en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

Resumen de seguridad de marzo de 2021

¡Feliz primavera a todos nuestros lectores! Bienvenido a esta edición de marzo del Resumen de seguridad de SSL.com, en la que recordamos otro mes pasado en 2021. Específicamente, estamos mirando hacia atrás al mes pasado en seguridad digital, y hemos recopilado lo que consideramos el más digno de noticias. cosas en ese ámbito, para ti, a continuación.

firmante electrónico ofrece a los clientes de SSL.com una plataforma unificada y una interfaz de usuario para la firma de códigos y documentos en la nube. Más información sobre eSigner.firmante electrónico

IETF obsoleto TLS 1.0 y 1.1

Sabemos desde hace un tiempo que TLS las versiones 1.0 y 1.1 son inseguras. El Grupo de Trabajo de Ingeniería de Internet (IETF) lo acaba de hacer oficial con RFC 8996, que desaprueba formalmente estos obsoletos TLS versiones.

De lo abstracto:

Este documento desaprueba formalmente la seguridad de la capa de transporte (TLS) versiones 1.0 (RFC 2246) y 1.1 (RFC 4346). En consecuencia, esos documentos se han movido al estado histórico. Estas versiones carecen de soporte para los algoritmos y mecanismos criptográficos recomendados y actuales, y varios perfiles gubernamentales e industriales de aplicaciones que utilizan TLS ahora manda evitar estos viejos TLS versiones. TLS La versión 1.2 se convirtió en la versión recomendada para los protocolos IETF en 2008 (posteriormente quedó obsoleta por TLS versión 1.3 en 2018), lo que proporciona tiempo suficiente para realizar la transición desde versiones anteriores. La eliminación de la compatibilidad con versiones anteriores de las implementaciones reduce la superficie de ataque, reduce la posibilidad de errores de configuración y agiliza el mantenimiento de la biblioteca y el producto.

Conclusión de SSL.com: Deshabilitar versiones tempranas e inseguras de SSL y TLS es una importante las mejores prácticas para la seguridad de Internet. Si no está seguro de si TLS 1.0 y 1.1 todavía están habilitados en sus servidores, ahora es un buen momento para verificar y actualizar su configuración si es necesario. Consulte estos recursos de SSL.com para obtener más información:

Chrome 90 se establecerá de forma predeterminada en HTTPS

A partir de la versión 90, la barra de direcciones de Chrome utilizará HTTPS como protocolo predeterminado. Eso significa que las URL ingresadas sin el prefijo, como la mayoría de los usuarios tienden a hacer, serán más seguras https:// en lugar de http://, que era el predeterminado de Chrome hasta este momento. El conmutador tiene implicaciones de seguridad obvias: HTTPS es más seguro y evita la interceptación y el espionaje al cifrar el tráfico. El cambio de Chrome también ofrece un aumento en el rendimiento, ya que elimina la necesidad de redirección del protocolo predeterminado anterior al protocolo más utilizado. Como informó los Blog de cromo:

Además de ser una clara mejora de la seguridad y la privacidad, este cambio mejora la velocidad de carga inicial de los sitios que admiten HTTPS, ya que Chrome se conectará directamente al punto final HTTPS sin necesidad de ser redirigido de http: // a https: //. Para los sitios que aún no son compatibles con HTTPS, Chrome recurrirá a HTTP cuando el intento de HTTPS falle (incluso cuando hay errores de certificado, como una falta de coincidencia de nombres o un certificado autofirmado que no es de confianza, o errores de conexión, como una falla en la resolución de DNS) .

Inicialmente, el cambio se implementará en Chrome Desktop y Chrome para Android. Seguirá un cambio para Chrome en iOS.

Conclusión de SSL.com: Con la mayoría de los sitios web ahora habilitado para HTTPS, este cambio en Chrome aumentará la seguridad y la velocidad para los usuarios. Obviamente, firmamos conjuntamente cualquier movimiento que tenga estos objetivos en mente.

Verkada Hack expone 150,000 cámaras de seguridad

En un comienzo bastante desfavorable, una startup de Silicon Valley conocida como Verkada sufrió una violación de seguridad masiva. Los piratas informáticos tomaron el control de más de 150,000 cámaras ubicadas en lugares como cárceles, comisarías, fábricas de Tesla, hospitales, gimnasios e incluso las oficinas de la propia empresa. ¿Por qué estaban estas cámaras en lugares tan sensibles? Bueno, porque Verkada, lamentablemente, es una empresa de seguridad. De acuerdo a un informe extenso by Bloomberg William Turton, los piratas informáticos obtuvieron acceso a través de un nombre de usuario y una contraseña que se encuentran en línea para una cuenta de "súper administrador", lo que les otorga acceso a las cámaras de todos los clientes de la compañía.

Ese acceso permitió a los intrusos ver el interior de las habitaciones del hospital, presenciar entrevistas entre la policía y sospechosos de delitos y ver quién había utilizado la tarjeta de control de acceso en un hospital de Tempe. En cuanto a la motivación detrás del truco, informe de Bloomberg informes:

La violación de datos fue llevada a cabo por un colectivo internacional de piratas informáticos y tenía la intención de mostrar la omnipresencia de la videovigilancia y la facilidad con la que se pueden ingresar los sistemas, dijo Tillie Kottmann, una de las piratas informáticas que se atribuyó el mérito de violar la ley con sede en San Mateo, California. Verkada. Kottmann, que usa pronombres de ellos / ellos, se atribuyó anteriormente el crédito por piratear al fabricante de chips Intel Corp. y al fabricante de automóviles Nissan Motor Co. Kottmann dijo que sus razones para piratear son “mucha curiosidad, luchar por la libertad de información y contra la propiedad intelectual, una gran dosis de anticapitalismo, una pizca de anarquismo, y también es demasiado divertido no hacerlo ".

El truco “expone cuán ampliamente estamos siendo vigilados y cuán poco cuidado se pone al menos en asegurar las plataformas utilizadas para hacerlo, sin buscar nada más que ganancias”, dijo Kottmann.

Después del incidente, Verkada deshabilitó todas las cuentas de administrador interno y lanzó una investigación.

Conclusión de SSL.com: Alejándonos de la crítica general de la vida en una sociedad de vigilancia, aquí nos centraremos en la lección de sentido común. No exponga las credenciales de inicio de sesión en Internet, pero considere opciones más seguras como autenticación basada en certificados

Principales fallas de seguridad encontradas en el software de visión de Netop

En una noticia aterradora para los padres que solo intentan superar el resto del aprendizaje en el hogar, se han encontrado importantes vulnerabilidades de seguridad en Netop Vision, un popular software de aprendizaje virtual utilizado por aproximadamente 3 millones de maestros y estudiantes. Netop permite el aprendizaje en casa al servir como un sistema de monitoreo de estudiantes que permite a los maestros trabajar de forma remota en las computadoras de sus estudiantes y se utiliza principalmente para administrar los laboratorios de computación de la escuela o las aulas. Sin embargo, gracias a Covid, los estudiantes se han llevado a casa computadoras con el software para aprendizaje a distancia, aumentando su alcance y vulnerabilidad.

Investigadores de McAfee anunciaron que habían encontrado cuatro fallas críticas en el software de gestión del aula. Las fallas podrían permitir a los atacantes tomar el control de las computadoras, robar credenciales o instalar ransomware. Es preocupante que los problemas de seguridad también permitan a los piratas informáticos hacerse pasar por profesores y observar a los estudiantes.

Benjamin liberado en EdScoop informó sobre el tema en marzo:

Los miembros del Grupo de Investigación de Amenazas Avanzadas de McAfee probaron el programa Netop creando un aula virtual simulada, con una computadora que actúa como estación del maestro y tres dispositivos para los estudiantes. Una de las primeras cosas que notaron los investigadores fue que los perfiles de usuario de profesores y estudiantes tenían diferentes niveles de permisos. También detectaron rápidamente que todo el tráfico de red entre el profesor y los estudiantes se enviaba en paquetes no cifrados, incluidas capturas de pantalla de las pantallas de los estudiantes que se enviaban al profesor, sin opción para activar el cifrado.

"Con esta información, el equipo pudo disfrazarse de profesor modificando su código", escribieron los investigadores de McAfee.

Después de enterarse del ataque, la empresa actuó rápidamente para solucionar la mayoría de los problemas. Sin embargo, el software sigue utilizando conexiones no cifradas, lo que supone un riesgo continuo.

Conclusión de SSL.com: Este es un buen recordatorio de que cualquier software que se use para el aprendizaje remoto (o cualquier otra cosa remota, en realidad) debe usar el cifrado de red para evitar escuchas o algo peor.

 

 

Suscríbase al boletín de SSL.com

No se pierda los nuevos artículos y actualizaciones de SSL.com