Καλώς ήλθατε στην έκδοση Μαΐου του SSL.com Ενημέρωση ασφαλείας, στον οποίο κοιτάζουμε πίσω τον τελευταίο μήνα στην ψηφιακή ασφάλεια. Διαβάστε παρακάτω για τη συλλογή μας από αυτά που βρήκαμε πιο σημαντικά τις τελευταίες 30 ημέρες και μείνετε ασφαλείς στο διαδίκτυο!
Νέο ελάχιστο μέγεθος κλειδιού RSA για πιστοποιητικά υπογραφής κώδικα
Σε μερικές από τις δικές μας ειδήσεις, από τις 31 Μαΐου 2021, τα πιστοποιητικά υπογραφής κώδικα και υπογραφής κώδικα EV από το SSL.com απαιτούν ένα ελάχιστο μέγεθος κλειδιού RSA 3072 bit. Τα πιστοποιητικά που έχουν εκδοθεί πριν από αυτήν την ημερομηνία δεν επηρεάζονται από την αλλαγή και θα λειτουργούν ως συνήθως μέχρι τη λήξη. Τα έχουμε σχεδιάσει όλα για εσάς σε ένα ανάρτηση σχετικά με το θέμα.
Η Biden Executive Order ζητά «Zero Trust Architecture»
Σε μία εκτελεστικό διάταγμα υπέγραψε στις 12 Μαΐου, ο Πρόεδρος των ΗΠΑ Τζο Μπάιντεν ζήτησε επισήμως από την ομοσπονδιακή κυβέρνηση να υιοθετήσει μια «αρχιτεκτονική μηδενικής εμπιστοσύνης». Τι σημαίνει αυτό? Ουσιαστικά, η οδηγία προσπαθεί να πάρει εσφαλμένη εμπιστοσύνη σε ανθρώπους, λογισμικό και υλικό που είναι η βάση για πολλές από τις παραβιάσεις ασφαλείας που έχουν κάνει όλους ευάλωτους σε επιθέσεις. Ως Scott Shackelford αναφορές για Σχιστόλιθος, η αυξανόμενη παγκόσμια απειλή του ransomware έχει χτυπήσει τουλάχιστον 2,354 φορές, στοχεύοντας όλους από τις τοπικές κυβερνήσεις και τα σχολεία σε παρόχους υγειονομικής περίθαλψης. Η εντολή του Μπάιντεν ζητά από αυτά τα θεσμικά όργανα να πάρουν μια πιο παρανοϊκή στάση και να υποθέσουν ότι ο κίνδυνος βρίσκεται σε κάθε γωνία - και ακόμη και στο σπίτι που κάποιος σκοπεύει να προστατεύσει. Από την αναφορά Slate:
Η εμπιστοσύνη στο πλαίσιο των δικτύων υπολογιστών αναφέρεται σε συστήματα που επιτρέπουν σε άτομα ή σε άλλους υπολογιστές να έχουν πρόσβαση με ελάχιστη ή καθόλου επαλήθευση του ποιοι είναι και εάν είναι εξουσιοδοτημένοι να έχουν πρόσβαση. Το Zero Trust είναι ένα μοντέλο ασφαλείας που θεωρείται δεδομένο ότι οι απειλές είναι πανταχού παρούσες εντός και εκτός των δικτύων. Η μηδενική εμπιστοσύνη βασίζεται στη συνεχή επαλήθευση μέσω πληροφοριών από πολλές πηγές. Με αυτόν τον τρόπο, αυτή η προσέγγιση προϋποθέτει την αναπόφευκτη παραβίαση δεδομένων. Αντί να επικεντρώνεται αποκλειστικά στην αποτροπή παραβιάσεων, η ασφάλεια μη εμπιστοσύνης διασφαλίζει ότι η ζημιά είναι περιορισμένη και ότι το σύστημα είναι ανθεκτικό και μπορεί να ανακάμψει γρήγορα.
Όλα είναι πολύ λογικά, ωστόσο υπάρχουν εμπόδια στην ευρεία εφαρμογή ενός μοντέλου μηδενικής εμπιστοσύνης. Μπορεί να είναι δύσκολο να εφαρμοστεί το νέο μοντέλο σε παλαιά συστήματα και, ακόμη και όταν είναι δυνατόν, είναι συχνά δαπανηρό. Το μοντέλο έρχεται επίσης σε αντίθεση με ορισμένα συστήματα που χρησιμοποιούνται ευρέως. Ωστόσο, η εκτελεστική εντολή - που ισχύει μόνο για κυβερνητικά συστήματα - είναι ένα βήμα προς την κατεύθυνση της ασφάλειας και υπόσχεται να κάνει αυτά τα συστήματα ασφαλέστερα συνολικά.
«Ένα παράξενο κόλπο» για να ξεγελάσει τους Ρώσους χάκερ
Σε ένα τρελό της τεχνολογίας, Krebs στις σημειώσεις ασφαλείας ότι πολύ κακόβουλο λογισμικό δεν θα εγκατασταθεί σε υπολογιστές που έχουν εγκαταστήσει ορισμένα εικονικά πληκτρολόγια, συμπεριλαμβανομένων ρωσικών και ουκρανικών. Σε μια συζήτηση στο Twitter, και αργότερα σε μια ανάρτηση ιστολογίου, ο εμπειρογνώμονας ασφαλείας εξήγησε ότι η συντριπτική πλειονότητα των στελεχών ransomware έχει μια αποτυχία να διασφαλίσει ότι το κακόβουλο λογισμικό δεν μολύνει τα δικά του. Από το ιστολόγιο:
Το DarkSide και άλλα ρωσικά-γλωσσικά προγράμματα δημιουργίας χρημάτων έχουν απαγορεύσει εδώ και καιρό τους εγκληματικούς συνεργάτες τους από την εγκατάσταση κακόβουλου λογισμικού σε υπολογιστές σε μια σειρά από χώρες της Ανατολικής Ευρώπης, συμπεριλαμβανομένης της Ουκρανίας και της Ρωσίας. Αυτή η απαγόρευση χρονολογείται από τις πρώτες μέρες του οργανωμένου εγκλήματος στον κυβερνοχώρο και αποσκοπεί στην ελαχιστοποίηση του ελέγχου και της παρέμβασης από τις τοπικές αρχές.
Προφανώς, στη Ρωσία οι αρχές είναι απρόθυμες να ξεκινήσουν έρευνα σχετικά με το έγκλημα στον κυβερνοχώρο εναντίον Ρώσων υπηκόων, εκτός εάν κάποιος συμπατριώτης υποβάλλει την καταγγελία. Τέτοιες αποτυχίες, λοιπόν, είναι ένας πρακτικός τρόπος για να κρατήσετε τη θερμότητα μακριά.
Το Cloudflare θέλει να κάνει μακριά με το Captchas
Τον περασμένο μήνα είδα καλά νέα για όσους έχουν κουραστεί από υπολογιστές που τους ζητούν να αποδείξουν ότι και αυτοί δεν είναι μηχανές. Σε έναν επιβλητικό τίτλο Ανάρτηση ιστολογίου Cloudflare, Ο Thibault Meunier δηλώνει, «Η ανθρωπότητα σπαταλά περίπου 500 χρόνια την ημέρα σε CAPTCHAs. Ήρθε η ώρα να τελειώσει αυτή η τρέλα. " Η ανάρτηση συνεχίζει να εξηγεί ότι το Cloudflare θέλει να αντικαταστήσει πανταχού παρόντα, ενοχλητικά CAPTCHA με μια νέα μέθοδο που περιλαμβάνει κλειδιά ασφαλείας υλικού, όπως τα κλειδιά Yubikey FIPS που διανέμει το SSL.com. Υπογραφή κώδικα EV και υπογραφή εγγράφου πιστοποιητικά στις.
Από τη σκοπιά του χρήστη, μια κρυπτογραφική βεβαίωση της προσωπικότητας λειτουργεί ως εξής:
- Ο χρήστης αποκτά πρόσβαση σε έναν ιστότοπο που προστατεύεται από την κρυπτογραφική βεβαίωση της προσωπικότητας, όπως cloudflarechallenge.com.
- Το Cloudflare εξυπηρετεί μια πρόκληση.
- Ο χρήστης κάνει κλικ στο "Είμαι άνθρωπος" (beta) και μου ζητείται μια συσκευή ασφαλείας.
- Ο χρήστης αποφασίζει να χρησιμοποιήσει ένα κλειδί ασφαλείας υλικού.
- Ο χρήστης συνδέει τη συσκευή στον υπολογιστή του ή την αγγίζει στο τηλέφωνό του για ασύρματη υπογραφή (χρησιμοποιώντας NFC).
- Μια κρυπτογραφική βεβαίωση αποστέλλεται στο Cloudflare, το οποίο επιτρέπει στο χρήστη να εισέλθει κατά την επαλήθευση του δοκιμή παρουσίας χρήστη.
Αντί για "500 χρόνια", η ολοκλήρωση αυτής της ροής διαρκεί πέντε δευτερόλεπτα. Το πιο σημαντικό, αυτή η πρόκληση προστατεύει το απόρρητο των χρηστών, καθώς η βεβαίωση δεν συνδέεται μοναδικά με τη συσκευή του χρήστη.
Χιλιάδες επεκτάσεις Chrome παραβιάζουν κεφαλίδες ασφαλείας
A νέα μελέτη διαπίστωσε ότι πολλές επεκτάσεις Chrome παραβιάζουν κεφαλίδες ασφαλείας ιστότοπου, θέτοντας σε κίνδυνο τους χρήστες. Οπως και Αναφέρει ο Catalin Cimpanu για Η εγγραφή, οι επεκτάσεις, οι οποίες βρίσκονται όλες στο Chrome Web Store, δεν το κάνουν όλες με κακές προθέσεις:
Η πιο συχνά απενεργοποιημένη κεφαλίδα ασφαλείας ήταν το CSP, μια κεφαλίδα ασφαλείας που αναπτύχθηκε για να επιτρέπει στους κατόχους ιστότοπων να ελέγχουν τους πόρους ιστού που επιτρέπεται να φορτώνει μια σελίδα μέσα σε ένα πρόγραμμα περιήγησης και μια τυπική άμυνα που μπορεί να προστατεύσει ιστότοπους και προγράμματα περιήγησης από XSS και επιθέσεις έγχυσης δεδομένων.
Σύμφωνα με την ερευνητική ομάδα, στις περισσότερες από τις περιπτώσεις που ανέλυσαν, οι επεκτάσεις Chrome απενεργοποίησαν το CSP και άλλες κεφαλίδες ασφαλείας «για να εισαγάγουν επιπλέον φαινομενικά καλοήθεις λειτουργίες στην ιστοσελίδα που επισκεφτήκατε» και δεν φαινόταν να έχουν κακόβουλο χαρακτήρα.
Ωστόσο, ακόμη και αν οι επεκτάσεις ήθελαν να εμπλουτίσουν την εμπειρία ενός χρήστη στο διαδίκτυο, οι Γερμανοί ακαδημαϊκοί ισχυρίστηκαν ότι, παραβιάζοντας τις κεφαλίδες ασφαλείας, όλες οι επεκτάσεις ήταν να εκθέσουν τους χρήστες σε επιθέσεις από άλλα σενάρια και ιστότοπους που εκτελούνται στο πρόγραμμα περιήγησης και στον ιστό.