ClickShare 취약점이 패치되었을 수도 있지만 훨씬 더 큰 문제를 숨기고 있습니다.
이 기사의 한 버전이 에 게재되었습니다. 데브옵스닷컴.여기에서 신디케이션을 위해 업데이트되었으며 취약성 문제에 대한 대화형 링크가 포함되어 있습니다.
우리 모두 최근의 기억을 떠올릴 수 있을 것 같아요. 회의나 컨퍼런스에서 누군가가 프레젠테이션 기술에 문제를 겪었던 적이 있을 것입니다.이런 일이 너무 자주 일어나서 적어도 초기에는 투박한 경험을 하게 될 거라는 예상이 들 정도입니다.따라서 ClickShare의 매끄러운 앱이 최종 사용자에게 즉시 인기를 얻은 것은 놀라운 일이 아닙니다.ClickShare 애플리케이션을 사용하여 노트북, 태블릿 또는 스마트폰에서 대형 스크린이나 회의실 프로젝터로 프레젠테이션을 푸시하는 것보다 쉬운 일은 없습니다.벨기에에 본사를 둔 디지털 프로젝션 및 이미징 기술 공급업체인 Barco는 자동화 플랫폼을 이러한 방식으로 작동하도록 설계했고 대기업은 이 개념을 수용했습니다.퓨처리소스 컨설팅은 다음과 같이 덧붙입니다. Barco의 시장 점유율 컨퍼런스 기술 부문은 29% 에 달하며, 포춘지 선정 1,000대 기업 중 40% 에 통합되었습니다.
F-Secure의 연구원들이 있을 때 12월에 공개되었습니다. 겉보기에 무해해 보이는 자동화 플랫폼이 보안 취약점으로 가득 차 있다는 사실은 비즈니스 커뮤니티에 큰 충격을 주었습니다.발견된 보안 결함은 그 특성상 치명적이며 잠재적으로 여러 악의적인 활동을 야기할 수 있습니다.
연구원들이 시연했다 이 취약성으로 인해 원격 사용자가 활발한 프레젠테이션을 엿보거나 보안 네트워크에 백도어를 만들거나 심지어 Barco 장치에 연결된 모든 사용자를 감염시키는 스파이웨어 배포 서버를 구성할 수 있는 방법갑자기 기업들은 조직 전체의 회의실과 사무실에 직접 심각한 보안 문제를 설치해야 하는 상황에 직면하게 되었습니다.또한 취약성의 특성 때문에 손상된 장치 하나로도 네트워크 전반의 보안 침해가 발생할 수 있습니다.
F-Secure 관계자는 보고서에서 “한 유닛을 성공적으로 해킹한 공격자는 한 가족 내에서든 가족 간이든 관계없이 모든 유닛에 대해 유효한 암호화된 이미지를 생성할 수 있을 뿐만 아니라 암호를 해독할 수 있습니다.” 라고 썼습니다.“또한 이러한 공격자는 구성된 Wi-Fi PSK 및 인증서와 같은 저장된 민감한 데이터에 액세스할 수 있습니다.”
Barco는 제품 내에서 발견된 취약점에 대한 패치와 수정을 매우 적극적으로 출시해 왔다는 점을 인정합니다.보안 공급업체 테너블 최근 출시 Barco를 포함한 8개 프레젠테이션 도구에서 15개의 취약점을 보여주는 보고서.2월 현재 Barco만이 수정 프로그램을 적극적으로 배포하고 있습니다.
Barco 취약성 중 일부는 하드웨어 변경이 필요하지만 (회사가 이러한 취약점을 보호하기 위해 이 정도까지 조치를 취한다면 배포하는 것은 악몽이 될 수 있습니다), 소프트웨어 패치를 통해 대부분의 취약점을 수정할 수 있습니다.이를 통해 대부분의 기업 사용자는 당면한 문제를 해결하기 위한 좋은 계획을 세우는 것처럼 보이지만 지금은 거의 명확하지 않습니다.잘 알려진 하드웨어 및 소프트웨어 제품의 취약점을 처리하는 데 있어 Barco의 문제는 빙산의 일각에 불과합니다.
문제의 근원
이제 당면한 문제들이 해결되었으니, 심각한 보안 결함이 있는 장치들이 어떻게 전 세계 수천 개의 회의실에 놓이게 되었는지, 애초에 왜 그렇게 부실하게 설계되고 프로그래밍되었는지 물어봐야 합니다.F-Secure 팀이 제로데이 취약점이나 이전에 알려지지 않은 취약점을 발견한 것은 아닙니다.Barco 제품에서 발견된 결함 중 10개는 잘 알려진 제품과 관련이 있습니다. 일반적인 취약점 코드 인젝션 공격처럼 말이죠.대부분은 이미 CVE (일반 취약점 및 노출) 식별 정보를 가지고 있었습니다.
그렇다면 수십 년 된 CVE가 어떻게 최신 프레젠테이션 도구에 코딩되거나 심지어 하드와이어로 연결되었을까요?가능한 유일한 답은 개발자들이 Barco 디바이스에 대해 몰랐거나 Barco 디바이스를 설계할 때 보안이 우선시되지 않았다는 것입니다.안타깝게도 이는 일반적인 상황이며 Barco 팀에만 국한된 것은 아닙니다.
취약점을 수정하기에 가장 좋은 시기는 애플리케이션이 개발되고 사용자에게 전송되기 훨씬 전입니다.최악의 (그리고 가장 비용이 많이 드는) 시기는 제품이 배포된 후나 공격자에게 악용된 이후입니다.이는 어려운 교훈일 수 있으며, Barco는 한때 뚫을 수 없었던 시장 점유율이 이번 보안 실패에 이어 타격을 입었기 때문에 반드시 알게 될 것입니다.
보안 수정 사항을 다시 개발 프로세스로 전환하는 것은 쉬운 일이 아니지만 프레젠테이션 도구와 같이 겉보기에 단순해 보이는 장치조차도 놀라울 정도로 복잡하고 다른 모든 것과 네트워크로 연결되어 있는 오늘날의 세계에서는 필요합니다.이러한 환경에서는 보안이 조직의 모범 사례가 되어야 합니다.기업이 소셜 미디어용 앱을 프로그래밍하든 스마트 토스터를 제조하든 상관 없습니다. 조직의 모든 측면에서 보안을 고려해야 합니다.
보안 모범 사례의 우선 순위를 정하고 이를 공동 책임으로 만드는 것이 개발, 보안 및 운영 팀이 협력하여 안전한 소프트웨어 및 제품을 코딩하고 배포하는 DevSecOps 운동의 목표입니다.이를 위해서는 다른 모든 것만큼이나 문화의 변화가 필요합니다.보안 취약점이 있는 제대로 작동하는 제품을 배포하는 것은 주요 기능을 수행할 수 없는 제품을 만드는 것만큼이나 실패라는 사고방식을 바꿔야 합니다.
건강한 DevSecOps 환경에서는 소프트웨어를 사용하는 모든 사람이 보안에 대해 잘 알고 있어야 하며, 개발자는 작업에 심각한 버그가 발생하지 않도록 관련 교육을 자주 받아야 합니다.Barco에서 일하는 팀이 보안을 공동 책임으로 여겼다면 수십 년 된 CVE를 포함하여 이렇게 많은 취약점이 프레젠테이션 도구에 포함되었을 리가 없습니다.
앞으로 나아가는 안전한 길
잘 알려진 보안 결함이 장치를 통해 전 세계 수천 개의 기업 네트워크에 배포된 이유를 설명해야 하는 차세대 Barco가 되려는 사람은 아무도 없습니다.이러한 운명을 피하려면 소프트웨어 또는 스마트 하드웨어를 개발하는 회사는 즉시 보안을 공동 책임이자 조직의 모범 사례로 우선 순위에 두어야 합니다.건전한 DevSecOps 프로그램을 만들려면 시간이 걸리고 문화의 변화도 필요할 수 있지만 그만한 가치가 있는 결과를 얻을 수 있습니다.강력한 DevSecOps는 문제가 발생하기 훨씬 전에 취약점을 제거할 수 있습니다.
제품 및 소프트웨어를 구매하는 회사의 경우 DevSecOps를 도입한 회사를 지원하는 것이 가장 좋습니다.이렇게 하면 이러한 디바이스와 소프트웨어를 통해 획득한 디바이스와 소프트웨어가 점점 더 숙련되는 공격자의 악용을 기다리고 있는 시한폭탄을 방지하는 데 큰 도움이 될 것입니다.
확인해 보세요 시큐어 코드 워리어 블로그 페이지에서 DevSecOps에 대한 자세한 정보와 보안 결함 및 취약점으로 인한 피해로부터 조직과 고객을 보호하는 방법을 알아보세요.
Barco가 경험한 보안 버그에 대해 자세히 알아보고 싶으십니까?
다음과 같은 게임화된 챌린지를 플레이하세요:
보안 수정 사항을 다시 개발 프로세스로 전환하는 것은 쉬운 일이 아니지만 프레젠테이션 도구와 같이 겉보기에 단순해 보이는 장치조차도 놀라울 정도로 복잡하고 다른 모든 것과 네트워크로 연결되어 있는 오늘날의 세계에서는 필요합니다.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbaren
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
이 기사의 한 버전이 에 게재되었습니다. 데브옵스닷컴.여기에서 신디케이션을 위해 업데이트되었으며 취약성 문제에 대한 대화형 링크가 포함되어 있습니다.
우리 모두 최근의 기억을 떠올릴 수 있을 것 같아요. 회의나 컨퍼런스에서 누군가가 프레젠테이션 기술에 문제를 겪었던 적이 있을 것입니다.이런 일이 너무 자주 일어나서 적어도 초기에는 투박한 경험을 하게 될 거라는 예상이 들 정도입니다.따라서 ClickShare의 매끄러운 앱이 최종 사용자에게 즉시 인기를 얻은 것은 놀라운 일이 아닙니다.ClickShare 애플리케이션을 사용하여 노트북, 태블릿 또는 스마트폰에서 대형 스크린이나 회의실 프로젝터로 프레젠테이션을 푸시하는 것보다 쉬운 일은 없습니다.벨기에에 본사를 둔 디지털 프로젝션 및 이미징 기술 공급업체인 Barco는 자동화 플랫폼을 이러한 방식으로 작동하도록 설계했고 대기업은 이 개념을 수용했습니다.퓨처리소스 컨설팅은 다음과 같이 덧붙입니다. Barco의 시장 점유율 컨퍼런스 기술 부문은 29% 에 달하며, 포춘지 선정 1,000대 기업 중 40% 에 통합되었습니다.
F-Secure의 연구원들이 있을 때 12월에 공개되었습니다. 겉보기에 무해해 보이는 자동화 플랫폼이 보안 취약점으로 가득 차 있다는 사실은 비즈니스 커뮤니티에 큰 충격을 주었습니다.발견된 보안 결함은 그 특성상 치명적이며 잠재적으로 여러 악의적인 활동을 야기할 수 있습니다.
연구원들이 시연했다 이 취약성으로 인해 원격 사용자가 활발한 프레젠테이션을 엿보거나 보안 네트워크에 백도어를 만들거나 심지어 Barco 장치에 연결된 모든 사용자를 감염시키는 스파이웨어 배포 서버를 구성할 수 있는 방법갑자기 기업들은 조직 전체의 회의실과 사무실에 직접 심각한 보안 문제를 설치해야 하는 상황에 직면하게 되었습니다.또한 취약성의 특성 때문에 손상된 장치 하나로도 네트워크 전반의 보안 침해가 발생할 수 있습니다.
F-Secure 관계자는 보고서에서 “한 유닛을 성공적으로 해킹한 공격자는 한 가족 내에서든 가족 간이든 관계없이 모든 유닛에 대해 유효한 암호화된 이미지를 생성할 수 있을 뿐만 아니라 암호를 해독할 수 있습니다.” 라고 썼습니다.“또한 이러한 공격자는 구성된 Wi-Fi PSK 및 인증서와 같은 저장된 민감한 데이터에 액세스할 수 있습니다.”
Barco는 제품 내에서 발견된 취약점에 대한 패치와 수정을 매우 적극적으로 출시해 왔다는 점을 인정합니다.보안 공급업체 테너블 최근 출시 Barco를 포함한 8개 프레젠테이션 도구에서 15개의 취약점을 보여주는 보고서.2월 현재 Barco만이 수정 프로그램을 적극적으로 배포하고 있습니다.
Barco 취약성 중 일부는 하드웨어 변경이 필요하지만 (회사가 이러한 취약점을 보호하기 위해 이 정도까지 조치를 취한다면 배포하는 것은 악몽이 될 수 있습니다), 소프트웨어 패치를 통해 대부분의 취약점을 수정할 수 있습니다.이를 통해 대부분의 기업 사용자는 당면한 문제를 해결하기 위한 좋은 계획을 세우는 것처럼 보이지만 지금은 거의 명확하지 않습니다.잘 알려진 하드웨어 및 소프트웨어 제품의 취약점을 처리하는 데 있어 Barco의 문제는 빙산의 일각에 불과합니다.
문제의 근원
이제 당면한 문제들이 해결되었으니, 심각한 보안 결함이 있는 장치들이 어떻게 전 세계 수천 개의 회의실에 놓이게 되었는지, 애초에 왜 그렇게 부실하게 설계되고 프로그래밍되었는지 물어봐야 합니다.F-Secure 팀이 제로데이 취약점이나 이전에 알려지지 않은 취약점을 발견한 것은 아닙니다.Barco 제품에서 발견된 결함 중 10개는 잘 알려진 제품과 관련이 있습니다. 일반적인 취약점 코드 인젝션 공격처럼 말이죠.대부분은 이미 CVE (일반 취약점 및 노출) 식별 정보를 가지고 있었습니다.
그렇다면 수십 년 된 CVE가 어떻게 최신 프레젠테이션 도구에 코딩되거나 심지어 하드와이어로 연결되었을까요?가능한 유일한 답은 개발자들이 Barco 디바이스에 대해 몰랐거나 Barco 디바이스를 설계할 때 보안이 우선시되지 않았다는 것입니다.안타깝게도 이는 일반적인 상황이며 Barco 팀에만 국한된 것은 아닙니다.
취약점을 수정하기에 가장 좋은 시기는 애플리케이션이 개발되고 사용자에게 전송되기 훨씬 전입니다.최악의 (그리고 가장 비용이 많이 드는) 시기는 제품이 배포된 후나 공격자에게 악용된 이후입니다.이는 어려운 교훈일 수 있으며, Barco는 한때 뚫을 수 없었던 시장 점유율이 이번 보안 실패에 이어 타격을 입었기 때문에 반드시 알게 될 것입니다.
보안 수정 사항을 다시 개발 프로세스로 전환하는 것은 쉬운 일이 아니지만 프레젠테이션 도구와 같이 겉보기에 단순해 보이는 장치조차도 놀라울 정도로 복잡하고 다른 모든 것과 네트워크로 연결되어 있는 오늘날의 세계에서는 필요합니다.이러한 환경에서는 보안이 조직의 모범 사례가 되어야 합니다.기업이 소셜 미디어용 앱을 프로그래밍하든 스마트 토스터를 제조하든 상관 없습니다. 조직의 모든 측면에서 보안을 고려해야 합니다.
보안 모범 사례의 우선 순위를 정하고 이를 공동 책임으로 만드는 것이 개발, 보안 및 운영 팀이 협력하여 안전한 소프트웨어 및 제품을 코딩하고 배포하는 DevSecOps 운동의 목표입니다.이를 위해서는 다른 모든 것만큼이나 문화의 변화가 필요합니다.보안 취약점이 있는 제대로 작동하는 제품을 배포하는 것은 주요 기능을 수행할 수 없는 제품을 만드는 것만큼이나 실패라는 사고방식을 바꿔야 합니다.
건강한 DevSecOps 환경에서는 소프트웨어를 사용하는 모든 사람이 보안에 대해 잘 알고 있어야 하며, 개발자는 작업에 심각한 버그가 발생하지 않도록 관련 교육을 자주 받아야 합니다.Barco에서 일하는 팀이 보안을 공동 책임으로 여겼다면 수십 년 된 CVE를 포함하여 이렇게 많은 취약점이 프레젠테이션 도구에 포함되었을 리가 없습니다.
앞으로 나아가는 안전한 길
잘 알려진 보안 결함이 장치를 통해 전 세계 수천 개의 기업 네트워크에 배포된 이유를 설명해야 하는 차세대 Barco가 되려는 사람은 아무도 없습니다.이러한 운명을 피하려면 소프트웨어 또는 스마트 하드웨어를 개발하는 회사는 즉시 보안을 공동 책임이자 조직의 모범 사례로 우선 순위에 두어야 합니다.건전한 DevSecOps 프로그램을 만들려면 시간이 걸리고 문화의 변화도 필요할 수 있지만 그만한 가치가 있는 결과를 얻을 수 있습니다.강력한 DevSecOps는 문제가 발생하기 훨씬 전에 취약점을 제거할 수 있습니다.
제품 및 소프트웨어를 구매하는 회사의 경우 DevSecOps를 도입한 회사를 지원하는 것이 가장 좋습니다.이렇게 하면 이러한 디바이스와 소프트웨어를 통해 획득한 디바이스와 소프트웨어가 점점 더 숙련되는 공격자의 악용을 기다리고 있는 시한폭탄을 방지하는 데 큰 도움이 될 것입니다.
확인해 보세요 시큐어 코드 워리어 블로그 페이지에서 DevSecOps에 대한 자세한 정보와 보안 결함 및 취약점으로 인한 피해로부터 조직과 고객을 보호하는 방법을 알아보세요.
Barco가 경험한 보안 버그에 대해 자세히 알아보고 싶으십니까?
다음과 같은 게임화된 챌린지를 플레이하세요:
이 기사의 한 버전이 에 게재되었습니다. 데브옵스닷컴.여기에서 신디케이션을 위해 업데이트되었으며 취약성 문제에 대한 대화형 링크가 포함되어 있습니다.
우리 모두 최근의 기억을 떠올릴 수 있을 것 같아요. 회의나 컨퍼런스에서 누군가가 프레젠테이션 기술에 문제를 겪었던 적이 있을 것입니다.이런 일이 너무 자주 일어나서 적어도 초기에는 투박한 경험을 하게 될 거라는 예상이 들 정도입니다.따라서 ClickShare의 매끄러운 앱이 최종 사용자에게 즉시 인기를 얻은 것은 놀라운 일이 아닙니다.ClickShare 애플리케이션을 사용하여 노트북, 태블릿 또는 스마트폰에서 대형 스크린이나 회의실 프로젝터로 프레젠테이션을 푸시하는 것보다 쉬운 일은 없습니다.벨기에에 본사를 둔 디지털 프로젝션 및 이미징 기술 공급업체인 Barco는 자동화 플랫폼을 이러한 방식으로 작동하도록 설계했고 대기업은 이 개념을 수용했습니다.퓨처리소스 컨설팅은 다음과 같이 덧붙입니다. Barco의 시장 점유율 컨퍼런스 기술 부문은 29% 에 달하며, 포춘지 선정 1,000대 기업 중 40% 에 통합되었습니다.
F-Secure의 연구원들이 있을 때 12월에 공개되었습니다. 겉보기에 무해해 보이는 자동화 플랫폼이 보안 취약점으로 가득 차 있다는 사실은 비즈니스 커뮤니티에 큰 충격을 주었습니다.발견된 보안 결함은 그 특성상 치명적이며 잠재적으로 여러 악의적인 활동을 야기할 수 있습니다.
연구원들이 시연했다 이 취약성으로 인해 원격 사용자가 활발한 프레젠테이션을 엿보거나 보안 네트워크에 백도어를 만들거나 심지어 Barco 장치에 연결된 모든 사용자를 감염시키는 스파이웨어 배포 서버를 구성할 수 있는 방법갑자기 기업들은 조직 전체의 회의실과 사무실에 직접 심각한 보안 문제를 설치해야 하는 상황에 직면하게 되었습니다.또한 취약성의 특성 때문에 손상된 장치 하나로도 네트워크 전반의 보안 침해가 발생할 수 있습니다.
F-Secure 관계자는 보고서에서 “한 유닛을 성공적으로 해킹한 공격자는 한 가족 내에서든 가족 간이든 관계없이 모든 유닛에 대해 유효한 암호화된 이미지를 생성할 수 있을 뿐만 아니라 암호를 해독할 수 있습니다.” 라고 썼습니다.“또한 이러한 공격자는 구성된 Wi-Fi PSK 및 인증서와 같은 저장된 민감한 데이터에 액세스할 수 있습니다.”
Barco는 제품 내에서 발견된 취약점에 대한 패치와 수정을 매우 적극적으로 출시해 왔다는 점을 인정합니다.보안 공급업체 테너블 최근 출시 Barco를 포함한 8개 프레젠테이션 도구에서 15개의 취약점을 보여주는 보고서.2월 현재 Barco만이 수정 프로그램을 적극적으로 배포하고 있습니다.
Barco 취약성 중 일부는 하드웨어 변경이 필요하지만 (회사가 이러한 취약점을 보호하기 위해 이 정도까지 조치를 취한다면 배포하는 것은 악몽이 될 수 있습니다), 소프트웨어 패치를 통해 대부분의 취약점을 수정할 수 있습니다.이를 통해 대부분의 기업 사용자는 당면한 문제를 해결하기 위한 좋은 계획을 세우는 것처럼 보이지만 지금은 거의 명확하지 않습니다.잘 알려진 하드웨어 및 소프트웨어 제품의 취약점을 처리하는 데 있어 Barco의 문제는 빙산의 일각에 불과합니다.
문제의 근원
이제 당면한 문제들이 해결되었으니, 심각한 보안 결함이 있는 장치들이 어떻게 전 세계 수천 개의 회의실에 놓이게 되었는지, 애초에 왜 그렇게 부실하게 설계되고 프로그래밍되었는지 물어봐야 합니다.F-Secure 팀이 제로데이 취약점이나 이전에 알려지지 않은 취약점을 발견한 것은 아닙니다.Barco 제품에서 발견된 결함 중 10개는 잘 알려진 제품과 관련이 있습니다. 일반적인 취약점 코드 인젝션 공격처럼 말이죠.대부분은 이미 CVE (일반 취약점 및 노출) 식별 정보를 가지고 있었습니다.
그렇다면 수십 년 된 CVE가 어떻게 최신 프레젠테이션 도구에 코딩되거나 심지어 하드와이어로 연결되었을까요?가능한 유일한 답은 개발자들이 Barco 디바이스에 대해 몰랐거나 Barco 디바이스를 설계할 때 보안이 우선시되지 않았다는 것입니다.안타깝게도 이는 일반적인 상황이며 Barco 팀에만 국한된 것은 아닙니다.
취약점을 수정하기에 가장 좋은 시기는 애플리케이션이 개발되고 사용자에게 전송되기 훨씬 전입니다.최악의 (그리고 가장 비용이 많이 드는) 시기는 제품이 배포된 후나 공격자에게 악용된 이후입니다.이는 어려운 교훈일 수 있으며, Barco는 한때 뚫을 수 없었던 시장 점유율이 이번 보안 실패에 이어 타격을 입었기 때문에 반드시 알게 될 것입니다.
보안 수정 사항을 다시 개발 프로세스로 전환하는 것은 쉬운 일이 아니지만 프레젠테이션 도구와 같이 겉보기에 단순해 보이는 장치조차도 놀라울 정도로 복잡하고 다른 모든 것과 네트워크로 연결되어 있는 오늘날의 세계에서는 필요합니다.이러한 환경에서는 보안이 조직의 모범 사례가 되어야 합니다.기업이 소셜 미디어용 앱을 프로그래밍하든 스마트 토스터를 제조하든 상관 없습니다. 조직의 모든 측면에서 보안을 고려해야 합니다.
보안 모범 사례의 우선 순위를 정하고 이를 공동 책임으로 만드는 것이 개발, 보안 및 운영 팀이 협력하여 안전한 소프트웨어 및 제품을 코딩하고 배포하는 DevSecOps 운동의 목표입니다.이를 위해서는 다른 모든 것만큼이나 문화의 변화가 필요합니다.보안 취약점이 있는 제대로 작동하는 제품을 배포하는 것은 주요 기능을 수행할 수 없는 제품을 만드는 것만큼이나 실패라는 사고방식을 바꿔야 합니다.
건강한 DevSecOps 환경에서는 소프트웨어를 사용하는 모든 사람이 보안에 대해 잘 알고 있어야 하며, 개발자는 작업에 심각한 버그가 발생하지 않도록 관련 교육을 자주 받아야 합니다.Barco에서 일하는 팀이 보안을 공동 책임으로 여겼다면 수십 년 된 CVE를 포함하여 이렇게 많은 취약점이 프레젠테이션 도구에 포함되었을 리가 없습니다.
앞으로 나아가는 안전한 길
잘 알려진 보안 결함이 장치를 통해 전 세계 수천 개의 기업 네트워크에 배포된 이유를 설명해야 하는 차세대 Barco가 되려는 사람은 아무도 없습니다.이러한 운명을 피하려면 소프트웨어 또는 스마트 하드웨어를 개발하는 회사는 즉시 보안을 공동 책임이자 조직의 모범 사례로 우선 순위에 두어야 합니다.건전한 DevSecOps 프로그램을 만들려면 시간이 걸리고 문화의 변화도 필요할 수 있지만 그만한 가치가 있는 결과를 얻을 수 있습니다.강력한 DevSecOps는 문제가 발생하기 훨씬 전에 취약점을 제거할 수 있습니다.
제품 및 소프트웨어를 구매하는 회사의 경우 DevSecOps를 도입한 회사를 지원하는 것이 가장 좋습니다.이렇게 하면 이러한 디바이스와 소프트웨어를 통해 획득한 디바이스와 소프트웨어가 점점 더 숙련되는 공격자의 악용을 기다리고 있는 시한폭탄을 방지하는 데 큰 도움이 될 것입니다.
확인해 보세요 시큐어 코드 워리어 블로그 페이지에서 DevSecOps에 대한 자세한 정보와 보안 결함 및 취약점으로 인한 피해로부터 조직과 고객을 보호하는 방법을 알아보세요.
Barco가 경험한 보안 버그에 대해 자세히 알아보고 싶으십니까?
다음과 같은 게임화된 챌린지를 플레이하세요:
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Bericht anzeigenDemo-Termin vereinbaren
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
이 기사의 한 버전이 에 게재되었습니다. 데브옵스닷컴.여기에서 신디케이션을 위해 업데이트되었으며 취약성 문제에 대한 대화형 링크가 포함되어 있습니다.
우리 모두 최근의 기억을 떠올릴 수 있을 것 같아요. 회의나 컨퍼런스에서 누군가가 프레젠테이션 기술에 문제를 겪었던 적이 있을 것입니다.이런 일이 너무 자주 일어나서 적어도 초기에는 투박한 경험을 하게 될 거라는 예상이 들 정도입니다.따라서 ClickShare의 매끄러운 앱이 최종 사용자에게 즉시 인기를 얻은 것은 놀라운 일이 아닙니다.ClickShare 애플리케이션을 사용하여 노트북, 태블릿 또는 스마트폰에서 대형 스크린이나 회의실 프로젝터로 프레젠테이션을 푸시하는 것보다 쉬운 일은 없습니다.벨기에에 본사를 둔 디지털 프로젝션 및 이미징 기술 공급업체인 Barco는 자동화 플랫폼을 이러한 방식으로 작동하도록 설계했고 대기업은 이 개념을 수용했습니다.퓨처리소스 컨설팅은 다음과 같이 덧붙입니다. Barco의 시장 점유율 컨퍼런스 기술 부문은 29% 에 달하며, 포춘지 선정 1,000대 기업 중 40% 에 통합되었습니다.
F-Secure의 연구원들이 있을 때 12월에 공개되었습니다. 겉보기에 무해해 보이는 자동화 플랫폼이 보안 취약점으로 가득 차 있다는 사실은 비즈니스 커뮤니티에 큰 충격을 주었습니다.발견된 보안 결함은 그 특성상 치명적이며 잠재적으로 여러 악의적인 활동을 야기할 수 있습니다.
연구원들이 시연했다 이 취약성으로 인해 원격 사용자가 활발한 프레젠테이션을 엿보거나 보안 네트워크에 백도어를 만들거나 심지어 Barco 장치에 연결된 모든 사용자를 감염시키는 스파이웨어 배포 서버를 구성할 수 있는 방법갑자기 기업들은 조직 전체의 회의실과 사무실에 직접 심각한 보안 문제를 설치해야 하는 상황에 직면하게 되었습니다.또한 취약성의 특성 때문에 손상된 장치 하나로도 네트워크 전반의 보안 침해가 발생할 수 있습니다.
F-Secure 관계자는 보고서에서 “한 유닛을 성공적으로 해킹한 공격자는 한 가족 내에서든 가족 간이든 관계없이 모든 유닛에 대해 유효한 암호화된 이미지를 생성할 수 있을 뿐만 아니라 암호를 해독할 수 있습니다.” 라고 썼습니다.“또한 이러한 공격자는 구성된 Wi-Fi PSK 및 인증서와 같은 저장된 민감한 데이터에 액세스할 수 있습니다.”
Barco는 제품 내에서 발견된 취약점에 대한 패치와 수정을 매우 적극적으로 출시해 왔다는 점을 인정합니다.보안 공급업체 테너블 최근 출시 Barco를 포함한 8개 프레젠테이션 도구에서 15개의 취약점을 보여주는 보고서.2월 현재 Barco만이 수정 프로그램을 적극적으로 배포하고 있습니다.
Barco 취약성 중 일부는 하드웨어 변경이 필요하지만 (회사가 이러한 취약점을 보호하기 위해 이 정도까지 조치를 취한다면 배포하는 것은 악몽이 될 수 있습니다), 소프트웨어 패치를 통해 대부분의 취약점을 수정할 수 있습니다.이를 통해 대부분의 기업 사용자는 당면한 문제를 해결하기 위한 좋은 계획을 세우는 것처럼 보이지만 지금은 거의 명확하지 않습니다.잘 알려진 하드웨어 및 소프트웨어 제품의 취약점을 처리하는 데 있어 Barco의 문제는 빙산의 일각에 불과합니다.
문제의 근원
이제 당면한 문제들이 해결되었으니, 심각한 보안 결함이 있는 장치들이 어떻게 전 세계 수천 개의 회의실에 놓이게 되었는지, 애초에 왜 그렇게 부실하게 설계되고 프로그래밍되었는지 물어봐야 합니다.F-Secure 팀이 제로데이 취약점이나 이전에 알려지지 않은 취약점을 발견한 것은 아닙니다.Barco 제품에서 발견된 결함 중 10개는 잘 알려진 제품과 관련이 있습니다. 일반적인 취약점 코드 인젝션 공격처럼 말이죠.대부분은 이미 CVE (일반 취약점 및 노출) 식별 정보를 가지고 있었습니다.
그렇다면 수십 년 된 CVE가 어떻게 최신 프레젠테이션 도구에 코딩되거나 심지어 하드와이어로 연결되었을까요?가능한 유일한 답은 개발자들이 Barco 디바이스에 대해 몰랐거나 Barco 디바이스를 설계할 때 보안이 우선시되지 않았다는 것입니다.안타깝게도 이는 일반적인 상황이며 Barco 팀에만 국한된 것은 아닙니다.
취약점을 수정하기에 가장 좋은 시기는 애플리케이션이 개발되고 사용자에게 전송되기 훨씬 전입니다.최악의 (그리고 가장 비용이 많이 드는) 시기는 제품이 배포된 후나 공격자에게 악용된 이후입니다.이는 어려운 교훈일 수 있으며, Barco는 한때 뚫을 수 없었던 시장 점유율이 이번 보안 실패에 이어 타격을 입었기 때문에 반드시 알게 될 것입니다.
보안 수정 사항을 다시 개발 프로세스로 전환하는 것은 쉬운 일이 아니지만 프레젠테이션 도구와 같이 겉보기에 단순해 보이는 장치조차도 놀라울 정도로 복잡하고 다른 모든 것과 네트워크로 연결되어 있는 오늘날의 세계에서는 필요합니다.이러한 환경에서는 보안이 조직의 모범 사례가 되어야 합니다.기업이 소셜 미디어용 앱을 프로그래밍하든 스마트 토스터를 제조하든 상관 없습니다. 조직의 모든 측면에서 보안을 고려해야 합니다.
보안 모범 사례의 우선 순위를 정하고 이를 공동 책임으로 만드는 것이 개발, 보안 및 운영 팀이 협력하여 안전한 소프트웨어 및 제품을 코딩하고 배포하는 DevSecOps 운동의 목표입니다.이를 위해서는 다른 모든 것만큼이나 문화의 변화가 필요합니다.보안 취약점이 있는 제대로 작동하는 제품을 배포하는 것은 주요 기능을 수행할 수 없는 제품을 만드는 것만큼이나 실패라는 사고방식을 바꿔야 합니다.
건강한 DevSecOps 환경에서는 소프트웨어를 사용하는 모든 사람이 보안에 대해 잘 알고 있어야 하며, 개발자는 작업에 심각한 버그가 발생하지 않도록 관련 교육을 자주 받아야 합니다.Barco에서 일하는 팀이 보안을 공동 책임으로 여겼다면 수십 년 된 CVE를 포함하여 이렇게 많은 취약점이 프레젠테이션 도구에 포함되었을 리가 없습니다.
앞으로 나아가는 안전한 길
잘 알려진 보안 결함이 장치를 통해 전 세계 수천 개의 기업 네트워크에 배포된 이유를 설명해야 하는 차세대 Barco가 되려는 사람은 아무도 없습니다.이러한 운명을 피하려면 소프트웨어 또는 스마트 하드웨어를 개발하는 회사는 즉시 보안을 공동 책임이자 조직의 모범 사례로 우선 순위에 두어야 합니다.건전한 DevSecOps 프로그램을 만들려면 시간이 걸리고 문화의 변화도 필요할 수 있지만 그만한 가치가 있는 결과를 얻을 수 있습니다.강력한 DevSecOps는 문제가 발생하기 훨씬 전에 취약점을 제거할 수 있습니다.
제품 및 소프트웨어를 구매하는 회사의 경우 DevSecOps를 도입한 회사를 지원하는 것이 가장 좋습니다.이렇게 하면 이러한 디바이스와 소프트웨어를 통해 획득한 디바이스와 소프트웨어가 점점 더 숙련되는 공격자의 악용을 기다리고 있는 시한폭탄을 방지하는 데 큰 도움이 될 것입니다.
확인해 보세요 시큐어 코드 워리어 블로그 페이지에서 DevSecOps에 대한 자세한 정보와 보안 결함 및 취약점으로 인한 피해로부터 조직과 고객을 보호하는 방법을 알아보세요.
Barco가 경험한 보안 버그에 대해 자세히 알아보고 싶으십니까?
다음과 같은 게임화된 챌린지를 플레이하세요:
Inhaltsverzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbarenDownloadHilfreiche Ressourcen für den Einstieg
Themen und Inhalte der Sicherheitsschulung
Die branchenweit besten Inhalte werden unter Berücksichtigung der Kundenrollen ständig weiterentwickelt und an die sich ständig verändernde Softwareentwicklungsumgebung angepasst. Es werden Themen angeboten, die alle Bereiche von KI bis hin zu XQuery-Injection abdecken und für verschiedene Rollen geeignet sind, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Sehen Sie sich vorab an, was der Inhaltskatalog nach Themen und Rollen zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Hilfreiche Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025 Bit The Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Stärken Sie die Entwicklung von Sicherheits-KI in großem Maßstab durch den Einsatz fortschrittlicher KI/LLM-Sicherheitslösungen.
Erläuterung des Gesetzes zur Cyber-Resilienz: Bedeutung der Entwicklung von Sicherheitsdesign-Software
Erfahren Sie mehr über die Anforderungen und Anwendungsbereiche des EU-Cyberresilienzgesetzes (CRA) und darüber, wie sich Ingenieurteams durch Design, Praktiken, Schwachstellenvermeidung und die Einrichtung einer Entwicklerumgebung sicher vorbereiten können.
Erfolgsfaktor 1: Definierte und messbare Erfolgskriterien
Enabler 1 bietet eine zehnteilige Reihe von Erfolgsfaktoren, die zeigen, wie sichere Codierung zu Geschäftsergebnissen wie einer schnelleren Risikominderung und Kostensenkung für die Reifung langfristiger Programme beitragen kann.
