¡Feliz primavera a todos nuestros lectores! Bienvenido a esta edición de marzo del Resumen de seguridad de SSL.com, en la que recordamos otro mes pasado en 2021. Específicamente, estamos mirando hacia atrás al mes pasado en seguridad digital, y hemos recopilado lo que consideramos el más digno de noticias. cosas en ese ámbito, para ti, a continuación.
IETF obsoleto TLS 1.0 y 1.1
Sabemos desde hace un tiempo que TLS las versiones 1.0 y 1.1 son inseguras. El Grupo de Trabajo de Ingeniería de Internet (IETF) lo acaba de hacer oficial con RFC 8996, que desaprueba formalmente estos obsoletos TLS versiones.
De lo abstracto:
Este documento desaprueba formalmente la seguridad de la capa de transporte (TLS) versiones 1.0 (RFC 2246) y 1.1 (RFC 4346). En consecuencia, esos documentos se han movido al estado histórico. Estas versiones carecen de soporte para los algoritmos y mecanismos criptográficos recomendados y actuales, y varios perfiles gubernamentales e industriales de aplicaciones que utilizan TLS ahora manda evitar estos viejos TLS versiones. TLS La versión 1.2 se convirtió en la versión recomendada para los protocolos IETF en 2008 (posteriormente quedó obsoleta por TLS versión 1.3 en 2018), lo que proporciona tiempo suficiente para realizar la transición desde versiones anteriores. La eliminación de la compatibilidad con versiones anteriores de las implementaciones reduce la superficie de ataque, reduce la posibilidad de errores de configuración y agiliza el mantenimiento de la biblioteca y el producto.
Chrome 90 se establecerá de forma predeterminada en HTTPS
A partir de la versión 90, la barra de direcciones de Chrome utilizará HTTPS como protocolo predeterminado. Eso significa que las URL ingresadas sin el prefijo, como la mayoría de los usuarios tienden a hacer, serán más seguras https://
en lugar de http://
, que era el predeterminado de Chrome hasta este momento. El conmutador tiene implicaciones de seguridad obvias: HTTPS es más seguro y evita la interceptación y el espionaje al cifrar el tráfico. El cambio de Chrome también ofrece un aumento en el rendimiento, ya que elimina la necesidad de redirección del protocolo predeterminado anterior al protocolo más utilizado. Como informó de la forma más Blog de cromo:
Además de ser una clara mejora de la seguridad y la privacidad, este cambio mejora la velocidad de carga inicial de los sitios que admiten HTTPS, ya que Chrome se conectará directamente al punto final HTTPS sin necesidad de ser redirigido de http: // a https: //. Para los sitios que aún no son compatibles con HTTPS, Chrome recurrirá a HTTP cuando el intento de HTTPS falle (incluso cuando hay errores de certificado, como una falta de coincidencia de nombres o un certificado autofirmado que no es de confianza, o errores de conexión, como una falla en la resolución de DNS) .
Inicialmente, el cambio se implementará en Chrome Desktop y Chrome para Android. Seguirá un cambio para Chrome en iOS.
Verkada Hack expone 150,000 cámaras de seguridad
En un comienzo bastante desfavorable, una startup de Silicon Valley conocida como Verkada sufrió una violación de seguridad masiva. Los piratas informáticos tomaron el control de más de 150,000 cámaras ubicadas en lugares como cárceles, comisarías, fábricas de Tesla, hospitales, gimnasios e incluso las oficinas de la propia empresa. ¿Por qué estaban estas cámaras en lugares tan sensibles? Bueno, porque Verkada, lamentablemente, es una empresa de seguridad. De acuerdo a un informe extenso by Bloomberg William Turton, los piratas informáticos obtuvieron acceso a través de un nombre de usuario y una contraseña que se encuentran en línea para una cuenta de "súper administrador", lo que les otorga acceso a las cámaras de todos los clientes de la compañía.
Ese acceso permitió a los intrusos ver el interior de las habitaciones del hospital, presenciar entrevistas entre la policía y sospechosos de delitos y ver quién había utilizado la tarjeta de control de acceso en un hospital de Tempe. En cuanto a la motivación detrás del truco, informe de Bloomberg informes:
La violación de datos fue llevada a cabo por un colectivo internacional de piratas informáticos y tenía la intención de mostrar la omnipresencia de la videovigilancia y la facilidad con la que se pueden ingresar los sistemas, dijo Tillie Kottmann, una de las piratas informáticas que se atribuyó el mérito de violar la ley con sede en San Mateo, California. Verkada. Kottmann, que usa pronombres de ellos / ellos, se atribuyó anteriormente el crédito por piratear al fabricante de chips Intel Corp. y al fabricante de automóviles Nissan Motor Co. Kottmann dijo que sus razones para piratear son “mucha curiosidad, luchar por la libertad de información y contra la propiedad intelectual, una gran dosis de anticapitalismo, una pizca de anarquismo, y también es demasiado divertido no hacerlo ".
El truco “expone cuán ampliamente estamos siendo vigilados y cuán poco cuidado se pone al menos en asegurar las plataformas utilizadas para hacerlo, sin buscar nada más que ganancias”, dijo Kottmann.
Después del incidente, Verkada deshabilitó todas las cuentas de administrador interno y lanzó una investigación.
Principales fallas de seguridad encontradas en el software de visión de Netop
En una noticia aterradora para los padres que solo intentan superar el resto del aprendizaje en el hogar, se han encontrado importantes vulnerabilidades de seguridad en Netop Vision, un popular software de aprendizaje virtual utilizado por aproximadamente 3 millones de maestros y estudiantes. Netop permite el aprendizaje en casa al servir como un sistema de monitoreo de estudiantes que permite a los maestros trabajar de forma remota en las computadoras de sus estudiantes y se utiliza principalmente para administrar los laboratorios de computación de la escuela o las aulas. Sin embargo, gracias a Covid, los estudiantes se han llevado a casa computadoras con el software para aprendizaje a distancia, aumentando su alcance y vulnerabilidad.
Investigadores de McAfee anunciaron que habían encontrado cuatro fallas críticas en el software de gestión del aula. Las fallas podrían permitir a los atacantes tomar el control de las computadoras, robar credenciales o instalar ransomware. Es preocupante que los problemas de seguridad también permitan a los piratas informáticos hacerse pasar por profesores y observar a los estudiantes.
Benjamin liberado en EdScoop informó sobre el tema en marzo:
Los miembros del Grupo de Investigación de Amenazas Avanzadas de McAfee probaron el programa Netop creando un aula virtual simulada, con una computadora que actúa como estación del maestro y tres dispositivos para los estudiantes. Una de las primeras cosas que notaron los investigadores fue que los perfiles de usuario de profesores y estudiantes tenían diferentes niveles de permisos. También detectaron rápidamente que todo el tráfico de red entre el profesor y los estudiantes se enviaba en paquetes no cifrados, incluidas capturas de pantalla de las pantallas de los estudiantes que se enviaban al profesor, sin opción para activar el cifrado.
"Con esta información, el equipo pudo disfrazarse de profesor modificando su código", escribieron los investigadores de McAfee.
Después de enterarse del ataque, la empresa actuó rápidamente para solucionar la mayoría de los problemas. Sin embargo, el software sigue utilizando conexiones no cifradas, lo que supone un riesgo continuo.