祝所有读者春节快乐! 欢迎来到 SSL.com 安全综述的 2021 月版,其中我们回顾了 XNUMX 年过去的一个月。具体来说,我们回顾了过去一个月的数字安全领域,并收集了我们认为最具新闻价值的内容那个领域的事物,对于你来说,在下面。
IETF 弃用 TLS 1.0 1.1和
我们已经知道有一段时间了 TLS 版本 1.0 和 1.1 不安全。 互联网工程任务组 (IETF) 刚刚正式宣布 RFC 8996,正式弃用这些过时的 TLS 版本。
从摘要:
本文档正式弃用传输层安全(TLS) 版本 1.0 (RFC 2246)和1.1(RFC 4346)。 因此,这些文件已具有历史地位。 这些版本缺乏对当前和推荐的加密算法和机制的支持,以及使用以下应用程序的各种政府和行业概况 TLS 现在要求避免这些旧的 TLS 版本。 TLS 1.2 版于 2008 年成为 IETF 协议的推荐版本(随后被 TLS 1.3 年版本 2018),提供足够的时间从旧版本过渡。 从实施中删除对旧版本的支持可以减少攻击面,减少错误配置的机会,并简化库和产品维护。
Chrome 90 将默认使用 HTTPS
从版本 90 开始,Chrome 的地址栏将使用 HTTPS 作为默认协议。 这意味着,像大多数用户一样,输入不带前缀的 URL 会更安全 https://
而不是 http://
,到目前为止,这是 Chrome 的默认设置。 该交换机具有明显的安全隐患——HTTPS 更安全,可以通过加密流量来防止拦截和窥探。 Chrome 的切换还提高了性能,因为它消除了从以前的默认协议重定向到更广泛使用的协议的需要。 所报告的 此 Chromium博客:
除了明显的安全和隐私改进之外,此更改还提高了支持 HTTPS 的网站的初始加载速度,因为 Chrome 将直接连接到 HTTPS 端点,而无需从 http:// 重定向到 https://。 对于尚不支持 HTTPS 的网站,当 HTTPS 尝试失败时(包括出现证书错误,例如名称不匹配或不受信任的自签名证书,或连接错误,例如 DNS 解析失败),Chrome 将回退到 HTTP 。
最初,该开关将在 Chrome 桌面版和 Android 版 Chrome 上推出。 随后将在 iOS 上切换 Chrome。
Verkada 黑客攻击暴露了 150,000 个安全摄像头
硅谷一家名为 Verkada 的初创公司在一个相当不顺利的开始中遭遇了大规模的安全漏洞。 黑客控制了监狱、警察局、特斯拉工厂、医院、健身房甚至公司办公室等地的超过 150,000 万个摄像头。 为什么这些摄像机安装在如此敏感的地方? 嗯,不幸的是,因为 Verkada 是一家安全公司。 根据 详尽的报告 by 彭博 William Turton 表示,黑客通过在网上找到的“超级管理员”帐户的用户名和密码获得了访问权限,从而授予了对公司所有客户的摄像头的访问权限。
通过这种访问,入侵者可以进入医院病房、目击警察和犯罪嫌疑人之间的谈话,并查看谁在坦佩医院使用了门禁卡。 至于黑客攻击背后的动机, 彭博 报道:
总部位于加利福尼亚州圣马特奥市的黑客之一蒂莉·科特曼 (Tillie Kottmann) 表示,这次数据泄露事件是由一个国际黑客组织实施的,旨在展示视频监控的普遍性以及系统被入侵的容易程度。韦尔卡达。 科特曼使用“他们/他们”代词,此前曾声称对芯片制造商英特尔公司和汽车制造商日产汽车公司进行黑客攻击。科特曼表示,他们进行黑客攻击的原因是“强烈的好奇心、争取信息自由和反对知识产权、大量的黑客行为”。反资本主义,一丝无政府主义——而且不这样做也太有趣了。”
科特曼表示,这次黑客攻击“暴露了我们受到的监视范围有多大,以及我们对至少保护用于监视的平台的安全漠不关心,只追求利润”。
事件发生后,Verkada 禁用了所有内部管理员帐户并启动了调查。
Netop Vision 软件中发现的主要安全漏洞
对于那些试图完成剩下的在家学习的家长来说,这是一个可怕的消息:Netop Vision(一种约有 3 万教师和学生使用的流行虚拟学习软件)中发现了重大安全漏洞。 Netop 通过充当学生监控系统来实现在家学习,该系统允许教师在学生的计算机上远程工作,主要用于管理学校计算机实验室或教室。 然而,由于新冠疫情,学生们把装有该软件的电脑带回家进行远程学习,这增加了其影响范围和脆弱性。
迈克菲研究人员宣布 他们发现课堂管理软件存在四个严重缺陷。 这些缺陷可能允许攻击者控制计算机、窃取凭据或安装勒索软件。 令人担忧的是,安全问题还可能让黑客冒充教师观察学生。
本杰明·弗里德 埃德斯科普 已报告该问题 三月:
迈克菲高级威胁研究小组的成员通过创建一个模拟虚拟教室来测试 Netop 程序,其中一台计算机充当教师工作站,三台学生设备充当教师工作站。 研究人员注意到的第一件事是教师和学生的用户配置文件具有不同的权限级别。 他们还很快发现,教师和学生之间的所有网络流量都以未加密的数据包形式发送,包括发送给教师的学生屏幕截图,并且没有打开加密的选项。
迈克菲研究人员写道:“有了这些信息,该团队就可以通过修改代码来将自己伪装成老师。”
在得知此次攻击后,该公司迅速采取行动解决了大部分问题。 然而,该软件继续使用未加密的连接,这是一个持续的风险。