Καλώς ήλθατε στην έκδοση Απριλίου του SSL.com Roundup, στην οποία ανατρέχουμε τον τελευταίο μήνα στην ψηφιακή ασφάλεια. Διαβάστε παρακάτω για τη συλλογή μας από αυτά που μας έπληξαν τις τελευταίες τέσσερις εβδομάδες και μείνετε ασφαλείς εκεί έξω!
Ξεκουραστείτε σε ειρήνη, Dan Kaminsky
Το SSL.com εντάσσεται στην κοινότητα της ασφάλειας στον κυβερνοχώρο στο πένθος του ερευνητή Νταν Καμίνσκι. Ο Νταν ήταν γνωστός για το 2008 ανακάλυψη ενός μεγάλου ελαττώματος στο Σύστημα ονομάτων τομέα (DNS) που επέτρεψε ένα ευρύ φάσμα επιθέσεων και θα μπορούσαν να κατευθύνουν τους άγνωστους χρήστες σε κακόβουλους ιστότοπους απατεώνων. Η έρευνά του περιελάμβανε επίσης αποκάλυψη τρωτών σημείων στον έλεγχο ταυτότητας X.509, ένα θεμέλιο του PKI και ψηφιακά πιστοποιητικά. Ο Kaminksy θυμήθηκε στο New York Times ως «σωτήρας ασφάλειας Διαδικτύου» σε μια συγκινητική νεκρολογία γραμμένο από τη Nicole Perlroth. Αυτή γράφει:
«Το Διαδίκτυο δεν σχεδιάστηκε ποτέ για να είναι ασφαλές», υπενθύμισε ο κ. Kaminsky σε συνέντευξη του 2016. «Το Διαδίκτυο σχεδιάστηκε για να μετακινεί φωτογραφίες γατών. Είμαστε πολύ καλοί στη μετακίνηση φωτογραφιών γατών. " Ωστόσο, πρόσθεσε: «Δεν νομίζαμε ότι θα μεταφέρετε τρισεκατομμύρια δολάρια σε αυτό. Τι θα κάνουμε? Και εδώ είναι η απάντηση: Μερικοί από εμάς πρέπει να βγουν έξω και να το διορθώσουν. "
Δημόσια εγγραφή beta του eSigner
Σε ειδήσεις από το δικό μας στρατόπεδο, το SSL.com προσκαλεί Υπογραφή κώδικα EV και υπογραφή εγγράφου πελάτες να συμμετάσχουν στο δημόσια beta of eSigner, Η νέα ενοποιημένη πλατφόρμα cloud του SSL.com για υπογραφή εγγράφων και κωδικών.
Το eSigner περιλαμβάνει:
- eSigner Express Εφαρμογή Ιστού GUI για υπογραφή εγγράφων και υπογραφή κώδικα EV
- API Cloud Signature Consortium (CSC) για υπογραφή εγγράφων και υπογραφή κώδικα EV
- CodeSignTool εργαλείο γραμμής εντολών για υπογραφή κώδικα EV
Οποιοδήποτε SSL.com Υπογραφή εγγράφου or Υπογραφή κώδικα EV το πιστοποιητικό μπορεί να εγγραφεί στο eSigner, επιτρέποντάς σας να υπογράψετε έγγραφα και κωδικούς από οποιαδήποτε συνδεδεμένη στο Διαδίκτυο συσκευή χωρίς διακριτικά USB, HSM ή PKI εξειδίκευση. Οι οργανισμοί μπορούν να ενσωματώσουν το eSigner με τις ροές εργασίας υπογραφής εγγράφων και κώδικα, συμπεριλαμβανομένου του αυτοματισμού CI / CD. Οι εκδότες λογισμικού και οι πάροχοι υπηρεσιών μπορούν να χρησιμοποιήσουν το eSigner για να προσφέρουν δυνατότητες ψηφιακής υπογραφής στους πελάτες τους.
Το eSigner θα είναι μια υπηρεσία βάσει συνδρομής όταν ξεκινά πλήρως. Ωστόσο, οι συμμετέχοντες σε beta θα αποκτήσουν πρώιμη πρόσβαση στα eSigner Express, CSC API και CodeSignTool χωρίς χρεώσεις συνδρομής πριν από την πλήρη εμπορική κυκλοφορία του eSigner. Για να εγγραφείτε, συμπληρώστε το Φόρμα εγγραφής eSigner beta και ένα μέλος της ομάδας SSL.com θα επικοινωνήσει μαζί σας για λεπτομέρειες.
Η IoXT Alliance ανακοινώνει νέο πρότυπο ασφάλειας εφαρμογών για κινητά
The ioXt (Διαδίκτυο ασφαλών πραγμάτων) Συμμαχία, μια βιομηχανική ομάδα που αναπτύσσει και υποστηρίζει πρότυπα ασφάλειας IoT, ανακοίνωσε ότι επεκτείνει το πρόγραμμα συμμόρφωσής του με ένα νέο πρότυπο ασφαλείας για εφαρμογές για κινητά. ο νέο προφίλ εφαρμογής για κινητά Περιλαμβάνει απαιτήσεις για εφαρμογές εικονικού ιδιωτικού δικτύου (VPN). Μπορείτε να διαβάσετε περισσότερα για το νέο πρότυπο στο Blog ασφαλείας της Google. Όπως το εξηγούν:
Το ioxt Mobile Application Profile παρέχει ένα ελάχιστο σύνολο βέλτιστων εμπορικών πρακτικών για όλες τις εφαρμογές συνδεδεμένες στο cloud που εκτελούνται σε κινητές συσκευές. Αυτή η βασική γραμμή ασφαλείας συμβάλλει στον μετριασμό από κοινές απειλές και μειώνει την πιθανότητα σημαντικών ευπαθειών. Το προφίλ αξιοποιεί τα υπάρχοντα πρότυπα και αρχές που καθορίζονται από το OWASP MASVS και το VPN Trust Initiative και επιτρέπει στους προγραμματιστές να διαφοροποιήσουν τις δυνατότητες ασφάλειας γύρω από την κρυπτογραφία, τον έλεγχο ταυτότητας, την ασφάλεια δικτύου και την ποιότητα του προγράμματος αποκάλυψης ευπάθειας. Το προφίλ παρέχει επίσης ένα πλαίσιο για την αξιολόγηση συγκεκριμένων απαιτήσεων κατηγορίας εφαρμογών που μπορεί να εφαρμοστούν με βάση τις λειτουργίες που περιλαμβάνονται στην εφαρμογή.
Όσον αφορά την υποδομή δημόσιου κλειδιού, ή PKI, τα νέα πρότυπα ζητούν να κρυπτογραφηθεί όλη η κίνηση του δικτύου και να επαληθευτεί TLS χρησιμοποιείται όταν είναι δυνατόν.
Απαιτήσεις ασφαλείας "Μαζική" παράκαμψη σφαλμάτων macOS
Βρέθηκε ένα ευπάθεια στο λειτουργικό σύστημα macOS της Apple που επέτρεψε στους εισβολείς να εγκαταστήσουν κακόβουλο λογισμικό χωρίς να προκαλέσουν προειδοποιήσεις ασφαλείας. Το σφάλμα επέτρεψε στους κακούς ηθοποιούς να παρακάμπτουν λειτουργίες ασφαλείας macOS όπως Gatekeeper, File Karuarantine και App Notarization για τον έλεγχο των υπολογιστών. Lorenzo Franceschi-Bicchierai κάλυψε το σφάλμα για τη μητρική πλακέτα του Vice Magazine σε ένα κομμάτι που τόνισε πόσο επικίνδυνη ήταν η ευπάθεια. Επειδή παρακάμπτει τις προειδοποιήσεις ασφαλείας, ένα διπλό κλικ από οποιονδήποτε χρήστη θα μπορούσε να εισαγάγει κακόβουλο λογισμικό. Και δεν είναι μόνο αυτό:
Το χειρότερο, τουλάχιστον μια ομάδα χάκερ εκμεταλλεύτηκε αυτό το σφάλμα για να μολύνει τα θύματα για μήνες, σύμφωνα με τον Jaron Bradley, οι εντοπισμοί οδηγούν στην εταιρεία ασφάλειας στον κυβερνοασφάλαιο Jamf Protect… «Μία από τις ανιχνεύσεις μας μας προειδοποίησε για αυτήν τη νέα παραλλαγή, και μετά από στενότερη επιθεώρηση, ανακαλύψαμε τη χρήση αυτού του bypass για να το επιτρέψει να εγκατασταθεί χωρίς προτροπή τελικού χρήστη », δήλωσε ο Bradley σε μια διαδικτυακή συνομιλία. «Περαιτέρω ανάλυση μας οδηγεί στο να πιστέψουμε ότι οι προγραμματιστές του κακόβουλου λογισμικού ανακάλυψαν τη μηδενική ημέρα και προσαρμόστηκαν το κακόβουλο λογισμικό τους για να το χρησιμοποιήσουν στις αρχές του 2021.»
Η Apple κυκλοφόρησε την έκδοση 11.3 του macOS, η οποία πρέπει να κατεβεί αμέσως, καθώς περιέχει ένα Κηλίδα για το σφάλμα. Μόλις το φροντίσετε, ίσως θέλετε να δείτε το αναλυτική μείωση Νταν Γκούντιν στις Ars Technica έχει γράψει για τον τρόπο με τον οποίο οι χάκερ εκμεταλλεύτηκαν την ευπάθεια εγκατάστασης κακόβουλου λογισμικού.
