ClickShare 취약점이 패치되었을 수 있지만 훨씬 더 큰 문제를 마스크합니다.
이 문서의 버전은 DevOps.com에나타났습니다. 여기에 신디케이션을 위해 업데이트되었으며 취약점 문제에 대한 대화형 링크가 포함되어 있습니다.
나는 우리 모두가 회의 또는 회의에서 누군가가 프리젠 테이션 기술에 문제가 있는 최근 메모리의 시간을 기억할 수 있다고 생각합니다. 그것은 적어도 처음에, 어설픈 경험의 거의 기대가 너무 자주 발생합니다. 그것은 놀라운 일이 아니다, 다음, ClickShare의 원활한 응용 프로그램은 최종 사용자에게 즉시 인기가 있었다. 그들을 위해, 큰 화면이나 회의실 프로젝터에 자신의 노트북, 태블릿 이나 스마트 폰에서 프리젠 테이션을 밀어 ClickShare 응용 프로그램을 사용하는 것보다 쉬운 아무것도 없다. 벨기에에 기반을 둔 디지털 프로젝션 및 이미징 기술 공급업체 인 Barco는 자동화 플랫폼을 설계하여 이러한 방식으로 작동하도록 설계했으며 대기업은 이 개념을 받아들였습니다. FutureSource 컨설팅은 컨퍼런스 기술에서 Barco의 시장 점유율을 29%로, 포춘 1,000개 기업의 40%에 통합합니다.
F-Secure의 연구원들이 지난 12월 무해한 자동화 플랫폼이 보안 취약점으로 가득 차 있다고 밝혔을 때 비즈니스 커뮤니티를 통해 충격파를 보냈습니다. 발견 된 보안 결함은 본질적으로 중요하며 잠재적으로 여러 가지 악의적인 활동을 가능하게 할 수 있습니다.
연구원들은 이 취약점으로 원격 사용자가 활성 프레젠테이션을 스누핑하거나, 백도어를 보안 네트워크로 만들거나, Barco 장치에 연결하는 모든 사용자를 감염시키는 스파이웨어 배포 서버를 구성할 수 있는 방법을 시연했습니다. 갑자기 기업들은 조직 전체의 회의실과 사무실 내부에 심각한 보안 문제가 설치될 것이라는 전망에 직면했습니다. 또한 취약점의 특성상 단일 손상된 장치는 네트워크 전체의 위반을 지원할 수 있습니다.
F-Secure 관계자는 보고서에서 "한 유닛을 성공적으로 손상한 공격자는 한 가족 내에서든 가족 간에 모든 장치에 대해 유효한 암호화된 이미지를 생성할 뿐만 아니라 암호를 해독할 수 있는 능력을 얻습니다." "또한 이러한 공격자는 구성된 Wi-Fi PSK 및 인증서와 같은 중요한 데이터에 액세스할 수 있습니다."
Barco는 제품 내에서 발견된 취약점에 대한 패치 및 수정 을 매우 적극적으로 발행했습니다. 보안 공급업체 Tenable은 최근 Barco를 포함한 8개의 프레젠테이션 도구에서 15개의 취약점을 보여주는 보고서를 발표했습니다. 2월 현재 Barco만이 수정 프로그램을 배포하는 데 적극적입니다.
Barco 취약점 중 일부는 하드웨어 변경이 필요하지만 (그리고 이러한 배포악몽이 될 것입니다, 회사가 전혀 그들을 보호하기 위해이 정도로 행동하는 경우), 그들 중 많은 소프트웨어 패치로 수정 할 수 있습니다. 이것은 대부분의 기업 사용자에게 즉각적인 문제를 해결하기 위해 겉보기에 좋은 계획을 제공하지만 지금은 거의 명확하지 않습니다. Barco의 문제는 잘 알려진 하드웨어 및 소프트웨어 제품의 취약점을 처리하는 데 있어 빙산의 일각에 불과합니다.
문제의 근본 원인
즉각적인 문제가 해결되었으므로 심각한 보안 결함이있는 장치가 전 세계 수천 개의 회의실에 어떻게 앉아 있는지 또는 왜 그렇게 제대로 설계되고 프로그래밍되었는지 물어봐야합니다. F-Secure 팀이 0일 또는 이전에 알려지지 않은 취약점을 발견한 것과는 다 아닙니다. Barco 제품에서 발견된 결함 중 10개는 코드 주입 공격과 같은 잘 알려진 일반적인 취약점과 관련이 있었습니다. 대부분은 이미 공통 의 취약성 및 노출(CVE) 식별을 가지고 있었습니다.
그렇다면 수십 년 된 CCV는 어떻게 코딩되었거나 심지어 유선으로 현대 프레젠테이션 도구로 들어갔을까요? 유일한 대답은 개발자가 그들에 대해 알지 못했거나 Barco 장치가 설계될 때 보안이 우선 순위가 되지 않았다는 것입니다. 슬프게도, 이것은 일반적인 상황이며, 바르코 팀만 독점하지는 않습니다.
취약점을 해결하는 가장 좋은 시기는 응용 프로그램이 개발되는 동안 사용자에게 전송되기 훨씬 전에입니다. 최악의 (그리고 가장 비싼) 시간은 제품이 배포 된 후 또는 공격자가 악용 한 후입니다. 이것은 어려운 교훈이 될 수 있으며, Barco가 한때 꿰뚫을 수없는 시장 점유율이 보안 fiasco에 따라 타격을 입히면서 확실히 배울 것입니다.
보안 수정을 개발 프로세스로 되돌리는 것은 쉽지 않지만 프레젠테이션 도구와 같은 단순한 장치조차도 놀라울 정도로 복잡하고 다른 모든 항목으로 네트워크로 전환되는 오늘날의 세계에서 필요합니다. 이러한 환경에서 보안은 조직 모범 사례가 되어야 합니다. 회사가 소셜 미디어를 위한 앱을 프로그래밍하거나 스마트 토스터를 제조하는 경우 조직의 모든 면에서 보안을 고려해야 합니다.
보안 모범 사례의 우선 순위를 지정하고 공동 책임으로 만드는 것은 개발, 보안 및 운영 팀이 협력하여 안전한 소프트웨어 및 제품을 코딩하고 배포하는 DevSecOps 운동의 목표입니다. 그것은 다른 어떤 것보다 문화의 변화를 필요로한다. 새로운 사고 방식은 보안 취약점이 있는 작업 제품을 배포하는 것은 기본 기능을 수행할 수 없는 제품을 만드는 것만큼 실패하는 것과 마찬가지로 실패해야 합니다.
건강한 DevSecOps 환경에서 소프트웨어를 만지는 사람은 누구나 보안 에 유의해야 하며, 개발자는 비참한 버그를 업무에 도입하지 않도록 관련성 있고 빈번한 교육을 받아야 합니다. Barco에서 일하는 팀이 보안을 공유 책임으로 보았다면 수십 년 된 CCV를 포함한 이러한 대규모 취약점 컬렉션이 프레젠테이션 도구로 만들었을 것입니다.
앞으로 의 안전 경로
아무도 다음 Barco가되고 싶어하지 않습니다, 왜 잘 알려진 보안 결함이 전 세계의 엔터프라이즈 네트워크의 수천에 자신의 장치를 통해 배포 된 이유를 설명 할 필요. 이러한 운명을 피하기 위해 소프트웨어 또는 스마트 하드웨어를 개발하는 기업은 보안에 대한 우선 순위를 공동책임과 조직 모범 사례로 즉시 우선순위를 지정해야 합니다. 건강한 DevSecOps 프로그램을 만드는 데는 시간이 걸리며 문화의 변화가 필요할 수도 있지만 그 결과는 노력할 만한 가치가 있습니다. 강력한 DevSecOps는 문제가 발생하기 훨씬 전에 취약점을 분쇄할 수 있습니다.
제품과 소프트웨어를 구매하는 기업의 경우 DevSecOps를 수용한 기업을 지원하는 것이 가장 좋습니다. 이렇게 하면 점점 더 숙련된 공격자에 의해 악용되기를 기다리는 시한 폭탄을 똑딱거리지 않도록 하는 데 큰 시간이 갈 것입니다.
체크 아웃 Secure Code Warrior DevSecOps에 대한 자세한 정보를 위한 블로그 페이지와 보안 결함 및 취약점의 파괴로부터 조직과 고객을 보호하는 방법.
Barco가 경험한 보안 버그에 대해 자세히 알아보고 싶으신가요?
다음에서 이러한 게임화된 과제를 해결하십시오.
마티아스 마두, Ph.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.
Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.
개발자 중심 보안에 대한 최신 연구 보기
광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.
ClickShare 취약점이 패치되었을 수 있지만 훨씬 더 큰 문제를 마스크합니다.
이 문서의 버전은 DevOps.com에나타났습니다. 여기에 신디케이션을 위해 업데이트되었으며 취약점 문제에 대한 대화형 링크가 포함되어 있습니다.
나는 우리 모두가 회의 또는 회의에서 누군가가 프리젠 테이션 기술에 문제가 있는 최근 메모리의 시간을 기억할 수 있다고 생각합니다. 그것은 적어도 처음에, 어설픈 경험의 거의 기대가 너무 자주 발생합니다. 그것은 놀라운 일이 아니다, 다음, ClickShare의 원활한 응용 프로그램은 최종 사용자에게 즉시 인기가 있었다. 그들을 위해, 큰 화면이나 회의실 프로젝터에 자신의 노트북, 태블릿 이나 스마트 폰에서 프리젠 테이션을 밀어 ClickShare 응용 프로그램을 사용하는 것보다 쉬운 아무것도 없다. 벨기에에 기반을 둔 디지털 프로젝션 및 이미징 기술 공급업체 인 Barco는 자동화 플랫폼을 설계하여 이러한 방식으로 작동하도록 설계했으며 대기업은 이 개념을 받아들였습니다. FutureSource 컨설팅은 컨퍼런스 기술에서 Barco의 시장 점유율을 29%로, 포춘 1,000개 기업의 40%에 통합합니다.
F-Secure의 연구원들이 지난 12월 무해한 자동화 플랫폼이 보안 취약점으로 가득 차 있다고 밝혔을 때 비즈니스 커뮤니티를 통해 충격파를 보냈습니다. 발견 된 보안 결함은 본질적으로 중요하며 잠재적으로 여러 가지 악의적인 활동을 가능하게 할 수 있습니다.
연구원들은 이 취약점으로 원격 사용자가 활성 프레젠테이션을 스누핑하거나, 백도어를 보안 네트워크로 만들거나, Barco 장치에 연결하는 모든 사용자를 감염시키는 스파이웨어 배포 서버를 구성할 수 있는 방법을 시연했습니다. 갑자기 기업들은 조직 전체의 회의실과 사무실 내부에 심각한 보안 문제가 설치될 것이라는 전망에 직면했습니다. 또한 취약점의 특성상 단일 손상된 장치는 네트워크 전체의 위반을 지원할 수 있습니다.
F-Secure 관계자는 보고서에서 "한 유닛을 성공적으로 손상한 공격자는 한 가족 내에서든 가족 간에 모든 장치에 대해 유효한 암호화된 이미지를 생성할 뿐만 아니라 암호를 해독할 수 있는 능력을 얻습니다." "또한 이러한 공격자는 구성된 Wi-Fi PSK 및 인증서와 같은 중요한 데이터에 액세스할 수 있습니다."
Barco는 제품 내에서 발견된 취약점에 대한 패치 및 수정 을 매우 적극적으로 발행했습니다. 보안 공급업체 Tenable은 최근 Barco를 포함한 8개의 프레젠테이션 도구에서 15개의 취약점을 보여주는 보고서를 발표했습니다. 2월 현재 Barco만이 수정 프로그램을 배포하는 데 적극적입니다.
Barco 취약점 중 일부는 하드웨어 변경이 필요하지만 (그리고 이러한 배포악몽이 될 것입니다, 회사가 전혀 그들을 보호하기 위해이 정도로 행동하는 경우), 그들 중 많은 소프트웨어 패치로 수정 할 수 있습니다. 이것은 대부분의 기업 사용자에게 즉각적인 문제를 해결하기 위해 겉보기에 좋은 계획을 제공하지만 지금은 거의 명확하지 않습니다. Barco의 문제는 잘 알려진 하드웨어 및 소프트웨어 제품의 취약점을 처리하는 데 있어 빙산의 일각에 불과합니다.
문제의 근본 원인
즉각적인 문제가 해결되었으므로 심각한 보안 결함이있는 장치가 전 세계 수천 개의 회의실에 어떻게 앉아 있는지 또는 왜 그렇게 제대로 설계되고 프로그래밍되었는지 물어봐야합니다. F-Secure 팀이 0일 또는 이전에 알려지지 않은 취약점을 발견한 것과는 다 아닙니다. Barco 제품에서 발견된 결함 중 10개는 코드 주입 공격과 같은 잘 알려진 일반적인 취약점과 관련이 있었습니다. 대부분은 이미 공통 의 취약성 및 노출(CVE) 식별을 가지고 있었습니다.
그렇다면 수십 년 된 CCV는 어떻게 코딩되었거나 심지어 유선으로 현대 프레젠테이션 도구로 들어갔을까요? 유일한 대답은 개발자가 그들에 대해 알지 못했거나 Barco 장치가 설계될 때 보안이 우선 순위가 되지 않았다는 것입니다. 슬프게도, 이것은 일반적인 상황이며, 바르코 팀만 독점하지는 않습니다.
취약점을 해결하는 가장 좋은 시기는 응용 프로그램이 개발되는 동안 사용자에게 전송되기 훨씬 전에입니다. 최악의 (그리고 가장 비싼) 시간은 제품이 배포 된 후 또는 공격자가 악용 한 후입니다. 이것은 어려운 교훈이 될 수 있으며, Barco가 한때 꿰뚫을 수없는 시장 점유율이 보안 fiasco에 따라 타격을 입히면서 확실히 배울 것입니다.
보안 수정을 개발 프로세스로 되돌리는 것은 쉽지 않지만 프레젠테이션 도구와 같은 단순한 장치조차도 놀라울 정도로 복잡하고 다른 모든 항목으로 네트워크로 전환되는 오늘날의 세계에서 필요합니다. 이러한 환경에서 보안은 조직 모범 사례가 되어야 합니다. 회사가 소셜 미디어를 위한 앱을 프로그래밍하거나 스마트 토스터를 제조하는 경우 조직의 모든 면에서 보안을 고려해야 합니다.
보안 모범 사례의 우선 순위를 지정하고 공동 책임으로 만드는 것은 개발, 보안 및 운영 팀이 협력하여 안전한 소프트웨어 및 제품을 코딩하고 배포하는 DevSecOps 운동의 목표입니다. 그것은 다른 어떤 것보다 문화의 변화를 필요로한다. 새로운 사고 방식은 보안 취약점이 있는 작업 제품을 배포하는 것은 기본 기능을 수행할 수 없는 제품을 만드는 것만큼 실패하는 것과 마찬가지로 실패해야 합니다.
건강한 DevSecOps 환경에서 소프트웨어를 만지는 사람은 누구나 보안 에 유의해야 하며, 개발자는 비참한 버그를 업무에 도입하지 않도록 관련성 있고 빈번한 교육을 받아야 합니다. Barco에서 일하는 팀이 보안을 공유 책임으로 보았다면 수십 년 된 CCV를 포함한 이러한 대규모 취약점 컬렉션이 프레젠테이션 도구로 만들었을 것입니다.
앞으로 의 안전 경로
아무도 다음 Barco가되고 싶어하지 않습니다, 왜 잘 알려진 보안 결함이 전 세계의 엔터프라이즈 네트워크의 수천에 자신의 장치를 통해 배포 된 이유를 설명 할 필요. 이러한 운명을 피하기 위해 소프트웨어 또는 스마트 하드웨어를 개발하는 기업은 보안에 대한 우선 순위를 공동책임과 조직 모범 사례로 즉시 우선순위를 지정해야 합니다. 건강한 DevSecOps 프로그램을 만드는 데는 시간이 걸리며 문화의 변화가 필요할 수도 있지만 그 결과는 노력할 만한 가치가 있습니다. 강력한 DevSecOps는 문제가 발생하기 훨씬 전에 취약점을 분쇄할 수 있습니다.
제품과 소프트웨어를 구매하는 기업의 경우 DevSecOps를 수용한 기업을 지원하는 것이 가장 좋습니다. 이렇게 하면 점점 더 숙련된 공격자에 의해 악용되기를 기다리는 시한 폭탄을 똑딱거리지 않도록 하는 데 큰 시간이 갈 것입니다.
체크 아웃 Secure Code Warrior DevSecOps에 대한 자세한 정보를 위한 블로그 페이지와 보안 결함 및 취약점의 파괴로부터 조직과 고객을 보호하는 방법.
Barco가 경험한 보안 버그에 대해 자세히 알아보고 싶으신가요?
다음에서 이러한 게임화된 과제를 해결하십시오.
