読者のみなさん、おめでとうございます! このSSL.comセキュリティラウンドアップの2021月版へようこそ。ここでは、XNUMX年に過ぎた別の月を振り返ります。具体的には、デジタルセキュリティの先月を振り返り、最も報道価値があると思われるものを収集しました。その領域のこと、あなたのために、以下。
IETFは非推奨 TLS 1.0と1.1
私たちはしばらくの間それを知っていました TLS バージョン1.0および1.1は安全ではありません。 インターネット技術特別調査委員会(IETF)は、 RFC 8996、これらの廃止されたものを正式に非推奨にします TLS バージョン。
要約から:
このドキュメントは、トランスポート層セキュリティを正式に非推奨にします(TLS)バージョン1.0(RFC 2246)と1.1(RFC 4346)。 したがって、これらの文書は履歴ステータスに移動されました。 これらのバージョンは、現在および推奨される暗号化アルゴリズムとメカニズム、およびを使用するアプリケーションのさまざまな政府および業界のプロファイルのサポートを欠いています TLS 今、これらの古いものを避けることを義務付けています TLS バージョン。 TLS バージョン1.2は、2008年にIETFプロトコルの推奨バージョンになりました(その後、 TLS 1.3年のバージョン2018)、古いバージョンから移行するのに十分な時間を提供します。 実装から古いバージョンのサポートを削除すると、攻撃対象領域が減少し、構成ミスの可能性が減少し、ライブラリと製品のメンテナンスが合理化されます。
Chrome90はデフォルトでHTTPSになります
バージョン90以降、ChromeのアドレスバーはデフォルトのプロトコルとしてHTTPSを使用します。 つまり、ほとんどのユーザーが行う傾向があるように、プレフィックスなしで入力されたURLはより安全になります https://
http://
、これはこの時点までChromeのデフォルトでした。 スイッチには明らかな安全上の影響があります。HTTPSはより安全であり、トラフィックを暗号化することで傍受やスヌーピングを防ぎます。 Chromeによる切り替えは、以前のデフォルトからより広く使用されているプロトコルへのリダイレクトの必要性を排除するという点で、パフォーマンスの向上も提供します。 によって報告されるように Chromiumブログ:
明確なセキュリティとプライバシーの改善に加えて、Chromeはhttp://からhttps://にリダイレクトする必要なしに、HTTPSエンドポイントに直接接続するため、この変更により、HTTPSをサポートするサイトの初期読み込み速度が向上します。 HTTPSをまだサポートしていないサイトの場合、HTTPSの試行が失敗すると、ChromeはHTTPにフォールバックします(名前の不一致や信頼できない自己署名証明書などの証明書エラー、またはDNS解決の失敗などの接続エラーがある場合を含む) 。
当初、スイッチはChromeデスクトップとChrome forAndroidで展開されます。 iOS上のChromeの切り替えが続きます。
VerkadaHackが150,000台のセキュリティカメラを公開
かなり不吉なスタートで、Verkadaとして知られるシリコンバレーのスタートアップが大規模なセキュリティ侵害に見舞われた。 ハッカーは、刑務所、警察署、テスラの工場、病院、ジム、さらには会社自体のオフィスなどにある150,000万台以上のカメラを制御しました。 なぜこれらのカメラはそのような敏感な場所にあったのですか? 残念ながら、Verkadaはセキュリティ会社だからです。 による 広範なレポート by ブルームバーグ ハッカーのWilliamTurtonは、「スーパー管理者」アカウントのオンラインで見つかったユーザー名とパスワードを使用してアクセスし、会社のすべての顧客のカメラへのアクセスを許可しました。
そのアクセスにより、侵入者は病室を覗き込み、警察と刑事容疑者の間のインタビューを目撃し、テンペ病院で誰がアクセス制御カードを使用したかを確認することができました。 ハッキングの背後にある動機については、 ブルームバーグ レポート:
カリフォルニア州サンマテオを拠点とするハッカーのXNUMX人であるTillieKottmann氏は、データ漏えいは国際的なハッカー集団によって行われ、ビデオ監視の普及とシステムへの侵入のしやすさを示すことを目的としています。ヴェルカダ。 それら/それらの発音を使用するコットマンは、以前にチップメーカーのインテル社と自動車メーカーの日産モーター社をハッキングしたことで信用を主張しました。コットマンは、ハッキングの理由は「多くの好奇心、情報の自由と知的財産との戦い、反資本主義、アナキズムのヒント-そしてそれをしないのはとても楽しいことでもあります。」
このハッキングは、「私たちがどれだけ広範囲に監視されているか、そして少なくともそれを行うために使用されるプラットフォームを保護することにほとんど注意が払われておらず、利益だけを追求していることを明らかにします」とコットマンは言いました。
事件の後、Verkadaはすべての内部管理者アカウントを無効にし、調査を開始しました。
NetopVisionソフトウェアで見つかった主なセキュリティ上の欠陥
残りの在宅学習を乗り越えようとしている保護者にとって恐ろしいニュースとして、約3万人の教師と生徒が使用する人気の仮想学習ソフトウェアであるNetopVisionに重大なセキュリティの脆弱性が見つかりました。 Netopは、教師が生徒のコンピュータでリモートで作業できるようにする生徒監視システムとして機能することにより、家庭での学習を可能にします。これは主に学校のコンピュータラボや教室の管理に使用されます。 しかし、Covidのおかげで、学生は遠隔教育用のソフトウェアを搭載したコンピューターを自宅に持ち帰り、その到達範囲と脆弱性を高めています。
マカフィーの研究者が発表 彼らは教室管理ソフトウェアにXNUMXつの重大な欠陥を発見したこと。 この欠陥により、攻撃者はコンピューターを制御したり、資格情報を盗んだり、ランサムウェアをインストールしたりする可能性があります。 心配なことに、セキュリティの問題により、ハッカーが教師を装って生徒を観察する可能性もあります。
ベンジャミンはで解放されました エドスクープ 問題について報告された XNUMX月:
マカフィーのAdvancedThreat Research Groupのメンバーは、XNUMX台のコンピューターが教師のステーションとして機能し、XNUMX台の学生用デバイスを使用して、シミュレートされた仮想教室を作成することにより、Netopプログラムをテストしました。 研究者が最初に気づいたことのXNUMXつは、教師と生徒のユーザープロファイルが異なるアクセス許可レベルを持っていることでした。 また、教師と生徒の間のすべてのネットワークトラフィックが、暗号化をオンにするオプションがなく、暗号化されていないパケットで送信されていることにすぐに気付きました。これには、生徒の画面のスクリーンショットが教師に送信されます。
「この情報により、チームはコードを変更することで教師に変装することができました」とマカフィーの研究者は書いています。
攻撃について知った後、会社はほとんどの問題を修正するために迅速に行動しました。 ただし、ソフトウェアは引き続き暗号化されていない接続を使用するため、リスクが継続します。