Sicherheitsübersicht Mai 2021

Längere Codesignaturschlüssel, Executive Order "Zero Trust", Sicherheit durch russische Tastatur, Ende von CAPTCHAS und Sicherheit der Chrome-Erweiterung (in).

Verwandte Inhalte

Willst du weiter lernen?

Abonnieren Sie den Newsletter von SSL.com, bleiben Sie informiert und sicher.

Willkommen zur Mai-Ausgabe von SSL.com Sicherheitsübersicht, in dem wir auf den vergangenen Monat in der digitalen Sicherheit zurückblicken. Lesen Sie weiter für unsere Sammlung der wichtigsten Informationen der letzten 30 Tage und bleiben Sie online sicher!

Neue minimale RSA-Schlüsselgröße für Codesignaturzertifikate

In einigen unserer eigenen Nachrichten zum 31. Mai 2021 erfordern Codesignatur- und EV-Codesignaturzertifikate von SSL.com eine minimale RSA-Schlüsselgröße von 3072 Bit. Vor diesem Datum ausgestellte Zertifikate sind von der Änderung nicht betroffen und funktionieren bis zum Ablauf wie gewohnt. Wir haben alles für Sie in einem Blog-Post zu diesem Thema.

Biden Executive Order fordert "Zero Trust Architecture"

In einem oberster Befehl US-Präsident Joe Biden, der am 12. Mai unterzeichnet wurde, hat die Bundesregierung offiziell aufgefordert, eine „Null-Vertrauens-Architektur“ einzuführen. Was bedeutet das? Im Wesentlichen versucht die Richtlinie, falsches Vertrauen in Menschen, Software und Hardware zu schaffen, das die Grundlage für viele der Sicherheitsverletzungen ist, die alle für Angriffe anfällig gemacht haben. Als Scott Shackelford Berichte für Schiefer, die wachsende globale Bedrohung durch Ransomware hat mindestens 2,354 Mal getroffen und richtet sich an alle, von lokalen Regierungen und Schulen bis hin zu Gesundheitsdienstleistern. Bidens Befehl fordert diese Institutionen auf, eine paranoidere Haltung einzunehmen und davon auszugehen, dass an jeder Ecke Gefahren lauern – und sogar in dem Haus, das man schützen möchte. Aus dem Slate-Bericht:

Vertrauen im Kontext von Computernetzwerken bezieht sich auf Systeme, die Personen oder anderen Computern den Zugriff ermöglichen, ohne oder mit geringer Überprüfung, wer sie sind und ob sie zum Zugriff berechtigt sind. Zero Trust ist ein Sicherheitsmodell, bei dem Bedrohungen innerhalb und außerhalb von Netzwerken allgegenwärtig sind. Zero Trust beruht stattdessen auf einer kontinuierlichen Überprüfung anhand von Informationen aus mehreren Quellen. Dabei geht dieser Ansatz von der Unvermeidlichkeit eines Datenverstoßes aus. Anstatt sich ausschließlich auf die Verhinderung von Sicherheitsverletzungen zu konzentrieren, sorgt die Zero-Trust-Sicherheit dafür, dass der Schaden begrenzt wird und das System ausfallsicher ist und schnell wiederhergestellt werden kann.

Es ist alles sehr vernünftig, und dennoch gibt es Hindernisse für die umfassende Implementierung eines Null-Vertrauens-Modells. Es kann schwierig sein, das neue Modell in Legacy-Systeme zu implementieren, und selbst wenn dies möglich ist, ist es häufig kostspielig. Das Modell läuft auch einigen weit verbreiteten Systemen zuwider. Die Ausführungsverordnung, die nur für Regierungssysteme gilt, ist jedoch ein Schritt in Richtung Sicherheit und verspricht, diese Systeme insgesamt sicherer zu machen. 

TakLway von SSL.com: Passwörter allein sind nicht mehr sicher genug. Zusätzlich zu Techniken wie zeitbasierten OTP-Codes, Client-Zertifikate sind eine großartige Möglichkeit, einen Authentifizierungsfaktor hinzuzufügen, der gegen Phishing- und Brute-Force-Angriffe resistent ist. Weitere Informationen finden Sie unter Authentifizierung von Benutzern und IoT-Geräten mit Gegenseitigkeit TLS.

"Ein seltsamer Trick", um russische Hacker zu vereiteln

In einer Eigenart der Technologie, Krebs über Sicherheitshinweise Auf Computern, auf denen bestimmte virtuelle Tastaturen installiert sind, einschließlich russischer und ukrainischer, wird nicht so viel Malware installiert. In einer Twitter-Diskussion und später in einem Blog-Beitrag erklärte der Sicherheitsexperte, dass die überwiegende Mehrheit der Ransomware-Stämme ausfallsicher ist, um sicherzustellen, dass Malware nicht ihre eigene infiziert. Von dem Blog:

DarkSide und andere russischsprachige Partner-Moneymaking-Programme haben ihre kriminellen Mitarbeiter lange Zeit daran gehindert, schädliche Software auf Computern in einer Vielzahl osteuropäischer Länder, einschließlich der Ukraine und Russland, zu installieren. Dieses Verbot stammt aus den frühesten Tagen der organisierten Internetkriminalität und soll die Kontrolle und Einmischung lokaler Behörden minimieren.

Offensichtlich zögern die Behörden in Russland, Ermittlungen gegen russische Staatsangehörige im Bereich der Internetkriminalität einzuleiten, es sei denn, ein Landsmann leitet die Beschwerde ein. Solche Failafes sind also ein praktischer Weg, um die Hitze fernzuhalten.

Das Mitnehmen von SSL.com: Ist die Installation einer virtuellen russischen Tastatur auf Ihrem System ein Allheilmittel für die Sicherheit? Überhaupt nicht, aber es wird auch nicht weh tun.

Cloudflare will mit Captchas weg

Im letzten Monat gab es gute Nachrichten für diejenigen, die keine Lust mehr auf Computer haben und sie bitten zu beweisen, dass auch sie keine Maschinen sind. In einem zwingenden Titel Cloudflare-BlogbeitragThibault Meunier erklärt: „Die Menschheit verschwendet ungefähr 500 Jahre pro Tag mit CAPTCHAs. Es ist Zeit, diesen Wahnsinn zu beenden. “ In diesem Beitrag wird weiter erläutert, dass Cloudflare allgegenwärtige, nervige CAPTCHAs durch eine neue Methode mit Hardware-Sicherheitsschlüsseln ersetzen möchte, z. B. die von SSL.com verteilten Yubikey-FIPS-Schlüssel EV-Codesignatur und dem Signieren von Dokumenten Zertifikate auf.

Aus Anwendersicht funktioniert eine kryptografische Bescheinigung der Persönlichkeit wie folgt:

  1. Der Benutzer greift auf eine Website zu, die durch eine kryptografische Bescheinigung der Persönlichkeit geschützt ist, wie z cloudflarechallenge.com.
  2. Cloudflare ist eine Herausforderung.
  3. Der Benutzer klickt auf Ich bin ein Mensch (Beta) und wird zur Eingabe eines Sicherheitsgeräts aufgefordert.
  4. Der Benutzer entscheidet sich für die Verwendung eines Hardware-Sicherheitsschlüssels.
  5. Der Benutzer steckt das Gerät in seinen Computer ein oder tippt es zur drahtlosen Signatur (mithilfe von NFC) auf sein Telefon.
  6. Eine kryptografische Bescheinigung wird an Cloudflare gesendet, die es dem Benutzer ermöglicht, nach Überprüfung der zu bestätigen Benutzerpräsenz-Test.

Anstelle von „500 Jahren“ dauert es fünf Sekunden, bis dieser Ablauf abgeschlossen ist. Noch wichtiger ist, dass diese Herausforderung die Privatsphäre der Benutzer schützt, da die Bescheinigung nicht eindeutig mit dem Gerät des Benutzers verknüpft ist.

Das Mitnehmen von SSL.com: Wir hassen CAPTCHAs auch, auch wenn „Cryptographic Attestation of Personhood“ einen gruseligen Klang hat.

Tausende Chrome-Erweiterungen manipulieren Sicherheitskopfzeilen

A neue Studie hat festgestellt, dass viele Chrome-Erweiterungen die Sicherheitsheader der Website manipulieren und die Benutzer gefährden. Wie Catalin Cimpanu berichtet für Die RecordDie Erweiterungen, die alle im Chrome Web Store zu finden sind, tun dies nicht alle mit bösen Absichten: 

Der am häufigsten deaktivierte Sicherheitsheader war CSP, ein Sicherheitsheader, der entwickelt wurde, damit Websitebesitzer steuern können, welche Webressourcen eine Seite in einem Browser laden darf, und eine typische Verteidigung, die Websites und Browser vor XSS- und Dateninjektionsangriffen schützen kann.

Laut dem Forschungsteam haben die Chrome-Erweiterungen in den meisten von ihnen analysierten Fällen CSP und andere Sicherheitsheader deaktiviert, um „zusätzliche scheinbar harmlose Funktionen auf der besuchten Webseite einzuführen“, und sie schienen nicht böswilliger Natur zu sein.

Selbst wenn die Erweiterungen die Online-Benutzererfahrung bereichern wollten, argumentierten die deutschen Wissenschaftler, dass durch die Manipulation von Sicherheitsheadern die Erweiterungen lediglich dazu dienten, Benutzer Angriffen anderer Skripte und Websites auszusetzen, die im Browser und im Web ausgeführt werden.

Das Mitnehmen von SSL.com: Wir verstehen den Wunsch der Entwickler, Benutzern zusätzliche Funktionen zur Verfügung zu stellen, halten es jedoch, gelinde gesagt, für ratsam, solche Sicherheitsfunktionen von Websites zu manipulieren.

 

Wir würden uns über Ihr Feedback freuen

Nehmen Sie an unserer Umfrage teil und teilen Sie uns Ihre Meinung zu Ihrem letzten Kauf mit.