Sicherheitsübersicht Oktober 2020

Willkommen zur Oktober-Ausgabe der Sicherheitsübersicht von SSL.com! Für diese ganz besondere Halloween-Ausgabe haben wir unseren Inhalt genau gleich gehalten. Was ist gruseliger als digitale Sicherheitsbedenken und fehlerhafte Verschlüsselung?

Und wussten Sie, dass SSL.com jetzt auch einen E-Mail-Newsletter hat? Füllen Sie das folgende Formular aus, um zu erhalten PKI und solche digitalen Sicherheitsnachrichten sowie Informationen zu Produkten und Dienstleistungen von SSL.com. (Sie können sich jederzeit einfach abmelden, indem Sie auf klicken abmelden Link in jeder E-Mail, die wir senden.):




Die USA schließen sich sechs Ländern an, um den Zugang zur Backdoor-Verschlüsselung zu fordern

Wieder einmal fordern die Machthaber sogenannte „Hintertüren“ zur Verschlüsselung. Diesmal laut The VergeDie USA schließen sich Großbritannien, Australien, Neuseeland, Kanada, Indien und Japan an in einer internationalen Erklärung das bittet um Zugang für Strafverfolgungsbehörden. Russell Brandom schreibt:

Das Justizministerium hat eine lange Geschichte der Befürwortung von Verschlüsselungsschutz. Im Jahr 2018 äußerten fünf der sieben teilnehmenden Länder ähnliche Bedenken in einem offenen Memo gegenüber Technologieunternehmen, obwohl das Memo in der Branche kaum oder gar keine Fortschritte in dieser Frage zur Folge hatte. Auf Schritt und Tritt haben Technologieunternehmen darauf bestanden, dass jede für die Strafverfolgung gebaute Hintertür unweigerlich von Kriminellen angegriffen wird und die Benutzer letztendlich weniger sicher sind. Entscheidend ist, dass die sieben Länder nicht nur versuchen, während des Transports auf verschlüsselte Daten zuzugreifen - wie zum Beispiel die End- von WhatsApp verwendete To-End-Verschlüsselung - aber auch lokal gespeicherte Daten wie der Inhalt eines Telefons.

Es überrascht nicht, dass sich auch Technologieunternehmen und Befürworter des Datenschutzes gegen die Aussage ausgesprochen haben als andere Versuche, die Verschlüsselung zu vereiteln durch die Mächte, die sein.

Das Mitnehmen von SSL.com: Unabhängig davon, wie viele Briefe geschrieben werden, ist SSL.com nicht damit einverstanden, Hintertüren für die Verschlüsselung zu öffnen. Sie stellen nicht nur eine größere Bedrohung für die Sicherheit dar als ihre Abwesenheit, sondern untergraben auch die Privatsphäre auf echte und gefährliche Weise.

Android 11 verschärft die Einschränkungen für CA-Zertifikate

Tim Perry Berichte im Android Toolkit Dieses Android 11, das am 11. September veröffentlicht wurde, macht es „für jede App, jedes Debugging-Tool oder jede Benutzeraktion unmöglich, die Installation eines CA-Zertifikats aufzufordern, selbst im nicht vertrauenswürdigen, standardmäßig vom Benutzer verwalteten Zertifikatspeicher. Die einzige Möglichkeit, ein CA-Zertifikat jetzt zu installieren, besteht darin, eine Schaltfläche zu verwenden, die tief in den Einstellungen auf einer Seite versteckt ist, auf die Apps keine Verknüpfung herstellen können. “

Warum ist das wichtig? Obwohl die CA-Verwaltung sorgfältig kontrolliert werden sollte, gibt es potenzielle Gründe für Apps, Zugriff auf die Auswahl der vertrauenswürdigen Apps zu haben. Entwickler verwenden es zum Beispiel zum Testen, und diese Änderung macht das viel schwieriger. Dennoch ist es schwer zu argumentieren, dass die Änderung ein Verlust ist, wenn man sie durch die Linse der Sicherheit betrachtet. Apps, die Benutzer zur Installation auffordern Stammzertifikate Dies kann zu allen möglichen Problemen führen, z. B. dazu, dass Bösewichte Zugriff auf Websites erhalten, die sich als solche ausgeben und den Internetverkehr entschlüsseln.

Das Mitnehmen von SSL.com: Während Android-Entwickler möglicherweise ihre neu entdeckte Unfähigkeit beklagen, CA-Zertifikate über Apps zu installieren, kann eine Verschärfung der Kontrolle über die Zertifikatspeicher von Android auch als Sieg für die Privatsphäre angesehen werden. Sehen dieses Stück von der Electronic Frontier Foundation, die die detailliertere und explizitere Benutzeroberfläche von Android 11 für die Installation von Zertifikaten feiert.

Laut Zoom ist die End-to-End-Verschlüsselung bereit

Es war ein großes Jahr für Zoom, ein Unternehmen, das zuerst Schlagzeilen machte, um uns alle während der Pandemiesperre zu verbinden, und dann Schlagzeilen machte, um unerwünschten Menschen aus Sicherheitsgründen zu ermöglichen, sich auch mit allen zu verbinden. In einem kürzlich unternommenen Schritt zur Verbesserung von Datenschutz und Sicherheit hat Zoom angekündigt, dass die Implementierung der End-to-End-Verschlüsselung für eine Vorschau bereit ist.

Natürlich als Artikel von Simon Sharwood In The Register wird darauf hingewiesen, dass Zoom behauptete, im April eine eigene Marke für „End-to-End-Verschlüsselung“ zu haben, zu diesem Zeitpunkt jedoch die Anwendung von TLS und HTTPS bedeutete, dass Zoom selbst Chats abfangen und entschlüsseln konnte - der Datenverkehr wurde nur „vom Zoom-Endpunkt zum Zoom-Endpunkt“ verschlüsselt. Jetzt hat Zoom angekündigt es wird anbieten echte End-to-End-Verschlüsselung, die ihnen keinen Zugriff auf Chats ermöglicht.

Wie das Register feststellt, gibt es jedoch einen Haken:

Denken Sie nicht, dass die Vorschau bedeutet, dass Zoom die Sicherheit zunichte gemacht hat, denn das Unternehmen sagt: "Um sie nutzen zu können, müssen Kunden E2EE-Besprechungen auf Kontoebene aktivieren und sich pro Besprechung für E2EE anmelden." Um ständig daran erinnert zu werden, keine Müllkennwörter zu verwenden, nicht auf Phishing zu klicken oder Geschäftsdaten auf persönlichen Geräten zu verlieren, werden sie sich mit ziemlicher Sicherheit jedes Mal für E2EE entscheiden, ohne jemals dazu aufgefordert zu werden, oder?

[su-note class = ”info”]Das Mitnehmen von SSL.com: Als tägliche Zoom-Benutzer begrüßen wir Verbesserungen bei der fleckigen Sicherheitsbilanz. Die End-to-End-Verschlüsselung sollte jedoch eine Standardeinstellung sein, anstatt jedes Mal eine Option zu erfordern. [/ Su_note]

Beliebte mobile Browser und Safari sind anfällig für Spoofing-Angriffe in der Bar

In schlechten Nachrichten, die von Cybersicherheitsforschern veröffentlicht wurden, scheinen einige Browser-Adressleisten anfällig für Spoofing zu sein. Ravie Lakshmanan mit Die Hacker Nachrichten berichtet, dass Apple Safari und mobile Browser wie Opera Touch und Bolt offen für Spoofing sind, wodurch ahnungslose Benutzer anfällig für das Herunterladen von Malware und werden Phishing-Attacken. Lakshmanan schreibt:

Das Problem ergibt sich aus der Verwendung von böswilligem ausführbarem JavaScript-Code auf einer beliebigen Website, um den Browser zu zwingen, die Adressleiste zu aktualisieren, während die Seite noch an eine andere Adresse nach Wahl des Angreifers geladen wird. (A) Ein Angreifer kann eine böswillige Website einrichten und die Website anlocken Ziel ist es, den Link über eine gefälschte E-Mail oder Textnachricht zu öffnen, wodurch ein ahnungsloser Empfänger Malware herunterlädt oder riskiert, dass seine Anmeldeinformationen gestohlen werden.

Bis Ende Oktober hatten UCWeb und Bolt keine Korrekturen erhalten, eine Korrektur für Opera wurde im November erwartet und Safari hatte das Problem durch ein Update behoben.

Das Mitnehmen von SSL.com: Dies ist zwar nicht angenehm, sollte aber eine effektive Erinnerung sein, um Ihren Browser zu aktualisieren! Obwohl unsere Benutzer natürlich über die vielen jedes Jahr festgestellten Probleme mit der Browsersicherheit auf dem Laufenden bleiben, stellen regelmäßige Updates sicher, dass Sie jeden Patch erhalten.

SSL.com bietet eine Vielzahl von SSL /TLS Serverzertifikate für HTTPS-Websites.

VERGLEICHEN SSL /TLS ZERTIFIKATE

Abonnieren Sie den Newsletter von SSL.com

Verpassen Sie keine neuen Artikel und Updates von SSL.com

Wir würden uns über Ihr Feedback freuen

Nehmen Sie an unserer Umfrage teil und teilen Sie uns Ihre Meinung zu Ihrem letzten Kauf mit.