모든 독자들에게 행복한 봄! SSL.com Security Roundup의 이번 2021 월호에 오신 것을 환영합니다. XNUMX 년에 또 다른 달이 지난 달을 돌아 봅니다. 특히 지난 달의 디지털 보안을 되돌아보고 가장 뉴스 가치가 있다고 생각되는 정보를 수집했습니다. 그 영역에있는 것들, 당신을 위해, 아래.
IETF 지원 중단 TLS 1.0 및 1.1
우리는 한동안 알고있었습니다. TLS 버전 1.0 및 1.1은 안전하지 않습니다. IETF (Internet Engineering Task Force)가 방금 공식화했습니다. RFC 8996, 이러한 구식을 공식적으로 사용하지 않습니다. TLS 버전.
초록에서 :
이 문서는 전송 계층 보안 (TLS) 버전 1.0 (RFC 2246) 및 1.1 (RFC 4346). 따라서 해당 문서는 기록 상태로 이동되었습니다. 이러한 버전은 현재 및 권장되는 암호화 알고리즘과 메커니즘, 그리고 다음을 사용하는 애플리케이션의 다양한 정부 및 산업 프로필에 대한 지원이 부족합니다. TLS 이제 이러한 오래된 TLS 버전. TLS 버전 1.2는 2008 년에 IETF 프로토콜에 권장되는 버전이되었습니다 (이후 TLS 1.3 년 버전 2018) 이전 버전에서 전환하기에 충분한 시간을 제공합니다. 구현에서 이전 버전에 대한 지원을 제거하면 공격 표면이 줄어들고 잘못된 구성 가능성이 줄어들며 라이브러리 및 제품 유지 관리가 간소화됩니다.
Chrome 90은 기본적으로 HTTPS로 설정됩니다.
버전 90부터 Chrome의 주소 표시 줄은 HTTPS를 기본 프로토콜로 사용합니다. 즉, 대부분의 사용자가하는 경향이 있듯이 접두사없이 입력 한 URL은 더 안전합니다. https:// 대신 http://,이 시점까지 Chrome 기본값이었습니다. 스위치는 명백한 안전 함의를 가지고 있습니다. HTTPS는 더 안전하며 트래픽을 암호화하여 가로 채기와 스누핑을 방지합니다. Chrome의 스위치는 또한 이전 기본값에서 더 널리 사용되는 프로토콜로 리디렉션 할 필요가 없다는 점에서 성능 향상을 제공합니다. 로에서보고 전에, 크롬 블로그:
명확한 보안 및 개인 정보 보호 향상 외에도이 변경 사항은 HTTPS를 지원하는 사이트의 초기로드 속도를 향상시킵니다. Chrome은 http : //에서 https : //로 리디렉션 할 필요없이 HTTPS 엔드 포인트에 직접 연결하기 때문입니다. 아직 HTTPS를 지원하지 않는 사이트의 경우 HTTPS 시도가 실패하면 (이름 불일치 또는 신뢰할 수없는 자체 서명 된 인증서와 같은 인증서 오류 또는 DNS 확인 실패와 같은 연결 오류가있는 경우 포함) Chrome이 HTTP로 대체됩니다. .
처음에는이 스위치가 Chrome 데스크톱 및 Android 용 Chrome에 출시됩니다. iOS의 Chrome 용 스위치가 이어집니다.
Verkada Hack, 150,000 개의 보안 카메라 노출
다소 불길한 시작에서 Verkada로 알려진 실리콘 밸리 스타트 업은 대규모 보안 침해를당했습니다. 해커들은 감옥, 경찰서, 테슬라 공장, 병원, 체육관, 심지어 회사 사무실과 같은 장소에있는 150,000 만 대 이상의 카메라를 제어했습니다. 왜 이러한 카메라가 그렇게 민감한 위치에 있었습니까? 왜냐하면 Verkada는 안타깝게도 보안 회사이기 때문입니다. 에 따르면 광범위한 보고서 by 블룸버그 해커 인 William Turton은 온라인에서 찾은 "Super Admin"계정의 사용자 이름과 암호를 통해 액세스 권한을 얻었으며 회사의 모든 고객의 카메라에 대한 액세스 권한을 부여했습니다.
이러한 접근을 통해 침입자들은 병실을 들여다보고 경찰과 범죄 용의자들 사이의 인터뷰를 목격하고 템피 병원에서 출입 통제 카드를 사용한 사람을 확인할 수있었습니다. 해킹의 동기는 블룸버그 게시물에서 보고서 :
데이터 유출은 국제 해커 집단에 의해 수행되었으며 비디오 감시의 보급 성과 시스템 침입의 용이성을 보여주기위한 것이라고 캘리포니아 주 샌 마테오에 기반을 둔 해커 중 한 명인 Tillie Kottmann은 말했습니다. Verkada. 그들 / 그들의 대명사를 사용하는 Kottmann은 이전에 칩 제조업체 Intel Corp.과 자동차 제조업체 Nissan Motor Co를 해킹 한 것에 대한 공로를 주장했습니다. 반 자본주의, 무정부주의의 힌트입니다. 그리고 그것을하지 않는 것도 너무 재미 있습니다.”
이 해킹은 "우리가 얼마나 광범위하게 감시되고 있는지, 그리고 그렇게하는 데 사용 된 플랫폼을 보호하는 데 최소한의 관심을 기울여서 이익만을 추구하는 정도를 드러냅니다"라고 Kottmann은 말했습니다.
사건 이후 Verkada는 모든 내부 관리자 계정을 비활성화하고 조사를 시작했습니다.
Netop Vision 소프트웨어에서 발견 된 주요 보안 결함
나머지 가정 학습을 통과하려는 부모를위한 무서운 소식에서 약 3 만 명의 교사와 학생이 사용하는 인기있는 가상 학습 소프트웨어 인 Netop Vision에서 주요 보안 취약점이 발견되었습니다. Netop은 교사가 학생의 컴퓨터에서 원격으로 작업 할 수 있도록하는 학생 모니터링 시스템 역할을하여 가정에서 학습 할 수 있으며 주로 학교 컴퓨터 실 또는 교실을 관리하는 데 사용됩니다. 그러나 Covid로 인해 학생들은 원격 학습용 소프트웨어가있는 컴퓨터를 집에 가져 가서 그 범위와 취약성을 증가 시켰습니다.
McAfee의 연구원 발표 교실 관리 소프트웨어에서 XNUMX 가지 중요한 결함을 발견했습니다. 이 결함으로 인해 공격자는 컴퓨터를 제어하고 자격 증명을 훔치거나 랜섬웨어를 설치할 수 있습니다. 걱정스럽게도 보안 문제로 인해 해커가 교사로 가장하고 학생을 관찰 할 수도 있습니다.
벤자민 해방 에드스쿱 문제에 대해보고 XNUMX 월에 :
McAfee의 Advanced Threat Research Group의 구성원은 교사의 스테이션 역할을하는 컴퓨터 XNUMX 대와 학생 기기 XNUMX 대를 사용하여 시뮬레이션 된 가상 교실을 만들어 Netop 프로그램을 테스트했습니다. 연구원들이 가장 먼저 발견 한 점 중 하나는 교사와 학생 사용자 프로필이 서로 다른 권한 수준을 가지고 있다는 것입니다. 또한 교사와 학생 간의 모든 네트워크 트래픽이 암호화를 설정하는 옵션없이 교사에게 전송되는 학생 화면의 스크린 샷을 포함하여 암호화되지 않은 패킷으로 전송되고 있음을 신속하게 발견했습니다.
"이 정보를 통해 팀은 코드를 수정하여 교사로 위장 할 수있었습니다."라고 McAfee 연구원은 썼습니다.
공격에 대해 알게 된 후 회사는 대부분의 문제를 해결하기 위해 신속하게 조치를 취했습니다. 그러나 소프트웨어는 암호화되지 않은 연결을 계속 사용하므로 지속적인 위험이 따릅니다.
