Wesołej wiosny wszystkim naszym czytelnikom! Witamy w marcowym wydaniu SSL.com Security Roundup, w którym wspominamy o kolejnym miesiącu, który minął w 2021 r. W szczególności spoglądamy wstecz na ostatni miesiąc w zakresie bezpieczeństwa cyfrowego i zebraliśmy to, co uważamy za najbardziej warte opublikowania rzeczy w tej dziedzinie, dla ciebie, poniżej.
IETF wycofuje się TLS 1.0 i 1.1
Wiedzieliśmy o tym już od jakiegoś czasu TLS wersje 1.0 i 1.1 są niezabezpieczone. Internet Engineering Task Force (IETF) właśnie ogłosił to oficjalnie RFC 8996, co formalnie unieważnia te przestarzałe TLS wersje.
Z abstrakcji:
Ten dokument formalnie wycofuje protokół Transport Layer Security (TLS) wersje 1.0 (RFC 2246) i 1.1 (RFC 4346). W związku z tym dokumenty te zostały przeniesione do statusu historycznego. Te wersje nie obsługują aktualnych i zalecanych algorytmów i mechanizmów kryptograficznych, a także różnych rządowych i branżowych profili aplikacji używających TLS teraz nakaz unikania tych starych TLS wersje. TLS wersja 1.2 stała się zalecaną wersją dla protokołów IETF w 2008 roku (później została zastąpiona przez TLS wersja 1.3 w 2018 r.), zapewniając wystarczająco dużo czasu na przejście ze starszych wersji. Usunięcie obsługi starszych wersji z implementacji zmniejsza powierzchnię ataku, zmniejsza możliwość błędnej konfiguracji oraz usprawnia obsługę bibliotek i produktów.
Chrome 90 domyślnie będzie korzystał z protokołu HTTPS
Od wersji 90 pasek adresu przeglądarki Chrome będzie używać protokołu HTTPS jako domyślnego protokołu. Oznacza to, że adresy URL wprowadzone bez prefiksu, jak to robi większość użytkowników, będą bezpieczniejsze https://
zamiast http://
, która do tej pory była domyślną wersją przeglądarki Chrome. Przełącznik ma oczywiste konsekwencje dla bezpieczeństwa - HTTPS jest bezpieczniejszy i zapobiega przechwytywaniu i podsłuchiwaniu poprzez szyfrowanie ruchu. Przełącznik przez Chrome oferuje również wzrost wydajności, ponieważ eliminuje potrzebę przekierowania z poprzedniego domyślnego na bardziej powszechnie używany protokół. Jak donoszą dotychczasowy Blog Chromium:
Oprócz wyraźnej poprawy bezpieczeństwa i prywatności zmiana ta poprawia początkową szybkość ładowania witryn obsługujących protokół HTTPS, ponieważ Chrome będzie łączyć się bezpośrednio z punktem końcowym HTTPS bez konieczności przekierowywania z http: // na https: //. W przypadku witryn, które nie obsługują jeszcze protokołu HTTPS, Chrome powróci do protokołu HTTP, gdy próba HTTPS się nie powiedzie (w tym w przypadku błędów certyfikatów, takich jak niezgodność nazwy lub niezaufany certyfikat z podpisem własnym lub błędy połączenia, takie jak błąd rozpoznawania nazw DNS) .
Początkowo przełącznik zostanie wprowadzony na komputerach Chrome i Chrome na Androida. Nastąpi zmiana na Chrome na iOS.
Verkada Hack ujawnia 150,000 XNUMX kamer bezpieczeństwa
W raczej niepomyślnym początku start-up z Doliny Krzemowej znany jako Verkada doznał ogromnego naruszenia bezpieczeństwa. Hakerzy przejęli kontrolę nad ponad 150,000 kamer zlokalizowanych w miejscach takich jak więzienia, komisariaty policji, fabryki Tesli, szpitale, siłownie, a nawet biura samej firmy. Dlaczego te kamery były w tak wrażliwych miejscach? Cóż, ponieważ Verkada, niestety, jest firmą ochroniarską. Według obszerny raport by Bloomberg's Williamie Turton, hakerzy uzyskali dostęp poprzez nazwę użytkownika i hasło znalezione w Internecie do konta „superadministratora”, które zapewnia dostęp do kamer wszystkich klientów firmy.
Dostęp ten umożliwiał intruzom zajrzenie do pomieszczeń szpitalnych, przesłuchanie świadków między policją a podejrzanymi o popełnienie przestępstwa oraz sprawdzenie, kto używał karty kontroli dostępu w szpitalu Tempe. Jeśli chodzi o motywację włamania, Bloomberg raporty:
Naruszenie danych zostało dokonane przez międzynarodowy kolektyw hakerów i miało pokazać wszechobecność nadzoru wideo i łatwość, z jaką można włamać się do systemów, powiedział Tillie Kottmann, jeden z hakerów, który twierdził, że włamał się do San Mateo w Kalifornii. Verkada. Kottmann, który używa ich / ich zaimków, wcześniej twierdził, że włamał się do producenta chipów Intel Corp. i producenta samochodów Nissan Motor Co. antykapitalizm, nuta anarchizmu - i po prostu zbyt fajnie jest tego nie robić ”.
Hack „pokazuje, jak szeroko jesteśmy badani i jak mało uwagi poświęca się przynajmniej zabezpieczaniu platform, które to robią, dążąc jedynie do zysku” - powiedział Kottmann.
Po tym incydencie Verkada wyłączyła wszystkie wewnętrzne konta administratora i rozpoczęła dochodzenie.
W oprogramowaniu Netop Vision znaleziono główne luki w zabezpieczeniach
Straszne wieści dla rodziców, którzy właśnie próbują przebrnąć przez resztę nauki w domu, wskazują, że w Netop Vision - popularnym oprogramowaniu do wirtualnej nauki używanym przez około 3 miliony nauczycieli i uczniów, znaleziono poważne luki w zabezpieczeniach. Netop umożliwia naukę w domu, służąc jako system monitorowania uczniów, który umożliwia nauczycielom pracę zdalną na komputerach uczniów i jest używany głównie do zarządzania szkolnymi pracowniami komputerowymi lub salami lekcyjnymi. Jednak dzięki Covid uczniowie zabrali do domu komputery z oprogramowaniem do nauczania na odległość, zwiększając jego zasięg i podatność na uszkodzenia.
Ogłosili naukowcy z McAfee że znaleźli cztery krytyczne błędy w oprogramowaniu do zarządzania klasą. Luki mogą pozwolić atakującym na przejęcie kontroli nad komputerami, kradzież danych uwierzytelniających lub zainstalowanie oprogramowania ransomware. Niepokojące jest to, że kwestie bezpieczeństwa mogą również pozwolić hakerom udawać nauczycieli i obserwować uczniów.
Benjamin Uwolniony o godz EdScoop zgłosił problem w marcu:
Członkowie grupy McAfee Advanced Threat Research Group przetestowali program Netop, tworząc symulowaną wirtualną klasę, w której jeden komputer pełni rolę stanowiska nauczyciela i trzy urządzenia dla uczniów. Jedną z pierwszych rzeczy, które zauważyli badacze, było to, że profile użytkowników nauczycieli i uczniów miały różne poziomy uprawnień. Szybko zauważyli również, że cały ruch sieciowy między nauczycielem a uczniami był przesyłany w niezaszyfrowanych pakietach - w tym zrzuty ekranów uczniów wysyłane do nauczyciela - bez opcji włączenia szyfrowania.
„Dzięki tym informacjom zespół był w stanie przebrać się za nauczyciela, modyfikując swój kod” - napisali naukowcy z McAfee.
Po zapoznaniu się z atakiem firma podjęła szybkie działania, aby rozwiązać większość problemów. Jednak oprogramowanie nadal korzysta z niezaszyfrowanych połączeń, co jest ciągłym ryzykiem.