Boldog tavaszt minden olvasónknak! Üdvözöljük az SSL.com Security Roundup márciusi kiadásában, amelyben visszatekintünk egy 2021-ben eltelt újabb hónapra. Konkrétan visszatekintünk az elmúlt hónapra a digitális biztonság területén, és összegyűjtöttük azt, amit a legértékesebbnek tartunk. dolgokat abban a birodalomban, az Ön számára, alább.
Az IETF megszűnik TLS 1.0 és 1.1
Ezt már egy ideje tudjuk TLS az 1.0 és 1.1 verzió nem biztonságos. Az Internet Engineering Task Force (IETF) csak hivatalossá tette RFC 8996, amely formálisan elavítja ezeket az elavultakat TLS változatok.
Az absztrakt:
Ez a dokumentum hivatalosan megszünteti a Transport Layer Security-t (TLS) verziók 1.0 (RFC 2246) és az 1.1 (RFC 4346). Ennek megfelelően ezek a dokumentumok történelmi státusba kerültek. Ezekből a verziókból hiányzik a jelenlegi és ajánlott kriptográfiai algoritmusok és mechanizmusok, valamint a használt kormányzati és iparági különféle profilok támogatása TLS most megbízza ezeket a régiek elkerülését TLS változatok. TLS Az 1.2 verzió az IETF protokollok ajánlott verziójává vált 2008 - ban (később az TLS 1.3 verzió 2018-ban), elegendő időt biztosítva a régebbi verzióktól való áttérésre. A régebbi verziók támogatásának eltávolítása a megvalósításokból csökkenti a támadási felületet, csökkenti a téves konfiguráció lehetőségét, és egyszerűsíti a könyvtár és a termék karbantartását.
A Chrome 90 alapértelmezés szerint HTTPS
A 90-es verziótól kezdve a Chrome címsora HTTPS-t fog használni alapértelmezett protokollként. Ez azt jelenti, hogy az előtag nélkül beírt URL-ek, ahogy a legtöbb felhasználó hajlamos erre, biztonságosabbak lesznek https:// helyett http://, amely eddig a Chrome volt az alapértelmezett. A kapcsolónak nyilvánvaló biztonsági vonatkozásai vannak - a HTTPS biztonságosabb, és a forgalom titkosításával megakadályozza az elfogást és a szimatolást. A Chrome általi váltás emellett növeli a teljesítményt, mivel kiküszöböli az átirányítás szükségességét az előző alapértelmezettről a szélesebb körben használt protokollra. Amint arról a a Chrome blog:
Amellett, hogy egyértelműen javítja a biztonságot és az adatvédelmet, ez a változás javítja a HTTPS-t támogató webhelyek kezdeti betöltési sebességét, mivel a Chrome közvetlenül csatlakozik a HTTPS-végponthoz anélkül, hogy át kellene irányítania a http: // -ről a https: // -re. Azoknál a webhelyeknél, amelyek még nem támogatják a HTTPS-t, a Chrome visszaáll a HTTP-re, amikor a HTTPS-kísérlet sikertelen lesz (beleértve a tanúsítványhibákat is, például a név nem egyezik vagy nem megbízható, önaláírt tanúsítvány, vagy kapcsolódási hibákat, például a DNS-felbontás hibáját) .
Kezdetben a váltás a Chrome Desktop és az Android androidos verziókra vonatkozik. Következik az iOS rendszerű Chrome-kapcsoló.
A Verkada Hack 150,000 XNUMX biztonsági kamerát mutat be
Elég nem kellemetlen kezdetben a Szilícium-völgy Verkada néven ismert startupja hatalmas biztonsági megsértést szenvedett. A hackerek átvették az irányítást több mint 150,000 XNUMX kamera felett, amelyek olyan helyeken találhatók, mint a börtönök, rendőrőrsök, Tesla-gyárak, kórházak, tornateremek, sőt maga a cég irodája is. Miért voltak ezek a kamerák ilyen érzékeny helyeken? Nos, mert a Verkada, sajnos elég, biztonsági cég. Alapján átfogó jelentés by Bloomberg William Turton, a hackerek a „Super Admin” fiókhoz online megtalált felhasználónévvel és jelszóval jutottak hozzáféréshez, hozzáférést biztosítva a vállalat összes ügyfelének kamerájához.
Ez a hozzáférés lehetővé tette a behatolók számára, hogy bejárjanak a kórházi helyiségekbe, tanúi lehessenek a rendőrség és a bűnügyi gyanúsítottak közötti interjúknak, és megnézhessék, ki használta a beléptető kártyát egy templomi kórházban. Ami a hack mögött rejlő motivációt illeti, Bloomberg jelentések:
Az adatsértést egy nemzetközi hackercsoport követte el, és célja a videomegfigyelés terjedésének és a rendszerek betörésének könnyűsége volt - mondta Tillie Kottmann, az egyik hacker, aki hitelt követelt San Mateo kaliforniai székhelyének megsértéséért. Verkada. Az őket / őket névmásokat használó Kottmann korábban az Intel Corp. chipgyártó és a Nissan Motor Co. autógyártó cég hackelését követelte. Kottmann elmondta, hogy a hackelés okai: „sok kíváncsiság, küzdelem az információ szabadságáért és a szellemi tulajdon ellen, hatalmas adag antikapitalizmus, egy kis anarchizmus - és túl szórakoztató is, ha nem csináljuk meg. ”
A hack "megmutatja, mennyire széles körben vizsgálnak minket, és mennyire kevés gondot fordítanak arra, hogy legalább az eddig használt platformokat biztosítsák, semmi másra nem törekedve, csak profitra törekedve" - mondta Kottmann.
Az esetet követően a Verkada letiltotta az összes belső rendszergazdai fiókot, és vizsgálatot indított.
A Netop Vision szoftverben található legfontosabb biztonsági hibák
A szülők számára ijesztő hírekben, amelyek csak az otthoni tanulás többi részét próbálják átélni, komoly biztonsági réseket találtak a Netop Vision-ben - egy népszerű virtuális tanulási szoftverben, amelyet körülbelül 3 millió tanár és diák használ. A Netop lehetővé teszi az otthoni tanulást azáltal, hogy hallgatói megfigyelő rendszerként szolgál, amely lehetővé teszi a tanárok számára, hogy távolról dolgozhassanak a diákjaik számítógépén, és elsősorban az iskolai számítógépes laboratóriumok vagy tantermek kezelésére szolgál. Covid miatt azonban a hallgatók otthoni számítógépeket vittek magukkal a távoktatáshoz szükséges szoftverrel, növelve annak elérhetőségét és sebezhetőségét.
A McAfee kutatói bejelentették hogy négy kritikus hibát találtak az osztálytermi szoftverben. A hibák lehetővé tehetik a támadók számára, hogy átvegyék az irányítást a számítógépek felett, hitelesítő adatokat lopjanak vagy ransomware-eket telepítsenek. Aggasztó, hogy a biztonsági kérdések lehetővé tehetik a hackerek számára, hogy tanárként pózoljanak és megfigyeljék a diákokat.
Benjamin felszabadult EdScoop számolt be a kérdésről márciusban:
A McAfee Advanced Threat Research Group tagjai egy szimulált virtuális tanterem létrehozásával tesztelték a Netop programot, ahol egy számítógép működött a tanár állomásaként és három tanulói eszköz. Az egyik első dolog, amit a kutatók észrevettek, az volt, hogy a tanárok és a diákok felhasználói profiljai különböző jogosultsági szintekkel rendelkeznek. Gyorsan észrevették azt is, hogy a tanár és a diákok közötti összes hálózati forgalmat titkosítatlan csomagokban küldik - ideértve a diákoknak a tanárnak küldött képernyők képernyőképeit is -, a titkosítás bekapcsolásának lehetősége nélkül.
"Ezekkel az információkkal a csapat képes volt tanárnak álcázni magát a kódjuk módosításával" - írták a McAfee kutatói.
Miután megismerte a támadást, a vállalat gyorsan megoldotta a legtöbb problémát. A szoftver azonban továbbra is titkosítatlan kapcsolatokat használ, ami továbbra is kockázatot jelent.
