Gelukkig voorjaar voor al onze lezers! Welkom bij deze maart-editie van de SSL.com Security Roundup, waarin we terugkijken op een nieuwe maand die is verstreken in 2021. We kijken in het bijzonder terug op de afgelopen maand op het gebied van digitale beveiliging en hebben verzameld wat we als het meest nieuwswaardig beschouwen dingen in dat rijk, voor jou, hieronder.
IETF wordt afgeraden TLS 1.0 en 1.1
Dat weten we al een tijdje TLS versies 1.0 en 1.1 zijn onveilig. De Internet Engineering Task Force (IETF) heeft het zojuist officieel gemaakt RFC 8996, die deze verouderd formeel afschaft TLS versies.
Van het abstract:
In dit document wordt Transport Layer Security (TLS) versies 1.0 (RFC 2246) en 1.1 (RFC 4346 Dienovereenkomstig zijn die documenten verplaatst naar de historische status. Deze versies hebben geen ondersteuning voor huidige en aanbevolen cryptografische algoritmen en mechanismen, en voor verschillende overheids- en industrieprofielen van toepassingen die TLS nu verplichten om deze oude te vermijden TLS versies. TLS versie 1.2 werd in 2008 de aanbevolen versie voor IETF-protocollen (en werd achterhaald door TLS versie 1.3 in 2018), waardoor er voldoende tijd is om over te stappen van oudere versies. Het verwijderen van ondersteuning voor oudere versies uit implementaties verkleint het aanvalsoppervlak, verkleint de kans op verkeerde configuraties en stroomlijnt het bibliotheek- en productonderhoud.
Chrome 90 wordt standaard ingesteld op HTTPS
Vanaf versie 90 gebruikt de adresbalk van Chrome HTTPS als het standaardprotocol. Dat betekent dat URL's die zonder het voorvoegsel worden ingevoerd, zoals de meeste gebruikers dat doen, des te veiliger worden https:// in plaats van http://, wat tot nu toe de standaardinstelling van Chrome was. De switch heeft duidelijke veiligheidsimplicaties: HTTPS is veiliger en voorkomt onderschepping en rondneuzen door verkeer te versleutelen. De switch van Chrome biedt ook een prestatieverbetering doordat het de noodzaak voor omleiding van de vorige standaard naar het meer algemeen gebruikte protocol overbodig maakt. Zoals gerapporteerd door de Chromium Blog:
Deze wijziging is niet alleen een duidelijke verbetering van de beveiliging en privacy, maar verbetert ook de initiële laadsnelheid van sites die HTTPS ondersteunen, aangezien Chrome rechtstreeks verbinding maakt met het HTTPS-eindpunt zonder omgeleid te hoeven worden van http: // naar https: //. Voor sites die HTTPS nog niet ondersteunen, zal Chrome terugvallen op HTTP wanneer de HTTPS-poging mislukt (ook wanneer er certificaatfouten zijn, zoals een verkeerde naam of een niet-vertrouwd zelfondertekend certificaat, of verbindingsfouten, zoals een DNS-omzettingsfout) .
In eerste instantie wordt de switch uitgerold op Chrome Desktop en Chrome voor Android. Een overstap naar Chrome op iOS volgt.
Verkada Hack stelt 150,000 beveiligingscamera's bloot
In een nogal ongunstige start leed een startup in Silicon Valley, bekend als Verkada, een enorme inbreuk op de beveiliging. Hackers namen de controle over meer dan 150,000 camera's in gevangenissen, politiebureaus, Tesla-fabrieken, ziekenhuizen, sportscholen en zelfs de kantoren van het bedrijf zelf. Waarom stonden deze camera's op zulke gevoelige locaties? Nou, want Verkada is helaas een beveiligingsbedrijf. Volgens een uitgebreid rapport by Bloomberg William Turton kregen de hackers toegang via een gebruikersnaam en wachtwoord die online waren gevonden voor een "Super Admin" -account, waarmee ze toegang kregen tot de camera's van alle klanten van het bedrijf.
Die toegang stelde de indringers in staat om in ziekenhuiskamers te kijken, getuige te zijn van interviews tussen politie en criminele verdachten, en te zien wie de toegangscontrolekaart had gebruikt in een Tempe-ziekenhuis. Wat betreft de motivatie achter de hack, Bloomberg rapporten:
Het datalek werd gepleegd door een internationaal hackercollectief en was bedoeld om de alomtegenwoordigheid van videobewaking en het gemak waarmee kan worden ingebroken in systemen te laten zien, zei Tillie Kottmann, een van de hackers die krediet claimde voor het overtreden van San Mateo, Californië. Verkada. Kottmann, die deze voornaamwoorden gebruikt, claimde eerder de eer voor het hacken van chipmaker Intel Corp. en autofabrikant Nissan Motor Co. Kottmann zei dat hun redenen voor hacken zijn 'veel nieuwsgierigheid, vechten voor vrijheid van informatie en tegen intellectueel eigendom, een enorme dosis antikapitalisme, een vleugje anarchisme - en het is ook gewoon te leuk om het niet te doen. "
De hack "laat zien hoe breed we worden bewaakt, en hoe weinig zorg wordt besteed aan het beveiligen van de platforms die dat deden, waarbij alleen winst werd nagestreefd", zei Kottmann.
Na het incident schakelde Verkada alle interne beheerdersaccounts uit en startte een onderzoek.
Grote beveiligingsfouten gevonden in Netop Vision-software
In eng nieuws voor ouders die gewoon proberen de rest van het thuisonderwijs te doorstaan, zijn er grote beveiligingsproblemen gevonden in Netop Vision - een populaire virtuele leersoftware die door ongeveer 3 miljoen leraren en studenten wordt gebruikt. Netop maakt thuisleren mogelijk door te dienen als een leerlingvolgsysteem waarmee leerkrachten op afstand kunnen werken op de computers van hun leerlingen, en wordt voornamelijk gebruikt om computerlabs of klaslokalen op school te beheren. Vanwege Covid hebben studenten echter thuiscomputers meegenomen met de software voor afstandsonderwijs, waardoor het bereik en de kwetsbaarheid worden vergroot.
Dat maken onderzoekers van McAfee bekend dat ze vier kritieke tekortkomingen in de beheersoftware voor de klas hadden gevonden. Door de gebreken kunnen aanvallers de controle over computers overnemen, inloggegevens stelen of ransomware installeren. Het is zorgwekkend dat hackers door de beveiligingsproblemen ook de kans krijgen om zich voor te doen als docenten en studenten te observeren.
Benjamin Freed bij Ed Scoop gerapporteerd over het probleem in maart:
Leden van de Advanced Threat Research Group van McAfee hebben het Netop-programma getest door een gesimuleerd virtueel klaslokaal te maken, met één computer als docentenpost en drie leerlingapparaten. Een van de eerste dingen die de onderzoekers opmerkten, was dat de gebruikersprofielen van docenten en studenten verschillende machtigingsniveaus hadden. Ze merkten ook al snel dat al het netwerkverkeer tussen de docent en de leerlingen in niet-versleutelde pakketten werd verzonden - inclusief schermafbeeldingen van de schermen van de leerlingen die naar de leraar werden gestuurd - zonder optie om versleuteling in te schakelen.
"Met deze informatie kon het team zichzelf vermommen als leraar door hun code aan te passen", schreven de McAfee-onderzoekers.
Nadat het bedrijf over de aanval hoorde, handelde het snel om de meeste problemen op te lossen. De software blijft echter onversleutelde verbindingen gebruiken, wat een voortdurend risico is.
