Selamat Musim Semi untuk semua pembaca kami! Selamat datang di Roundup Keamanan SSL.com edisi Maret ini, di mana kami melihat kembali bulan lain yang telah berlalu pada tahun 2021. Secara khusus, kami melihat kembali bulan lalu dalam keamanan digital, dan telah mengumpulkan apa yang kami anggap paling layak diberitakan hal-hal di alam itu, untuk Anda, di bawah.
IETF Tidak Berlaku Lagi TLS 1.0 dan 1.1
Kami sudah tahu itu TLS versi 1.0 dan 1.1 tidak aman. Internet Engineering Task Force (IETF) baru saja membuatnya resmi dengan RFC 8996, yang secara resmi menghentikan produk usang tersebut TLS versi.
Dari abstrak:
Dokumen ini secara resmi menghentikan Keamanan Lapisan Transportasi (TLS) versi 1.0 (RFC 2246) dan 1.1 (RFC 4346). Dengan demikian, dokumen tersebut telah dipindahkan ke status Historis. Versi ini tidak mendukung algoritme dan mekanisme kriptografi saat ini dan yang direkomendasikan, serta berbagai profil pemerintah dan industri dari aplikasi yang digunakan TLS sekarang mandat untuk menghindari yang lama ini TLS versi. TLS versi 1.2 menjadi versi yang direkomendasikan untuk protokol IETF pada tahun 2008 (kemudian ditinggalkan oleh TLS versi 1.3 pada 2018), memberikan waktu yang cukup untuk beralih dari versi yang lebih lama. Menghapus dukungan untuk versi lama dari implementasi mengurangi permukaan serangan, mengurangi peluang kesalahan konfigurasi, dan menyederhanakan pustaka dan pemeliharaan produk.
Chrome 90 Akan Default ke HTTPS
Mulai versi 90, bilah alamat Chrome akan menggunakan HTTPS sebagai protokol default. Itu berarti bahwa URL yang dimasukkan tanpa awalan, seperti yang cenderung dilakukan sebagian besar pengguna, akan menjadi lebih aman https:// alih-alih http://, yang merupakan default Chrome hingga saat ini. Sakelar memiliki implikasi keamanan yang jelas — HTTPS lebih aman dan mencegah intersepsi dan pengintaian dengan mengenkripsi lalu lintas. Peralihan oleh Chrome juga menawarkan peningkatan kinerja karena menghilangkan kebutuhan untuk pengalihan dari default sebelumnya ke protokol yang lebih banyak digunakan. Seperti dilansir itu Blog Chromium:
Selain menjadi peningkatan keamanan dan privasi yang jelas, perubahan ini meningkatkan kecepatan pemuatan awal situs yang mendukung HTTPS, karena Chrome akan terhubung langsung ke titik akhir HTTPS tanpa perlu dialihkan dari http: // ke https: //. Untuk situs yang belum mendukung HTTPS, Chrome akan kembali ke HTTP saat upaya HTTPS gagal (termasuk jika ada kesalahan sertifikat, seperti ketidakcocokan nama atau sertifikat yang ditandatangani sendiri tidak tepercaya, atau kesalahan sambungan, seperti kegagalan resolusi DNS) .
Awalnya, pengalih akan diluncurkan di Chrome Desktop dan Chrome untuk Android. Tombol untuk Chrome di iOS akan mengikuti.
Verkada Hack Mengekspos 150,000 Kamera Keamanan
Pada awal yang agak tidak menguntungkan, startup Silicon Valley yang dikenal sebagai Verkada mengalami pelanggaran keamanan besar-besaran. Peretas menguasai lebih dari 150,000 kamera yang terletak di tempat-tempat seperti penjara, kantor polisi, pabrik Tesla, rumah sakit, pusat kebugaran, dan bahkan kantor perusahaan itu sendiri. Mengapa kamera ini berada di lokasi sensitif seperti itu? Nah, karena Verkada, sayangnya, adalah perusahaan keamanan. Berdasarkan laporan ekstensif by Bloomberg's William Turton, para peretas memperoleh akses melalui nama pengguna dan kata sandi yang ditemukan online untuk akun "Admin Super", memberikan akses ke kamera semua pelanggan perusahaan.
Akses tersebut memungkinkan para penyusup untuk melihat ke dalam kamar rumah sakit, wawancara saksi antara polisi dan tersangka kriminal, dan melihat siapa yang telah menggunakan kartu kendali akses di rumah sakit Tempe. Adapun motivasi dibalik peretasan, Bloomberg laporan:
Pembobolan data dilakukan oleh kolektif peretas internasional dan dimaksudkan untuk menunjukkan luasnya pengawasan video dan kemudahan sistem dapat dibobol, kata Tillie Kottmann, salah satu peretas yang mengklaim kredit karena melanggar San Mateo, yang berbasis di California. Verkada. Kottmann, yang menggunakan kata ganti mereka, sebelumnya mengklaim kredit untuk peretasan pembuat chip Intel Corp dan pembuat mobil Nissan Motor Co. Kottmann mengatakan alasan mereka untuk peretasan adalah "banyak keingintahuan, memperjuangkan kebebasan informasi dan melawan kekayaan intelektual, dosis yang sangat besar anti-kapitalisme, sedikit anarkisme — dan terlalu menyenangkan untuk tidak melakukannya. ”
Peretasan tersebut "memperlihatkan seberapa luas kita sedang diawasi, dan betapa sedikit perawatan yang dilakukan setidaknya untuk mengamankan platform yang digunakan untuk melakukannya, hanya mengejar keuntungan," kata Kottmann.
Setelah insiden tersebut, Verkada menonaktifkan semua akun administrator internal dan melakukan penyelidikan.
Cacat Keamanan Utama Ditemukan di Perangkat Lunak Netop Vision
Dalam berita menakutkan bagi orang tua yang hanya mencoba menjalani sisa pembelajaran di rumah, kerentanan keamanan utama telah ditemukan di Netop Vision — perangkat lunak pembelajaran virtual populer yang digunakan oleh sekitar 3 juta guru dan siswa. Netop memungkinkan pembelajaran di rumah dengan berfungsi sebagai sistem pemantauan siswa yang memungkinkan guru untuk bekerja dari jarak jauh di komputer siswa mereka, dan terutama digunakan untuk mengelola laboratorium komputer sekolah atau ruang kelas. Namun, karena Covid, siswa telah membawa pulang komputer dengan perangkat lunak untuk pembelajaran jarak jauh, meningkatkan jangkauan dan kerentanannya.
Peneliti di McAfee mengumumkan bahwa mereka telah menemukan empat kelemahan kritis dalam perangkat lunak manajemen kelas. Cacat ini memungkinkan penyerang untuk mengambil kendali komputer, mencuri kredensial, atau menginstal ransomware. Yang mengkhawatirkan, masalah keamanan juga memungkinkan peretas untuk menyamar sebagai guru dan mengamati siswa.
Benjamin Freed di EdScoop melaporkan masalah tersebut di bulan Maret:
Anggota Advanced Threat Research Group McAfee menguji program Netop dengan membuat simulasi kelas virtual, dengan satu komputer bertindak sebagai stasiun guru dan tiga perangkat siswa. Salah satu hal pertama yang peneliti perhatikan adalah bahwa profil pengguna guru dan siswa memiliki tingkat izin yang berbeda. Mereka juga dengan cepat melihat bahwa semua lalu lintas jaringan antara guru dan siswa dikirim dalam paket yang tidak terenkripsi - termasuk tangkapan layar dari layar siswa yang dikirim ke guru - tanpa opsi untuk mengaktifkan enkripsi.
“Dengan informasi ini, tim dapat menyamar sebagai guru dengan memodifikasi kode mereka,” tulis peneliti McAfee.
Setelah mengetahui tentang serangan itu, perusahaan bertindak cepat untuk memperbaiki sebagian besar masalah. Namun, perangkat lunak terus menggunakan koneksi yang tidak terenkripsi, yang merupakan risiko lanjutan.