点击分享的漏洞可能已被修补,但它们掩盖了一个更大的问题
这篇文章的一个版本出现在 DevOps.com.它已被更新,以便在此发布,并包括漏洞挑战的互动链接。
我想我们都能回忆起最近的一次,在一次会议上或在一个会议上,有人在演示技术方面遇到了问题。这种情况经常发生,以至于人们几乎都期望有一个笨拙的体验,至少在最初。因此,ClickShare的无缝应用立即受到终端用户的欢迎,这并不奇怪。对他们来说,没有什么比使用ClickShare应用程序将笔记本电脑、平板电脑或智能手机上的演示文稿推送到大屏幕或会议室投影仪上更容易了。总部位于比利时的数字投影和成像技术供应商巴可公司将他们的自动化平台设计成这种方式,大企业也接受了这一概念。FutureSource咨询公司认为巴可在会议技术方面的市场份额为29%,并与《财富》杂志1000家公司中的40%进行了整合。
当F-Secure公司的研究人员在12月透露,这个看似无害的自动化平台充满了安全漏洞时,它在商业界引起了震动。被发现的安全漏洞在本质上是关键的,有可能使任何数量的恶意活动成为可能。
研究人员展示了这些漏洞如何允许远程用户窥探活动演示,创建进入安全网络的后门,甚至配置一个间谍软件分发服务器,感染连接到巴可设备的每个用户。突然间,公司面临着在整个组织的会议室和办公室内直接安装严重安全问题的前景。而且,由于漏洞的性质,一个被破坏的设备可以支持整个网络的破坏。
"F-Secure的官员在他们的报告中写道:"成功入侵一个单元的攻击者获得了解密以及为任何单元制作有效的加密图像的能力,无论是在一个家庭内还是跨家庭。"此外,这样的攻击者可能会获得休息时的敏感数据,如配置的Wi-Fi PSK和证书。"
值得称赞的是,巴可一直非常积极地对其产品中发现的漏洞发布补丁和修复。安全厂商Tenable最近发布的一份报告显示,包括巴可在内的八种演示工具存在15个漏洞。截至2月,只有巴可一直在积极部署修复程序。
虽然巴可公司的一些漏洞需要改变硬件(如果一个公司行动到这种程度,根本无法保证它们的安全,那么这些漏洞的部署将是一场噩梦),但其中许多漏洞可以通过软件补丁进行纠正。这给大多数企业用户提供了一个看似很好的计划来解决他们眼前的问题,但他们现在几乎没有任何问题。在处理知名硬件和软件产品的漏洞时,巴可公司的问题只是冰山一角。
问题的根源
现在,眼前的问题已经解决,我们需要问的是,存在严重安全缺陷的设备是如何出现在全球成千上万的会议室里的,或者说,为什么它们的设计和编程如此糟糕。这并不像F-Secure团队发现的零日或以前未知的漏洞。在Barco产品中发现的10个缺陷与众所周知的常见漏洞有关,如代码注入攻击。大多数已经有了共同漏洞和暴露(CVE)的标识。
那么,几十年前的CVE是如何被编码的,甚至是硬连接到现代演示工具中的?唯一可能的答案是,开发人员要么不知道这些问题,要么在设计巴可设备时没有把安全作为优先事项。可悲的是,这是一种常见的情况,当然不是巴可团队独有的。
修复漏洞的最佳时机是在应用程序正在开发的时候,也就是在它被发送给用户之前。最糟糕的(也是最昂贵的)时间是在产品被部署之后,或者在它被攻击者利用之后。这可能是一个艰难的教训,也是巴可肯定会学到的一个教训,因为在这次安全惨败之后,它曾经坚不可摧的市场份额受到了打击。
将安全问题的解决转移到开发过程中并不容易,但在今天的世界中是必要的,因为即使是像演示工具这样看似简单的设备,也会出乎意料地复杂,而且还与其他一切事物联网。在这种环境下,安全必须成为一种组织的最佳实践。不管一个公司是为社交媒体编程还是制造智能烤面包机,安全问题必须在组织的每个方面都得到考虑。
优先考虑安全最佳实践并使其成为共同的责任是DevSecOps运动的目标,在这个运动中,开发、安全和运营团队一起工作,编码和部署安全的软件和产品。这需要文化上的改变,就像其他事情一样。新的心态需要是,部署一个有安全漏洞的工作产品和创造一个不能执行其主要功能的产品一样,都是失败。
在一个健康的DevSecOps环境中,任何接触软件的人都应该有安全意识,开发人员要经常接受相关的培训,以避免在工作中引入灾难性的漏洞。如果为巴可工作的团队将安全视为一种共同的责任,就不可能有这么多的漏洞,包括几十年前的CVE,会进入他们的演示工具。
安全前进的道路
没有人愿意成为下一个巴可,不得不解释为什么众所周知的安全缺陷通过他们的设备被部署到世界各地成千上万的企业网络。为了避免这种命运,开发软件或智能硬件的公司应该立即将安全作为一项共同的责任和组织的最佳实践来优先考虑。创建一个健康的DevSecOps项目需要时间,也可能需要文化上的转变,但其结果将更值得努力。强大的DevSecOps可以在漏洞造成麻烦之前就将其粉碎。
对于购买产品和软件的公司来说,支持那些已经接受DevSecOps的公司符合他们的最佳利益。这样做将在很大程度上确保从他们那里获得的设备和软件不会成为等待被日益熟练的攻击者利用的定时炸弹。
请查看 Secure Code Warrior博客页面,了解更多关于DevSecOps的见解,以及如何保护你的组织和你的客户免受安全缺陷和漏洞的破坏。
想深入了解巴可经历的安全漏洞吗?
在上玩这些游戏化的挑战。
马蒂亚斯-马杜博士
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
点击分享的漏洞可能已被修补,但它们掩盖了一个更大的问题
这篇文章的一个版本出现在 DevOps.com.它已被更新,以便在此发布,并包括漏洞挑战的互动链接。
我想我们都能回忆起最近的一次,在一次会议上或在一个会议上,有人在演示技术方面遇到了问题。这种情况经常发生,以至于人们几乎都期望有一个笨拙的体验,至少在最初。因此,ClickShare的无缝应用立即受到终端用户的欢迎,这并不奇怪。对他们来说,没有什么比使用ClickShare应用程序将笔记本电脑、平板电脑或智能手机上的演示文稿推送到大屏幕或会议室投影仪上更容易了。总部位于比利时的数字投影和成像技术供应商巴可公司将他们的自动化平台设计成这种方式,大企业也接受了这一概念。FutureSource咨询公司认为巴可在会议技术方面的市场份额为29%,并与《财富》杂志1000家公司中的40%进行了整合。
当F-Secure公司的研究人员在12月透露,这个看似无害的自动化平台充满了安全漏洞时,它在商业界引起了震动。被发现的安全漏洞在本质上是关键的,有可能使任何数量的恶意活动成为可能。
研究人员展示了这些漏洞如何允许远程用户窥探活动演示,创建进入安全网络的后门,甚至配置一个间谍软件分发服务器,感染连接到巴可设备的每个用户。突然间,公司面临着在整个组织的会议室和办公室内直接安装严重安全问题的前景。而且,由于漏洞的性质,一个被破坏的设备可以支持整个网络的破坏。
"F-Secure的官员在他们的报告中写道:"成功入侵一个单元的攻击者获得了解密以及为任何单元制作有效的加密图像的能力,无论是在一个家庭内还是跨家庭。"此外,这样的攻击者可能会获得休息时的敏感数据,如配置的Wi-Fi PSK和证书。"
值得称赞的是,巴可一直非常积极地对其产品中发现的漏洞发布补丁和修复。安全厂商Tenable最近发布的一份报告显示,包括巴可在内的八种演示工具存在15个漏洞。截至2月,只有巴可一直在积极部署修复程序。
虽然巴可公司的一些漏洞需要改变硬件(如果一个公司行动到这种程度,根本无法保证它们的安全,那么这些漏洞的部署将是一场噩梦),但其中许多漏洞可以通过软件补丁进行纠正。这给大多数企业用户提供了一个看似很好的计划来解决他们眼前的问题,但他们现在几乎没有任何问题。在处理知名硬件和软件产品的漏洞时,巴可公司的问题只是冰山一角。
问题的根源
现在,眼前的问题已经解决,我们需要问的是,存在严重安全缺陷的设备是如何出现在全球成千上万的会议室里的,或者说,为什么它们的设计和编程如此糟糕。这并不像F-Secure团队发现的零日或以前未知的漏洞。在Barco产品中发现的10个缺陷与众所周知的常见漏洞有关,如代码注入攻击。大多数已经有了共同漏洞和暴露(CVE)的标识。
那么,几十年前的CVE是如何被编码的,甚至是硬连接到现代演示工具中的?唯一可能的答案是,开发人员要么不知道这些问题,要么在设计巴可设备时没有把安全作为优先事项。可悲的是,这是一种常见的情况,当然不是巴可团队独有的。
修复漏洞的最佳时机是在应用程序正在开发的时候,也就是在它被发送给用户之前。最糟糕的(也是最昂贵的)时间是在产品被部署之后,或者在它被攻击者利用之后。这可能是一个艰难的教训,也是巴可肯定会学到的一个教训,因为在这次安全惨败之后,它曾经坚不可摧的市场份额受到了打击。
将安全问题的解决转移到开发过程中并不容易,但在今天的世界中是必要的,因为即使是像演示工具这样看似简单的设备,也会出乎意料地复杂,而且还与其他一切事物联网。在这种环境下,安全必须成为一种组织的最佳实践。不管一个公司是为社交媒体编程还是制造智能烤面包机,安全问题必须在组织的每个方面都得到考虑。
优先考虑安全最佳实践并使其成为共同的责任是DevSecOps运动的目标,在这个运动中,开发、安全和运营团队一起工作,编码和部署安全的软件和产品。这需要文化上的改变,就像其他事情一样。新的心态需要是,部署一个有安全漏洞的工作产品和创造一个不能执行其主要功能的产品一样,都是失败。
在一个健康的DevSecOps环境中,任何接触软件的人都应该有安全意识,开发人员要经常接受相关的培训,以避免在工作中引入灾难性的漏洞。如果为巴可工作的团队将安全视为一种共同的责任,就不可能有这么多的漏洞,包括几十年前的CVE,会进入他们的演示工具。
安全前进的道路
没有人愿意成为下一个巴可,不得不解释为什么众所周知的安全缺陷通过他们的设备被部署到世界各地成千上万的企业网络。为了避免这种命运,开发软件或智能硬件的公司应该立即将安全作为一项共同的责任和组织的最佳实践来优先考虑。创建一个健康的DevSecOps项目需要时间,也可能需要文化上的转变,但其结果将更值得努力。强大的DevSecOps可以在漏洞造成麻烦之前就将其粉碎。
对于购买产品和软件的公司来说,支持那些已经接受DevSecOps的公司符合他们的最佳利益。这样做将在很大程度上确保从他们那里获得的设备和软件不会成为等待被日益熟练的攻击者利用的定时炸弹。
请查看 Secure Code Warrior博客页面,了解更多关于DevSecOps的见解,以及如何保护你的组织和你的客户免受安全缺陷和漏洞的破坏。
想深入了解巴可经历的安全漏洞吗?
在上玩这些游戏化的挑战。
