Willkommen zur April-Ausgabe des SSL.com Roundup, in der wir auf den letzten Monat im Bereich der digitalen Sicherheit zurückblicken. Lesen Sie weiter für unsere Sammlung der Ereignisse der letzten vier Wochen und bleiben Sie dort draußen in Sicherheit!
Ruhe in Frieden, Dan Kaminsky
SSL.com schließt sich der Cybersecurity-Community an und trauert um Forscher Dan Kaminsky. Dan war am bekanntesten für sein 2008 Entdeckung eines großen Fehlers im Domain Name System (DNS), das eine Vielzahl von Angriffen zuließ und unwissende Benutzer auf böswillige Betrüger-Websites leiten konnte. Seine Forschung umfasste auch Aufdecken von Schwachstellen in der X.509-Authentifizierung eine Grundlage von PKI und digitale Zertifikate. Kaminksy wurde in der erinnert New York Times als "Internet-Sicherheitsretter" in einem rührenden Nachruf geschrieben von Nicole Perlroth. Sie schreibt:
"Das Internet wurde nie so konzipiert, dass es sicher ist", erinnerte sich Kaminsky in einem Interview von 2016. „Das Internet wurde entwickelt, um Bilder von Katzen zu bewegen. Wir sind sehr gut darin, Bilder von Katzen zu bewegen. “ Aber er fügte hinzu: „Wir dachten nicht, dass Sie Billionen von Dollar darauf setzen würden. Was werden wir machen? Und hier ist die Antwort: Einige von uns müssen rausgehen und es reparieren. “
Öffentliche Beta-Registrierung für eSigner
In Nachrichten aus unserem eigenen Camp lädt SSL.com ein EV-Codesignatur und Signieren von Dokumenten Kunden zur Teilnahme an der öffentliche beta of eSignierer, Die neue einheitliche Cloud-Plattform von SSL.com für die Signatur von Dokumenten und Code.
eSigner enthält:
- eSigner-Express GUI-Webanwendung zum Signieren von Dokumenten und EV-Code
- CSC-API (Cloud Signature Consortium) zum Signieren von Dokumenten und zum Signieren von EV-Codes
- CodeSignTool Befehlszeilentool für die EV-Codesignatur
Beliebiges SSL.com Signieren von Dokumenten or EV-Code-Signierung Das Zertifikat kann in eSigner registriert sein, sodass Sie Dokumente und Code von jedem mit dem Internet verbundenen Gerät ohne USB-Token, HSMs oder signieren können PKI Sachverstand. Unternehmen können eSigner in ihre Dokument- und Codesignatur-Workflows integrieren, einschließlich der CI / CD-Automatisierung. Softwarehersteller und Dienstleister können mit eSigner ihren Kunden digitale Signaturfunktionen anbieten.
eSigner ist ein abonnementbasierter Dienst, wenn er vollständig gestartet ist. Beta-Teilnehmer erhalten jedoch vor der vollständigen kommerziellen Veröffentlichung von eSigner frühzeitig und ohne Abonnementgebühren Zugriff auf eSigner Express, CSC API und CodeSignTool. Um sich anzumelden, füllen Sie bitte das aus eSigner Beta-Registrierungsformular Ein SSL.com-Teammitglied wird Sie mit Einzelheiten kontaktieren.
IoXT Alliance kündigt neuen Sicherheitsstandard für mobile Apps an
Das ioXt-Allianz (Internet der sicheren Dinge), eine Industriegruppe, die IoT-Sicherheitsstandards entwickelt und sich dafür einsetzt, hat angekündigt, dass es sein Compliance-Programm um einen neuen Sicherheitsstandard für mobile Apps erweitert. Das neues Profil für mobile Anwendungen Enthält Anforderungen für VPN-Anwendungen (Virtual Private Network). Weitere Informationen zum neuen Standard finden Sie auf der Google-Sicherheitsblog. Wie sie es erklären:
Das ioXt Mobile Application Profile bietet ein Minimum an kommerziellen Best Practices für alle Cloud-verbundenen Apps, die auf Mobilgeräten ausgeführt werden. Diese Sicherheitsgrundlage hilft, häufige Bedrohungen abzumildern, und verringert die Wahrscheinlichkeit erheblicher Sicherheitslücken. Das Profil nutzt vorhandene Standards und Prinzipien, die von OWASP MASVS und der VPN Trust Initiative festgelegt wurden, und ermöglicht Entwicklern, Sicherheitsfunktionen in Bezug auf Kryptografie, Authentifizierung, Netzwerksicherheit und Qualität des Programms zur Offenlegung von Sicherheitslücken zu unterscheiden. Das Profil bietet auch einen Rahmen zur Bewertung der spezifischen Anforderungen der App-Kategorie, die basierend auf den in der App enthaltenen Funktionen angewendet werden können.
In Bezug auf die Public-Key-Infrastruktur oder PKIDie neuen Standards verlangen, dass der gesamte Netzwerkverkehr verschlüsselt und überprüft wird TLS wird wenn möglich verwendet. Das neue Programm erzwingt auch das Fixieren von x509-Zertifikaten für Primärdienste.
'Massiver' macOS-Fehler umgeht die Sicherheitsanforderungen
Es wurde eine Sicherheitslücke im MacOS-Betriebssystem von Apple gefunden, durch die Angreifer Malware installieren konnten, ohne Sicherheitswarnungen auszulösen. Der Fehler ermöglichte es schlechten Schauspielern, zu umgehen macOS Sicherheitsfunktionen wie Gatekeeper, File Quarantine und App Notarization, um die Kontrolle über Computer zu übernehmen. Lorenzo Franceschi-Bicchierai deckte den Fehler ab für das Motherboard des Vice Magazine in einem Artikel, in dem betont wurde, wie gefährlich die Sicherheitsanfälligkeit war. Da Sicherheitswarnungen umgangen werden, kann ein Doppelklick eines beliebigen Benutzers Malware verursachen. Und das ist nicht alles:
Was noch schlimmer ist, mindestens eine Gruppe von Hackern nutzt diesen Fehler seit Monaten, um Opfer zu infizieren. Laut Jaron Bradley führen Erkennungen bei dem auf Apple fokussierten Cybersicherheitsunternehmen Jamf Protect an. Bei näherer Betrachtung haben wir festgestellt, dass dieser Bypass verwendet werden kann, damit er ohne Aufforderung des Endbenutzers installiert werden kann “, sagte Bradley in einem Online-Chat. "Weitere Analysen lassen vermuten, dass die Entwickler der Malware den Zero Day entdeckt und ihre Malware angepasst haben, um sie Anfang 2021 zu verwenden."
Apple hat die Version 11.3 von macOS veröffentlicht, die sofort heruntergeladen werden sollte, da sie eine enthält Flicken für den Fehler. Sobald dies erledigt ist, sollten Sie sich das ansehen detaillierter Überblick Dan Goodin bei Ars Technica hat darüber geschrieben, wie Hacker die Sicherheitslücke ausnutzten, um Malware zu installieren.
