνοντας την εμβέλεια και την ευπάθειά του.
Οι ερευνητές στο McAfee ανακοίνωσαν ότι είχαν βρει τέσσερα κρίσιμα ελαττώματα στο λογισμικό διαχείρισης τάξεων. Τα ελαττώματα θα μπορούσαν να επιτρέψουν στους εισβολείς να πάρουν τον έλεγχο των υπολογιστών, να κλέψουν διαπιστευτήρια ή να εγκαταστήσουν ransomware. Ανησυχητικά, τα ζητήματα ασφαλείας θα μπορούσαν επίσης να επιτρέψουν στους χάκερ να θέσουν ως καθηγητές και να παρατηρήσουν μαθητές.
Ο Μπέντζαμιν ελευθερώθηκε στις EdScoop αναφέρθηκε στο θέμα τον Μάρτιο:
Τα μέλη του Advanced Threat Research Group της McAfee δοκίμασαν το πρόγραμμα Netop δημιουργώντας μια προσομοιωμένη εικονική τάξη, με έναν υπολογιστή να λειτουργεί ως σταθμός του δασκάλου και τρεις συσκευές μαθητών. Ένα από τα πρώτα πράγματα που οι ερευνητές παρατήρησαν ήταν ότι τα προφίλ χρηστών εκπαιδευτικών και μαθητών είχαν διαφορετικά επίπεδα αδειών. Επίσης, εντόπισαν γρήγορα ότι όλη η κυκλοφορία δικτύου μεταξύ του δασκάλου και των μαθητών αποστέλλεται σε μη κρυπτογραφημένα πακέτα - συμπεριλαμβανομένων των στιγμιότυπων οθόνης των οθονών των μαθητών που αποστέλλονται στον δάσκαλο - χωρίς επιλογή ενεργοποίησης της κρυπτογράφησης.
«Με αυτές τις πληροφορίες, η ομάδα μπόρεσε να μεταμφιέσει ως δάσκαλος τροποποιώντας τον κώδικά τους», έγραψαν οι ερευνητές της McAfee.
Αφού έμαθε για την επίθεση, η εταιρεία ενήργησε γρήγορα για την επίλυση των περισσότερων προβλημάτων. Ωστόσο, το λογισμικό εξακολουθεί να χρησιμοποιεί μη κρυπτογραφημένες συνδέσεις, κάτι που αποτελεί συνεχή κίνδυνο.
