Glad vår till alla våra läsare! Välkommen till den här marsutgåvan av SSL.com Security Roundup, där vi ser tillbaka på ytterligare en månad som gått 2021. Vi ser specifikt tillbaka på den senaste månaden inom digital säkerhet och har samlat in det vi anser vara det mest nyhetsvärda saker på det området, för dig, nedan.
IETF förfaller TLS 1.0 och 1.1
Vi har vetat ett tag nu det TLS version 1.0 och 1.1 är osäkra. Internet Engineering Task Force (IETF) gjorde det bara officiellt med RFC 8996, som formellt upphäver dessa föråldrade TLS versioner.
Ur abstrakt:
Detta dokument avskaffar formellt Transport Layer Security (TLS) version 1.0 (RFC 2246) och 1.1 (RFC 4346). Följaktligen har dessa dokument flyttats till historisk status. Dessa versioner saknar stöd för nuvarande och rekommenderade kryptografiska algoritmer och mekanismer, och olika regerings- och branschprofiler för applikationer som använder TLS nu mandat att undvika dessa gamla TLS versioner. TLS version 1.2 blev den rekommenderade versionen för IETF-protokoll 2008 (senare föråldrad av TLS version 1.3 2018), vilket ger tillräcklig tid för att övergå från äldre versioner. Att ta bort stöd för äldre versioner från implementeringar minskar attackytan, minskar möjligheten för felkonfiguration och effektiviserar biblioteks- och produktunderhåll.
Chrome 90 kommer som standard till HTTPS
Från och med version 90 använder Chromes adressfält HTTPS som standardprotokoll. Det betyder att webbadresser som anges utan prefixet, som de flesta användare brukar göra, blir säkrare https:// istället för http://, vilket var Chrome-standard fram till denna punkt. Växeln har uppenbara säkerhetseffekter — HTTPS är säkrare och förhindrar avlyssning och snooping genom att kryptera trafik. Omkopplaren från Chrome erbjuder också en förbättring av prestanda genom att den eliminerar behovet av omdirigering från föregående standard till det mer allmänt använda protokollet. Som rapporterats av d Chromium-blogg:
Förutom att vara en tydlig säkerhets- och integritetsförbättring förbättrar denna ändring den inledande laddningshastigheten för webbplatser som stöder HTTPS, eftersom Chrome kommer att ansluta direkt till HTTPS-slutpunkten utan att behöva omdirigeras från http: // till https: //. För webbplatser som ännu inte stöder HTTPS kommer Chrome att falla tillbaka till HTTP när HTTPS-försöket misslyckas (inklusive när det finns certifikatfel, till exempel namnmatchning eller otillförlitligt självsignerat certifikat, eller anslutningsfel, som till exempel DNS-upplösningsfel) .
Inledningsvis kommer omkopplaren att rulla ut på Chrome Desktop och Chrome för Android. En omkopplare för Chrome på iOS kommer att följa.
Verkada Hack exponerar 150,000 XNUMX säkerhetskameror
I en ganska obehaglig start drabbades en Silicon Valley-start, känd som Verkada, av ett massivt säkerhetsbrott. Hackare tog kontroll över mer än 150,000 XNUMX kameror på platser som fängelser, polisstationer, Tesla-fabriker, sjukhus, gym och till och med företagets kontor. Varför var dessa kameror på så känsliga platser? Jo, för Verkada, tyvärr nog, är ett säkerhetsföretag. Enligt en omfattande rapport by Bloombergs William Turton, hackarna fick tillgång genom ett användarnamn och lösenord som hittades online för ett “Super Admin” -konto, vilket gav åtkomst till kamerorna för alla företagets kunder.
Den tillgången gjorde det möjligt för inkräktarna att se in i sjukhusrum, vittna intervjuer mellan poliser och brottsmisstänkta och se vem som använt passerkontrollkort på ett Tempe-sjukhus. När det gäller motivationen bakom hacket, Direkt rapporter:
Dataintrånget utfördes av ett internationellt hackerkollektiv och syftade till att visa videoövervakningens omfattning och hur enkelt system kunde brytas in, säger Tillie Kottmann, en av hackarna som hävdade kredit för att ha brutit mot San Mateo, Kalifornienbaserade. Verkada. Kottmann, som använder de / dem pronomen, hävdade tidigare kredit för hacking chiptillverkaren Intel Corp. och biltillverkaren Nissan Motor Co. Kottmann sa att deras skäl till hacking är "massor av nyfikenhet, kämpar för informationsfrihet och mot immateriella rättigheter, en enorm dos av antikapitalism, en antydan till anarkism - och det är också för roligt att inte göra det. ”
Hacket "avslöjar hur brett vi övervakas, och hur lite omsorg läggs åt åtminstone att säkra plattformarna som används för att göra det, utan att göra något annat än vinst", sa Kottmann.
Efter händelsen inaktiverade Verkada alla interna administratörskonton och inledde en utredning.
Stora säkerhetsfel i Netop Vision-programvaran
I skrämmande nyheter för föräldrar som bara försöker ta sig igenom resten av heminlärningen har stora säkerhetsproblem hittats i Netop Vision - ett populärt program för virtuell inlärning som används av cirka 3 miljoner lärare och studenter. Netop möjliggör inlärning hemma genom att fungera som ett studentövervakningssystem som gör det möjligt för lärare att arbeta på distans på sina elevers datorer och används huvudsakligen för att hantera skollaboratorier eller klassrum. Men på grund av Covid har studenter tagit hemdatorer med programvaran för distansutbildning, vilket har ökat räckvidden och sårbarheten.
Forskare vid McAfee meddelade att de hade hittat fyra kritiska brister i klassrumshanteringsprogramvaran. Bristerna kan göra det möjligt för angripare att ta kontroll över datorer, stjäla referenser eller installera ransomware. Oroande kan säkerhetsfrågorna också göra det möjligt för hackare att posera som lärare och observera studenter.
Benjamin Freed vid EdScoop rapporterade om frågan i mars:
Medlemmar i McAfees Advanced Threat Research Group testade Netop-programmet genom att skapa ett simulerat virtuellt klassrum, med en dator som fungerar som lärarstation och tre studentenheter. En av de första sakerna som forskarna märkte var att användarprofiler för lärare och elever hade olika behörighetsnivåer. De upptäckte också snabbt att all nätverkstrafik mellan läraren och eleverna skickades i okrypterade paket - inklusive skärmdumpar av elevernas skärmar som skickades till läraren - utan möjlighet att aktivera kryptering.
"Med den här informationen kunde teamet dölja sig som lärare genom att ändra deras kod", skrev McAfee-forskarna.
Efter att ha lärt sig om attacken agerade företaget snabbt för att åtgärda de flesta av problemen. Men programvaran fortsätter att använda okrypterade anslutningar, vilket är en fortsatt risk.
