С Весной всех наших читателей! Добро пожаловать в мартовский выпуск обзора безопасности SSL.com, в котором мы оглядываемся на еще один месяц, прошедший в 2021 году. В частности, мы оглядываемся на прошедший месяц в области цифровой безопасности и собрали то, что мы считаем наиболее интересным для новостей. вещи в этой сфере, для вас, ниже.
IETF устарел TLS 1.0 и 1.1
Мы уже давно знаем, что TLS версии 1.0 и 1.1 небезопасны. Инженерная группа Интернета (IETF) только что официально обнародовала RFC 8996, который формально не поддерживает эти устаревшие TLS версий.
Из реферата:
В этом документе формально не рекомендуется использовать Transport Layer Security (TLS) версии 1.0 (RFC 2246) и 1.1 (RFC 4346). Соответственно, этим документам присвоен статус Исторических. В этих версиях отсутствует поддержка текущих и рекомендуемых криптографических алгоритмов и механизмов, а также различных государственных и отраслевых профилей приложений, использующих TLS теперь поручите избегать этих старых TLS версий. TLS версия 1.2 стала рекомендованной версией для протоколов IETF в 2008 г. TLS версия 1.3 в 2018 г.), что дает достаточно времени для перехода от старых версий. Удаление поддержки более старых версий из реализаций сокращает поверхность атаки, снижает вероятность неправильной конфигурации и упрощает обслуживание библиотек и продуктов.
Chrome 90 по умолчанию будет использовать HTTPS
Начиная с версии 90, адресная строка Chrome будет использовать HTTPS в качестве протокола по умолчанию. Это означает, что URL-адреса, введенные без префикса, как это обычно делают большинство пользователей, станут более безопасными. https://
вместо http://
, который до этого момента использовался в Chrome по умолчанию. Коммутатор имеет очевидные последствия для безопасности - HTTPS более безопасен и предотвращает перехват и отслеживание путем шифрования трафика. Переключатель Chrome также обеспечивает повышение производительности, поскольку устраняет необходимость перенаправления с предыдущего протокола по умолчанию на более широко используемый протокол. Как сообщает домен Хром Блог:
Помимо явного улучшения безопасности и конфиденциальности, это изменение улучшает начальную скорость загрузки сайтов, поддерживающих HTTPS, поскольку Chrome будет подключаться напрямую к конечной точке HTTPS без необходимости перенаправления с http: // на https: //. Для сайтов, которые еще не поддерживают HTTPS, Chrome вернется к HTTP, когда попытка HTTPS не удалась (в том числе при наличии ошибок сертификата, таких как несоответствие имен или ненадежный самозаверяющий сертификат, или ошибки подключения, такие как сбой разрешения DNS) .
Первоначально этот переключатель будет внедрен в Chrome Desktop и Chrome для Android. За этим последует переход на Chrome на iOS.
Взлом Verkada обнаружил 150,000 XNUMX камер видеонаблюдения
В довольно неблагоприятном старте стартап из Кремниевой долины, известный как Verkada, претерпел серьезное нарушение безопасности. Хакеры взяли под контроль более 150,000 XNUMX камер, расположенных в таких местах, как тюрьмы, полицейские участки, заводы Tesla, больницы, спортивные залы и даже офисы самой компании. Почему эти камеры были в таких чувствительных местах? Ну потому что Веркада, к сожалению, охранное предприятие. В соответствии с обширный отчет by Блумберга Уильяма Тертона, хакеры получили доступ через найденные в Интернете имя пользователя и пароль для учетной записи «суперадминистратора», предоставив доступ к камерам всех клиентов компании.
Этот доступ позволял злоумышленникам заглядывать в больничные палаты, проводить допросы между полицией и подозреваемыми в совершении преступлений, а также видеть, кто использовал карту контроля доступа в больнице Темпе. Что касается мотивации взлома, Bloomberg отчеты:
По словам Тилли Коттманн, одного из хакеров, которые взяли на себя ответственность за взлом в Сан-Матео, штат Калифорния, взлом данных был осуществлен международным хакерским коллективом и призван продемонстрировать повсеместное распространение видеонаблюдения и легкость взлома систем. Веркада. Коттманн, который использует местоимения они / они, ранее заявлял, что взломал компанию Intel Corp. и автомобилестроительную компанию Nissan Motor Co. Коттманн сказал, что причиной взлома является «большое любопытство, борьба за свободу информации и против интеллектуальной собственности, огромная доза антикапитализм, намек на анархизм - и к тому же слишком весело не делать этого ».
Этот взлом «демонстрирует, насколько широко за нами наблюдают и как мало внимания уделяется, по крайней мере, защите платформ, используемых для этого, и не преследует ничего, кроме прибыли», - сказал Коттманн.
После инцидента Веркада отключила все учетные записи внутренних администраторов и начала расследование.
Основные недостатки безопасности, обнаруженные в программном обеспечении Netop Vision
Среди пугающих новостей для родителей, которые просто пытаются пройти остаток домашнего обучения, можно отметить, что серьезные уязвимости безопасности были обнаружены в Netop Vision - популярном программном обеспечении для виртуального обучения, которым пользуются около 3 миллионов учителей и учеников. Netop позволяет обучаться на дому, выступая в качестве системы мониторинга учеников, которая позволяет учителям удаленно работать на компьютерах учеников, и в основном используется для управления школьными компьютерными лабораториями или классами. Однако из-за Covid студенты взяли домой компьютеры с программным обеспечением для дистанционного обучения, что увеличило его охват и уязвимость.
Исследователи McAfee объявили что они обнаружили четыре критических недостатка в программном обеспечении для управления классом. Недостатки могут позволить злоумышленникам получить контроль над компьютерами, украсть учетные данные или установить программы-вымогатели. К сожалению, проблемы с безопасностью также могут позволить хакерам выдавать себя за учителей и наблюдать за учениками.
Бенджамин Фрид в ЭдСкуп сообщил о проблеме в марте:
Члены группы McAfee Advanced Threat Research Group протестировали программу Netop, создав смоделированный виртуальный класс с одним компьютером, выступающим в роли станции учителя, и тремя устройствами для учащихся. Одна из первых вещей, которые заметили исследователи, заключалась в том, что профили пользователей учителей и учеников имеют разные уровни разрешений. Они также быстро заметили, что весь сетевой трафик между учителем и учениками отправляется в незашифрованных пакетах, включая снимки экрана учеников, отправляемые учителю, без возможности включить шифрование.
«Благодаря этой информации команда смогла замаскироваться под учителя, изменив свой код», - написали исследователи McAfee.
Узнав об атаке, компания быстро устранила большинство проблем. Однако программное обеспечение продолжает использовать незашифрованные соединения, что представляет постоянный риск.