ClickShare 취약점이 패치되었을 수도 있지만 훨씬 더 큰 문제를 숨기고 있습니다.
이 기사의 한 버전이 에 게재되었습니다. 데브옵스닷컴.여기에서 신디케이션을 위해 업데이트되었으며 취약성 문제에 대한 대화형 링크가 포함되어 있습니다.
우리 모두 최근의 기억을 떠올릴 수 있을 것 같아요. 회의나 컨퍼런스에서 누군가가 프레젠테이션 기술에 문제를 겪었던 적이 있을 것입니다.이런 일이 너무 자주 일어나서 적어도 초기에는 투박한 경험을 하게 될 거라는 예상이 들 정도입니다.따라서 ClickShare의 매끄러운 앱이 최종 사용자에게 즉시 인기를 얻은 것은 놀라운 일이 아닙니다.ClickShare 애플리케이션을 사용하여 노트북, 태블릿 또는 스마트폰에서 대형 스크린이나 회의실 프로젝터로 프레젠테이션을 푸시하는 것보다 쉬운 일은 없습니다.벨기에에 본사를 둔 디지털 프로젝션 및 이미징 기술 공급업체인 Barco는 자동화 플랫폼을 이러한 방식으로 작동하도록 설계했고 대기업은 이 개념을 수용했습니다.퓨처리소스 컨설팅은 다음과 같이 덧붙입니다. Barco의 시장 점유율 컨퍼런스 기술 부문은 29% 에 달하며, 포춘지 선정 1,000대 기업 중 40% 에 통합되었습니다.
F-Secure의 연구원들이 있을 때 12월에 공개되었습니다. 겉보기에 무해해 보이는 자동화 플랫폼이 보안 취약점으로 가득 차 있다는 사실은 비즈니스 커뮤니티에 큰 충격을 주었습니다.발견된 보안 결함은 그 특성상 치명적이며 잠재적으로 여러 악의적인 활동을 야기할 수 있습니다.
연구원들이 시연했다 이 취약성으로 인해 원격 사용자가 활발한 프레젠테이션을 엿보거나 보안 네트워크에 백도어를 만들거나 심지어 Barco 장치에 연결된 모든 사용자를 감염시키는 스파이웨어 배포 서버를 구성할 수 있는 방법갑자기 기업들은 조직 전체의 회의실과 사무실에 직접 심각한 보안 문제를 설치해야 하는 상황에 직면하게 되었습니다.또한 취약성의 특성 때문에 손상된 장치 하나로도 네트워크 전반의 보안 침해가 발생할 수 있습니다.
F-Secure 관계자는 보고서에서 “한 유닛을 성공적으로 해킹한 공격자는 한 가족 내에서든 가족 간이든 관계없이 모든 유닛에 대해 유효한 암호화된 이미지를 생성할 수 있을 뿐만 아니라 암호를 해독할 수 있습니다.” 라고 썼습니다.“또한 이러한 공격자는 구성된 Wi-Fi PSK 및 인증서와 같은 저장된 민감한 데이터에 액세스할 수 있습니다.”
Barco는 제품 내에서 발견된 취약점에 대한 패치와 수정을 매우 적극적으로 출시해 왔다는 점을 인정합니다.보안 공급업체 테너블 최근 출시 Barco를 포함한 8개 프레젠테이션 도구에서 15개의 취약점을 보여주는 보고서.2월 현재 Barco만이 수정 프로그램을 적극적으로 배포하고 있습니다.
Barco 취약성 중 일부는 하드웨어 변경이 필요하지만 (회사가 이러한 취약점을 보호하기 위해 이 정도까지 조치를 취한다면 배포하는 것은 악몽이 될 수 있습니다), 소프트웨어 패치를 통해 대부분의 취약점을 수정할 수 있습니다.이를 통해 대부분의 기업 사용자는 당면한 문제를 해결하기 위한 좋은 계획을 세우는 것처럼 보이지만 지금은 거의 명확하지 않습니다.잘 알려진 하드웨어 및 소프트웨어 제품의 취약점을 처리하는 데 있어 Barco의 문제는 빙산의 일각에 불과합니다.
문제의 근원
이제 당면한 문제들이 해결되었으니, 심각한 보안 결함이 있는 장치들이 어떻게 전 세계 수천 개의 회의실에 놓이게 되었는지, 애초에 왜 그렇게 부실하게 설계되고 프로그래밍되었는지 물어봐야 합니다.F-Secure 팀이 제로데이 취약점이나 이전에 알려지지 않은 취약점을 발견한 것은 아닙니다.Barco 제품에서 발견된 결함 중 10개는 잘 알려진 제품과 관련이 있습니다. 일반적인 취약점 코드 인젝션 공격처럼 말이죠.대부분은 이미 CVE (일반 취약점 및 노출) 식별 정보를 가지고 있었습니다.
그렇다면 수십 년 된 CVE가 어떻게 최신 프레젠테이션 도구에 코딩되거나 심지어 하드와이어로 연결되었을까요?가능한 유일한 답은 개발자들이 Barco 디바이스에 대해 몰랐거나 Barco 디바이스를 설계할 때 보안이 우선시되지 않았다는 것입니다.안타깝게도 이는 일반적인 상황이며 Barco 팀에만 국한된 것은 아닙니다.
취약점을 수정하기에 가장 좋은 시기는 애플리케이션이 개발되고 사용자에게 전송되기 훨씬 전입니다.최악의 (그리고 가장 비용이 많이 드는) 시기는 제품이 배포된 후나 공격자에게 악용된 이후입니다.이는 어려운 교훈일 수 있으며, Barco는 한때 뚫을 수 없었던 시장 점유율이 이번 보안 실패에 이어 타격을 입었기 때문에 반드시 알게 될 것입니다.
보안 수정 사항을 다시 개발 프로세스로 전환하는 것은 쉬운 일이 아니지만 프레젠테이션 도구와 같이 겉보기에 단순해 보이는 장치조차도 놀라울 정도로 복잡하고 다른 모든 것과 네트워크로 연결되어 있는 오늘날의 세계에서는 필요합니다.이러한 환경에서는 보안이 조직의 모범 사례가 되어야 합니다.기업이 소셜 미디어용 앱을 프로그래밍하든 스마트 토스터를 제조하든 상관 없습니다. 조직의 모든 측면에서 보안을 고려해야 합니다.
보안 모범 사례의 우선 순위를 정하고 이를 공동 책임으로 만드는 것이 개발, 보안 및 운영 팀이 협력하여 안전한 소프트웨어 및 제품을 코딩하고 배포하는 DevSecOps 운동의 목표입니다.이를 위해서는 다른 모든 것만큼이나 문화의 변화가 필요합니다.보안 취약점이 있는 제대로 작동하는 제품을 배포하는 것은 주요 기능을 수행할 수 없는 제품을 만드는 것만큼이나 실패라는 사고방식을 바꿔야 합니다.
건강한 DevSecOps 환경에서는 소프트웨어를 사용하는 모든 사람이 보안에 대해 잘 알고 있어야 하며, 개발자는 작업에 심각한 버그가 발생하지 않도록 관련 교육을 자주 받아야 합니다.Barco에서 일하는 팀이 보안을 공동 책임으로 여겼다면 수십 년 된 CVE를 포함하여 이렇게 많은 취약점이 프레젠테이션 도구에 포함되었을 리가 없습니다.
앞으로 나아가는 안전한 길
잘 알려진 보안 결함이 장치를 통해 전 세계 수천 개의 기업 네트워크에 배포된 이유를 설명해야 하는 차세대 Barco가 되려는 사람은 아무도 없습니다.이러한 운명을 피하려면 소프트웨어 또는 스마트 하드웨어를 개발하는 회사는 즉시 보안을 공동 책임이자 조직의 모범 사례로 우선 순위에 두어야 합니다.건전한 DevSecOps 프로그램을 만들려면 시간이 걸리고 문화의 변화도 필요할 수 있지만 그만한 가치가 있는 결과를 얻을 수 있습니다.강력한 DevSecOps는 문제가 발생하기 훨씬 전에 취약점을 제거할 수 있습니다.
제품 및 소프트웨어를 구매하는 회사의 경우 DevSecOps를 도입한 회사를 지원하는 것이 가장 좋습니다.이렇게 하면 이러한 디바이스와 소프트웨어를 통해 획득한 디바이스와 소프트웨어가 점점 더 숙련되는 공격자의 악용을 기다리고 있는 시한폭탄을 방지하는 데 큰 도움이 될 것입니다.
확인해 보세요 시큐어 코드 워리어 블로그 페이지에서 DevSecOps에 대한 자세한 정보와 보안 결함 및 취약점으로 인한 피해로부터 조직과 고객을 보호하는 방법을 알아보세요.
Barco가 경험한 보안 버그에 대해 자세히 알아보고 싶으십니까?
다음과 같은 게임화된 챌린지를 플레이하세요:
보안 수정 사항을 다시 개발 프로세스로 전환하는 것은 쉬운 일이 아니지만 프레젠테이션 도구와 같이 겉보기에 단순해 보이는 장치조차도 놀라울 정도로 복잡하고 다른 모든 것과 네트워크로 연결되어 있는 오늘날의 세계에서는 필요합니다.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
이 기사의 한 버전이 에 게재되었습니다. 데브옵스닷컴.여기에서 신디케이션을 위해 업데이트되었으며 취약성 문제에 대한 대화형 링크가 포함되어 있습니다.
우리 모두 최근의 기억을 떠올릴 수 있을 것 같아요. 회의나 컨퍼런스에서 누군가가 프레젠테이션 기술에 문제를 겪었던 적이 있을 것입니다.이런 일이 너무 자주 일어나서 적어도 초기에는 투박한 경험을 하게 될 거라는 예상이 들 정도입니다.따라서 ClickShare의 매끄러운 앱이 최종 사용자에게 즉시 인기를 얻은 것은 놀라운 일이 아닙니다.ClickShare 애플리케이션을 사용하여 노트북, 태블릿 또는 스마트폰에서 대형 스크린이나 회의실 프로젝터로 프레젠테이션을 푸시하는 것보다 쉬운 일은 없습니다.벨기에에 본사를 둔 디지털 프로젝션 및 이미징 기술 공급업체인 Barco는 자동화 플랫폼을 이러한 방식으로 작동하도록 설계했고 대기업은 이 개념을 수용했습니다.퓨처리소스 컨설팅은 다음과 같이 덧붙입니다. Barco의 시장 점유율 컨퍼런스 기술 부문은 29% 에 달하며, 포춘지 선정 1,000대 기업 중 40% 에 통합되었습니다.
F-Secure의 연구원들이 있을 때 12월에 공개되었습니다. 겉보기에 무해해 보이는 자동화 플랫폼이 보안 취약점으로 가득 차 있다는 사실은 비즈니스 커뮤니티에 큰 충격을 주었습니다.발견된 보안 결함은 그 특성상 치명적이며 잠재적으로 여러 악의적인 활동을 야기할 수 있습니다.
연구원들이 시연했다 이 취약성으로 인해 원격 사용자가 활발한 프레젠테이션을 엿보거나 보안 네트워크에 백도어를 만들거나 심지어 Barco 장치에 연결된 모든 사용자를 감염시키는 스파이웨어 배포 서버를 구성할 수 있는 방법갑자기 기업들은 조직 전체의 회의실과 사무실에 직접 심각한 보안 문제를 설치해야 하는 상황에 직면하게 되었습니다.또한 취약성의 특성 때문에 손상된 장치 하나로도 네트워크 전반의 보안 침해가 발생할 수 있습니다.
F-Secure 관계자는 보고서에서 “한 유닛을 성공적으로 해킹한 공격자는 한 가족 내에서든 가족 간이든 관계없이 모든 유닛에 대해 유효한 암호화된 이미지를 생성할 수 있을 뿐만 아니라 암호를 해독할 수 있습니다.” 라고 썼습니다.“또한 이러한 공격자는 구성된 Wi-Fi PSK 및 인증서와 같은 저장된 민감한 데이터에 액세스할 수 있습니다.”
Barco는 제품 내에서 발견된 취약점에 대한 패치와 수정을 매우 적극적으로 출시해 왔다는 점을 인정합니다.보안 공급업체 테너블 최근 출시 Barco를 포함한 8개 프레젠테이션 도구에서 15개의 취약점을 보여주는 보고서.2월 현재 Barco만이 수정 프로그램을 적극적으로 배포하고 있습니다.
Barco 취약성 중 일부는 하드웨어 변경이 필요하지만 (회사가 이러한 취약점을 보호하기 위해 이 정도까지 조치를 취한다면 배포하는 것은 악몽이 될 수 있습니다), 소프트웨어 패치를 통해 대부분의 취약점을 수정할 수 있습니다.이를 통해 대부분의 기업 사용자는 당면한 문제를 해결하기 위한 좋은 계획을 세우는 것처럼 보이지만 지금은 거의 명확하지 않습니다.잘 알려진 하드웨어 및 소프트웨어 제품의 취약점을 처리하는 데 있어 Barco의 문제는 빙산의 일각에 불과합니다.
문제의 근원
이제 당면한 문제들이 해결되었으니, 심각한 보안 결함이 있는 장치들이 어떻게 전 세계 수천 개의 회의실에 놓이게 되었는지, 애초에 왜 그렇게 부실하게 설계되고 프로그래밍되었는지 물어봐야 합니다.F-Secure 팀이 제로데이 취약점이나 이전에 알려지지 않은 취약점을 발견한 것은 아닙니다.Barco 제품에서 발견된 결함 중 10개는 잘 알려진 제품과 관련이 있습니다. 일반적인 취약점 코드 인젝션 공격처럼 말이죠.대부분은 이미 CVE (일반 취약점 및 노출) 식별 정보를 가지고 있었습니다.
그렇다면 수십 년 된 CVE가 어떻게 최신 프레젠테이션 도구에 코딩되거나 심지어 하드와이어로 연결되었을까요?가능한 유일한 답은 개발자들이 Barco 디바이스에 대해 몰랐거나 Barco 디바이스를 설계할 때 보안이 우선시되지 않았다는 것입니다.안타깝게도 이는 일반적인 상황이며 Barco 팀에만 국한된 것은 아닙니다.
취약점을 수정하기에 가장 좋은 시기는 애플리케이션이 개발되고 사용자에게 전송되기 훨씬 전입니다.최악의 (그리고 가장 비용이 많이 드는) 시기는 제품이 배포된 후나 공격자에게 악용된 이후입니다.이는 어려운 교훈일 수 있으며, Barco는 한때 뚫을 수 없었던 시장 점유율이 이번 보안 실패에 이어 타격을 입었기 때문에 반드시 알게 될 것입니다.
보안 수정 사항을 다시 개발 프로세스로 전환하는 것은 쉬운 일이 아니지만 프레젠테이션 도구와 같이 겉보기에 단순해 보이는 장치조차도 놀라울 정도로 복잡하고 다른 모든 것과 네트워크로 연결되어 있는 오늘날의 세계에서는 필요합니다.이러한 환경에서는 보안이 조직의 모범 사례가 되어야 합니다.기업이 소셜 미디어용 앱을 프로그래밍하든 스마트 토스터를 제조하든 상관 없습니다. 조직의 모든 측면에서 보안을 고려해야 합니다.
보안 모범 사례의 우선 순위를 정하고 이를 공동 책임으로 만드는 것이 개발, 보안 및 운영 팀이 협력하여 안전한 소프트웨어 및 제품을 코딩하고 배포하는 DevSecOps 운동의 목표입니다.이를 위해서는 다른 모든 것만큼이나 문화의 변화가 필요합니다.보안 취약점이 있는 제대로 작동하는 제품을 배포하는 것은 주요 기능을 수행할 수 없는 제품을 만드는 것만큼이나 실패라는 사고방식을 바꿔야 합니다.
건강한 DevSecOps 환경에서는 소프트웨어를 사용하는 모든 사람이 보안에 대해 잘 알고 있어야 하며, 개발자는 작업에 심각한 버그가 발생하지 않도록 관련 교육을 자주 받아야 합니다.Barco에서 일하는 팀이 보안을 공동 책임으로 여겼다면 수십 년 된 CVE를 포함하여 이렇게 많은 취약점이 프레젠테이션 도구에 포함되었을 리가 없습니다.
앞으로 나아가는 안전한 길
잘 알려진 보안 결함이 장치를 통해 전 세계 수천 개의 기업 네트워크에 배포된 이유를 설명해야 하는 차세대 Barco가 되려는 사람은 아무도 없습니다.이러한 운명을 피하려면 소프트웨어 또는 스마트 하드웨어를 개발하는 회사는 즉시 보안을 공동 책임이자 조직의 모범 사례로 우선 순위에 두어야 합니다.건전한 DevSecOps 프로그램을 만들려면 시간이 걸리고 문화의 변화도 필요할 수 있지만 그만한 가치가 있는 결과를 얻을 수 있습니다.강력한 DevSecOps는 문제가 발생하기 훨씬 전에 취약점을 제거할 수 있습니다.
제품 및 소프트웨어를 구매하는 회사의 경우 DevSecOps를 도입한 회사를 지원하는 것이 가장 좋습니다.이렇게 하면 이러한 디바이스와 소프트웨어를 통해 획득한 디바이스와 소프트웨어가 점점 더 숙련되는 공격자의 악용을 기다리고 있는 시한폭탄을 방지하는 데 큰 도움이 될 것입니다.
확인해 보세요 시큐어 코드 워리어 블로그 페이지에서 DevSecOps에 대한 자세한 정보와 보안 결함 및 취약점으로 인한 피해로부터 조직과 고객을 보호하는 방법을 알아보세요.
Barco가 경험한 보안 버그에 대해 자세히 알아보고 싶으십니까?
다음과 같은 게임화된 챌린지를 플레이하세요:
이 기사의 한 버전이 에 게재되었습니다. 데브옵스닷컴.여기에서 신디케이션을 위해 업데이트되었으며 취약성 문제에 대한 대화형 링크가 포함되어 있습니다.
우리 모두 최근의 기억을 떠올릴 수 있을 것 같아요. 회의나 컨퍼런스에서 누군가가 프레젠테이션 기술에 문제를 겪었던 적이 있을 것입니다.이런 일이 너무 자주 일어나서 적어도 초기에는 투박한 경험을 하게 될 거라는 예상이 들 정도입니다.따라서 ClickShare의 매끄러운 앱이 최종 사용자에게 즉시 인기를 얻은 것은 놀라운 일이 아닙니다.ClickShare 애플리케이션을 사용하여 노트북, 태블릿 또는 스마트폰에서 대형 스크린이나 회의실 프로젝터로 프레젠테이션을 푸시하는 것보다 쉬운 일은 없습니다.벨기에에 본사를 둔 디지털 프로젝션 및 이미징 기술 공급업체인 Barco는 자동화 플랫폼을 이러한 방식으로 작동하도록 설계했고 대기업은 이 개념을 수용했습니다.퓨처리소스 컨설팅은 다음과 같이 덧붙입니다. Barco의 시장 점유율 컨퍼런스 기술 부문은 29% 에 달하며, 포춘지 선정 1,000대 기업 중 40% 에 통합되었습니다.
F-Secure의 연구원들이 있을 때 12월에 공개되었습니다. 겉보기에 무해해 보이는 자동화 플랫폼이 보안 취약점으로 가득 차 있다는 사실은 비즈니스 커뮤니티에 큰 충격을 주었습니다.발견된 보안 결함은 그 특성상 치명적이며 잠재적으로 여러 악의적인 활동을 야기할 수 있습니다.
연구원들이 시연했다 이 취약성으로 인해 원격 사용자가 활발한 프레젠테이션을 엿보거나 보안 네트워크에 백도어를 만들거나 심지어 Barco 장치에 연결된 모든 사용자를 감염시키는 스파이웨어 배포 서버를 구성할 수 있는 방법갑자기 기업들은 조직 전체의 회의실과 사무실에 직접 심각한 보안 문제를 설치해야 하는 상황에 직면하게 되었습니다.또한 취약성의 특성 때문에 손상된 장치 하나로도 네트워크 전반의 보안 침해가 발생할 수 있습니다.
F-Secure 관계자는 보고서에서 “한 유닛을 성공적으로 해킹한 공격자는 한 가족 내에서든 가족 간이든 관계없이 모든 유닛에 대해 유효한 암호화된 이미지를 생성할 수 있을 뿐만 아니라 암호를 해독할 수 있습니다.” 라고 썼습니다.“또한 이러한 공격자는 구성된 Wi-Fi PSK 및 인증서와 같은 저장된 민감한 데이터에 액세스할 수 있습니다.”
Barco는 제품 내에서 발견된 취약점에 대한 패치와 수정을 매우 적극적으로 출시해 왔다는 점을 인정합니다.보안 공급업체 테너블 최근 출시 Barco를 포함한 8개 프레젠테이션 도구에서 15개의 취약점을 보여주는 보고서.2월 현재 Barco만이 수정 프로그램을 적극적으로 배포하고 있습니다.
Barco 취약성 중 일부는 하드웨어 변경이 필요하지만 (회사가 이러한 취약점을 보호하기 위해 이 정도까지 조치를 취한다면 배포하는 것은 악몽이 될 수 있습니다), 소프트웨어 패치를 통해 대부분의 취약점을 수정할 수 있습니다.이를 통해 대부분의 기업 사용자는 당면한 문제를 해결하기 위한 좋은 계획을 세우는 것처럼 보이지만 지금은 거의 명확하지 않습니다.잘 알려진 하드웨어 및 소프트웨어 제품의 취약점을 처리하는 데 있어 Barco의 문제는 빙산의 일각에 불과합니다.
문제의 근원
이제 당면한 문제들이 해결되었으니, 심각한 보안 결함이 있는 장치들이 어떻게 전 세계 수천 개의 회의실에 놓이게 되었는지, 애초에 왜 그렇게 부실하게 설계되고 프로그래밍되었는지 물어봐야 합니다.F-Secure 팀이 제로데이 취약점이나 이전에 알려지지 않은 취약점을 발견한 것은 아닙니다.Barco 제품에서 발견된 결함 중 10개는 잘 알려진 제품과 관련이 있습니다. 일반적인 취약점 코드 인젝션 공격처럼 말이죠.대부분은 이미 CVE (일반 취약점 및 노출) 식별 정보를 가지고 있었습니다.
그렇다면 수십 년 된 CVE가 어떻게 최신 프레젠테이션 도구에 코딩되거나 심지어 하드와이어로 연결되었을까요?가능한 유일한 답은 개발자들이 Barco 디바이스에 대해 몰랐거나 Barco 디바이스를 설계할 때 보안이 우선시되지 않았다는 것입니다.안타깝게도 이는 일반적인 상황이며 Barco 팀에만 국한된 것은 아닙니다.
취약점을 수정하기에 가장 좋은 시기는 애플리케이션이 개발되고 사용자에게 전송되기 훨씬 전입니다.최악의 (그리고 가장 비용이 많이 드는) 시기는 제품이 배포된 후나 공격자에게 악용된 이후입니다.이는 어려운 교훈일 수 있으며, Barco는 한때 뚫을 수 없었던 시장 점유율이 이번 보안 실패에 이어 타격을 입었기 때문에 반드시 알게 될 것입니다.
보안 수정 사항을 다시 개발 프로세스로 전환하는 것은 쉬운 일이 아니지만 프레젠테이션 도구와 같이 겉보기에 단순해 보이는 장치조차도 놀라울 정도로 복잡하고 다른 모든 것과 네트워크로 연결되어 있는 오늘날의 세계에서는 필요합니다.이러한 환경에서는 보안이 조직의 모범 사례가 되어야 합니다.기업이 소셜 미디어용 앱을 프로그래밍하든 스마트 토스터를 제조하든 상관 없습니다. 조직의 모든 측면에서 보안을 고려해야 합니다.
보안 모범 사례의 우선 순위를 정하고 이를 공동 책임으로 만드는 것이 개발, 보안 및 운영 팀이 협력하여 안전한 소프트웨어 및 제품을 코딩하고 배포하는 DevSecOps 운동의 목표입니다.이를 위해서는 다른 모든 것만큼이나 문화의 변화가 필요합니다.보안 취약점이 있는 제대로 작동하는 제품을 배포하는 것은 주요 기능을 수행할 수 없는 제품을 만드는 것만큼이나 실패라는 사고방식을 바꿔야 합니다.
건강한 DevSecOps 환경에서는 소프트웨어를 사용하는 모든 사람이 보안에 대해 잘 알고 있어야 하며, 개발자는 작업에 심각한 버그가 발생하지 않도록 관련 교육을 자주 받아야 합니다.Barco에서 일하는 팀이 보안을 공동 책임으로 여겼다면 수십 년 된 CVE를 포함하여 이렇게 많은 취약점이 프레젠테이션 도구에 포함되었을 리가 없습니다.
앞으로 나아가는 안전한 길
잘 알려진 보안 결함이 장치를 통해 전 세계 수천 개의 기업 네트워크에 배포된 이유를 설명해야 하는 차세대 Barco가 되려는 사람은 아무도 없습니다.이러한 운명을 피하려면 소프트웨어 또는 스마트 하드웨어를 개발하는 회사는 즉시 보안을 공동 책임이자 조직의 모범 사례로 우선 순위에 두어야 합니다.건전한 DevSecOps 프로그램을 만들려면 시간이 걸리고 문화의 변화도 필요할 수 있지만 그만한 가치가 있는 결과를 얻을 수 있습니다.강력한 DevSecOps는 문제가 발생하기 훨씬 전에 취약점을 제거할 수 있습니다.
제품 및 소프트웨어를 구매하는 회사의 경우 DevSecOps를 도입한 회사를 지원하는 것이 가장 좋습니다.이렇게 하면 이러한 디바이스와 소프트웨어를 통해 획득한 디바이스와 소프트웨어가 점점 더 숙련되는 공격자의 악용을 기다리고 있는 시한폭탄을 방지하는 데 큰 도움이 될 것입니다.
확인해 보세요 시큐어 코드 워리어 블로그 페이지에서 DevSecOps에 대한 자세한 정보와 보안 결함 및 취약점으로 인한 피해로부터 조직과 고객을 보호하는 방법을 알아보세요.
Barco가 경험한 보안 버그에 대해 자세히 알아보고 싶으십니까?
다음과 같은 게임화된 챌린지를 플레이하세요:
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Consulter le rapportVeuillez prendre rendez-vous pour une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
이 기사의 한 버전이 에 게재되었습니다. 데브옵스닷컴.여기에서 신디케이션을 위해 업데이트되었으며 취약성 문제에 대한 대화형 링크가 포함되어 있습니다.
우리 모두 최근의 기억을 떠올릴 수 있을 것 같아요. 회의나 컨퍼런스에서 누군가가 프레젠테이션 기술에 문제를 겪었던 적이 있을 것입니다.이런 일이 너무 자주 일어나서 적어도 초기에는 투박한 경험을 하게 될 거라는 예상이 들 정도입니다.따라서 ClickShare의 매끄러운 앱이 최종 사용자에게 즉시 인기를 얻은 것은 놀라운 일이 아닙니다.ClickShare 애플리케이션을 사용하여 노트북, 태블릿 또는 스마트폰에서 대형 스크린이나 회의실 프로젝터로 프레젠테이션을 푸시하는 것보다 쉬운 일은 없습니다.벨기에에 본사를 둔 디지털 프로젝션 및 이미징 기술 공급업체인 Barco는 자동화 플랫폼을 이러한 방식으로 작동하도록 설계했고 대기업은 이 개념을 수용했습니다.퓨처리소스 컨설팅은 다음과 같이 덧붙입니다. Barco의 시장 점유율 컨퍼런스 기술 부문은 29% 에 달하며, 포춘지 선정 1,000대 기업 중 40% 에 통합되었습니다.
F-Secure의 연구원들이 있을 때 12월에 공개되었습니다. 겉보기에 무해해 보이는 자동화 플랫폼이 보안 취약점으로 가득 차 있다는 사실은 비즈니스 커뮤니티에 큰 충격을 주었습니다.발견된 보안 결함은 그 특성상 치명적이며 잠재적으로 여러 악의적인 활동을 야기할 수 있습니다.
연구원들이 시연했다 이 취약성으로 인해 원격 사용자가 활발한 프레젠테이션을 엿보거나 보안 네트워크에 백도어를 만들거나 심지어 Barco 장치에 연결된 모든 사용자를 감염시키는 스파이웨어 배포 서버를 구성할 수 있는 방법갑자기 기업들은 조직 전체의 회의실과 사무실에 직접 심각한 보안 문제를 설치해야 하는 상황에 직면하게 되었습니다.또한 취약성의 특성 때문에 손상된 장치 하나로도 네트워크 전반의 보안 침해가 발생할 수 있습니다.
F-Secure 관계자는 보고서에서 “한 유닛을 성공적으로 해킹한 공격자는 한 가족 내에서든 가족 간이든 관계없이 모든 유닛에 대해 유효한 암호화된 이미지를 생성할 수 있을 뿐만 아니라 암호를 해독할 수 있습니다.” 라고 썼습니다.“또한 이러한 공격자는 구성된 Wi-Fi PSK 및 인증서와 같은 저장된 민감한 데이터에 액세스할 수 있습니다.”
Barco는 제품 내에서 발견된 취약점에 대한 패치와 수정을 매우 적극적으로 출시해 왔다는 점을 인정합니다.보안 공급업체 테너블 최근 출시 Barco를 포함한 8개 프레젠테이션 도구에서 15개의 취약점을 보여주는 보고서.2월 현재 Barco만이 수정 프로그램을 적극적으로 배포하고 있습니다.
Barco 취약성 중 일부는 하드웨어 변경이 필요하지만 (회사가 이러한 취약점을 보호하기 위해 이 정도까지 조치를 취한다면 배포하는 것은 악몽이 될 수 있습니다), 소프트웨어 패치를 통해 대부분의 취약점을 수정할 수 있습니다.이를 통해 대부분의 기업 사용자는 당면한 문제를 해결하기 위한 좋은 계획을 세우는 것처럼 보이지만 지금은 거의 명확하지 않습니다.잘 알려진 하드웨어 및 소프트웨어 제품의 취약점을 처리하는 데 있어 Barco의 문제는 빙산의 일각에 불과합니다.
문제의 근원
이제 당면한 문제들이 해결되었으니, 심각한 보안 결함이 있는 장치들이 어떻게 전 세계 수천 개의 회의실에 놓이게 되었는지, 애초에 왜 그렇게 부실하게 설계되고 프로그래밍되었는지 물어봐야 합니다.F-Secure 팀이 제로데이 취약점이나 이전에 알려지지 않은 취약점을 발견한 것은 아닙니다.Barco 제품에서 발견된 결함 중 10개는 잘 알려진 제품과 관련이 있습니다. 일반적인 취약점 코드 인젝션 공격처럼 말이죠.대부분은 이미 CVE (일반 취약점 및 노출) 식별 정보를 가지고 있었습니다.
그렇다면 수십 년 된 CVE가 어떻게 최신 프레젠테이션 도구에 코딩되거나 심지어 하드와이어로 연결되었을까요?가능한 유일한 답은 개발자들이 Barco 디바이스에 대해 몰랐거나 Barco 디바이스를 설계할 때 보안이 우선시되지 않았다는 것입니다.안타깝게도 이는 일반적인 상황이며 Barco 팀에만 국한된 것은 아닙니다.
취약점을 수정하기에 가장 좋은 시기는 애플리케이션이 개발되고 사용자에게 전송되기 훨씬 전입니다.최악의 (그리고 가장 비용이 많이 드는) 시기는 제품이 배포된 후나 공격자에게 악용된 이후입니다.이는 어려운 교훈일 수 있으며, Barco는 한때 뚫을 수 없었던 시장 점유율이 이번 보안 실패에 이어 타격을 입었기 때문에 반드시 알게 될 것입니다.
보안 수정 사항을 다시 개발 프로세스로 전환하는 것은 쉬운 일이 아니지만 프레젠테이션 도구와 같이 겉보기에 단순해 보이는 장치조차도 놀라울 정도로 복잡하고 다른 모든 것과 네트워크로 연결되어 있는 오늘날의 세계에서는 필요합니다.이러한 환경에서는 보안이 조직의 모범 사례가 되어야 합니다.기업이 소셜 미디어용 앱을 프로그래밍하든 스마트 토스터를 제조하든 상관 없습니다. 조직의 모든 측면에서 보안을 고려해야 합니다.
보안 모범 사례의 우선 순위를 정하고 이를 공동 책임으로 만드는 것이 개발, 보안 및 운영 팀이 협력하여 안전한 소프트웨어 및 제품을 코딩하고 배포하는 DevSecOps 운동의 목표입니다.이를 위해서는 다른 모든 것만큼이나 문화의 변화가 필요합니다.보안 취약점이 있는 제대로 작동하는 제품을 배포하는 것은 주요 기능을 수행할 수 없는 제품을 만드는 것만큼이나 실패라는 사고방식을 바꿔야 합니다.
건강한 DevSecOps 환경에서는 소프트웨어를 사용하는 모든 사람이 보안에 대해 잘 알고 있어야 하며, 개발자는 작업에 심각한 버그가 발생하지 않도록 관련 교육을 자주 받아야 합니다.Barco에서 일하는 팀이 보안을 공동 책임으로 여겼다면 수십 년 된 CVE를 포함하여 이렇게 많은 취약점이 프레젠테이션 도구에 포함되었을 리가 없습니다.
앞으로 나아가는 안전한 길
잘 알려진 보안 결함이 장치를 통해 전 세계 수천 개의 기업 네트워크에 배포된 이유를 설명해야 하는 차세대 Barco가 되려는 사람은 아무도 없습니다.이러한 운명을 피하려면 소프트웨어 또는 스마트 하드웨어를 개발하는 회사는 즉시 보안을 공동 책임이자 조직의 모범 사례로 우선 순위에 두어야 합니다.건전한 DevSecOps 프로그램을 만들려면 시간이 걸리고 문화의 변화도 필요할 수 있지만 그만한 가치가 있는 결과를 얻을 수 있습니다.강력한 DevSecOps는 문제가 발생하기 훨씬 전에 취약점을 제거할 수 있습니다.
제품 및 소프트웨어를 구매하는 회사의 경우 DevSecOps를 도입한 회사를 지원하는 것이 가장 좋습니다.이렇게 하면 이러한 디바이스와 소프트웨어를 통해 획득한 디바이스와 소프트웨어가 점점 더 숙련되는 공격자의 악용을 기다리고 있는 시한폭탄을 방지하는 데 큰 도움이 될 것입니다.
확인해 보세요 시큐어 코드 워리어 블로그 페이지에서 DevSecOps에 대한 자세한 정보와 보안 결함 및 취약점으로 인한 피해로부터 조직과 고객을 보호하는 방법을 알아보세요.
Barco가 경험한 보안 버그에 대해 자세히 알아보고 싶으십니까?
다음과 같은 게임화된 챌린지를 플레이하세요:
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.TéléchargerRessources utiles pour débuter
Thèmes et contenus de la formation sur les codes de sécurité
Le contenu le plus pertinent du secteur évolue constamment pour s'adapter à l'environnement de développement logiciel en constante évolution, en tenant compte du rôle des clients. Des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité, tous les rôles sont couverts, de l'IA à l'injection XQuery. Veuillez consulter le catalogue de contenu pour découvrir ce qui est proposé par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources utiles pour débuter
Cybermon est de retour : la mission IA de défaite du boss est désormais disponible à la demande.
Cybermon 2025 Bit The Boss est désormais disponible toute l'année sur SCW. Renforcez le développement de l'IA de sécurité à grande échelle en déployant des défis de sécurité IA/LLM avancés.
Explication de la loi sur la cyber-résilience : l'importance de la conception sécurisée dans le développement de logiciels
Découvrez les exigences de la loi européenne sur la résilience des réseaux et des services (CRA), son champ d'application et comment votre équipe d'ingénieurs peut se préparer en toute sécurité grâce à la conception, aux pratiques, à la prévention des vulnérabilités et à la mise en place d'un environnement de développement.
Facteur de réussite n° 1 : des critères de réussite clairement définis et mesurables
Enabler 1 présente une série de dix articles consacrés aux facteurs de réussite, en démontrant comment le codage sécurisé peut améliorer les performances commerciales, notamment en accélérant la réduction des risques et des coûts pour la maturité des programmes à long terme.
