Bienvenido a la edición de mayo de SSL.com Resumen de seguridad, en el que recordamos el mes pasado en seguridad digital. Siga leyendo para conocer nuestra colección de lo que consideramos más importante durante los últimos 30 días, ¡y manténgase seguro en línea!
Nuevo tamaño mínimo de clave RSA para certificados de firma de código
En algunas de nuestras propias noticias, a partir del 31 de mayo de 2021, los certificados de firma de código y de firma de código EV de SSL.com requieren un tamaño mínimo de clave RSA de 3072 bits. Los certificados emitidos antes de esta fecha no se ven afectados por el cambio y funcionarán como de costumbre hasta su vencimiento. Lo hemos puesto todo para ti en un blog en el tema.
La orden ejecutiva de Biden pide una 'arquitectura de confianza cero'
En una orden ejecutiva firmado el 12 de mayo, el presidente de los Estados Unidos, Joe Biden, ha pedido oficialmente al gobierno federal que adopte una "arquitectura de confianza cero". ¿Qué significa esto? Esencialmente, la directiva intenta obtener una confianza fuera de lugar en las personas, el software y el hardware que es la base de muchas de las brechas de seguridad que han hecho que todos sean vulnerables a los ataques. Como Scott Shackelford informes para Pizarra, la creciente amenaza global de ransomware ha impactado al menos 2,354 veces, dirigido a todos, desde los gobiernos locales y las escuelas hasta los proveedores de atención médica. La orden de Biden les pide a estas instituciones que adopten una postura más paranoica y asuman que el peligro está en cada esquina, e incluso en la casa que uno pretende proteger. Del informe Slate:
La confianza en el contexto de las redes de computadoras se refiere a los sistemas que permiten que las personas u otras computadoras accedan con poca o ninguna verificación de quiénes son y si están autorizados para tener acceso. Zero Trust es un modelo de seguridad que da por sentado que las amenazas están omnipresentes dentro y fuera de las redes. La confianza cero, en cambio, se basa en la verificación continua a través de información de múltiples fuentes. Al hacerlo, este enfoque asume la inevitabilidad de una violación de datos. En lugar de centrarse exclusivamente en prevenir infracciones, la seguridad de confianza cero garantiza, en cambio, que el daño sea limitado y que el sistema sea resistente y pueda recuperarse rápidamente.
Todo es muy sensato y, sin embargo, existen barreras para implementar ampliamente un modelo de confianza cero. Puede ser difícil implementar el nuevo modelo en sistemas heredados e, incluso cuando es posible, a menudo es costoso. El modelo también va en contra de algunos sistemas que se utilizan ampliamente. Sin embargo, la orden ejecutiva, que se aplica solo a los sistemas gubernamentales, es un paso en la dirección de la seguridad y promete hacer esos sistemas más seguros en general.
'Un truco extraño' para frustrar a los piratas informáticos rusos
En un capricho de la tecnología, Krebs en notas de seguridad tanto malware no se instalará en equipos que tengan determinados teclados virtuales instalados, incluidos los rusos y ucranianos. En una discusión en Twitter, y luego en una publicación de blog, el experto en seguridad explicó que la gran mayoría de las cepas de ransomware tienen un mecanismo de seguridad para garantizar que el malware no infecte a los suyos. Desde el blog:
DarkSide y otros programas de generación de dinero de afiliados en idioma ruso han impedido durante mucho tiempo que sus asociados criminales instalen software malicioso en computadoras en una gran cantidad de países de Europa del Este, incluidos Ucrania y Rusia. Esta prohibición se remonta a los primeros días de la delincuencia cibernética organizada y tiene como objetivo minimizar el escrutinio y la interferencia de las autoridades locales.
Aparentemente, en Rusia, las autoridades se muestran reacias a iniciar una investigación por delito cibernético contra ciudadanos rusos a menos que un compatriota inicie la denuncia. Estos dispositivos de seguridad, entonces, son una forma práctica de mantener el calor apagado.
Cloudflare quiere acabar con los captchas
El mes pasado vio buenas noticias para aquellos que están cansados de que las computadoras les pidan que demuestren que ellos tampoco son máquinas. En un título convincente Publicación de blog de Cloudflare, Thibault Meunier declara, “La humanidad desperdicia alrededor de 500 años por día en CAPTCHA. Es hora de acabar con esta locura ". La publicación continúa explicando que Cloudflare quiere reemplazar los ubicuos y molestos CAPTCHA con un nuevo método que involucra claves de seguridad de hardware, como las claves FIPS de Yubikey que distribuye SSL.com Firma de código EV y firma de documentos certificados en.
Desde la perspectiva del usuario, una atestación criptográfica de personalidad funciona de la siguiente manera:
- El usuario accede a un sitio web protegido por Atestación Criptográfica de Persona, como cloudflarechallenge.com.
- Cloudflare es un desafío.
- El usuario hace clic en Soy humano (beta) y se le solicita un dispositivo de seguridad.
- El usuario decide utilizar una llave de seguridad de hardware.
- El usuario conecta el dispositivo a su computadora o lo toca en su teléfono para la firma inalámbrica (usando NFC).
- Se envía una atestación criptográfica a Cloudflare, lo que permite al usuario acceder al verificar la prueba de presencia de usuario.
En lugar de "500 años", completar este flujo lleva cinco segundos. Más importante aún, este desafío protege la privacidad de los usuarios, ya que la certificación no está vinculada de forma exclusiva al dispositivo del usuario.
Miles de extensiones de Chrome están manipulando los encabezados de seguridad.
A nuevo estudio ha descubierto que muchas extensiones de Chrome alteran los encabezados de seguridad de los sitios web, lo que pone en riesgo a los usuarios. Como Informes de Catalin Cimpanu para The Record, las extensiones, que se encuentran todas en Chrome Web Store, no lo hacen con malas intenciones:
El encabezado de seguridad más comúnmente deshabilitado fue CSP, un encabezado de seguridad que se desarrolló para permitir a los propietarios de sitios controlar qué recursos web puede cargar una página dentro de un navegador y una defensa típica que puede proteger sitios web y navegadores contra XSS y ataques de inyección de datos.
Según el equipo de investigación, en la mayoría de los casos que analizaron, las extensiones de Chrome deshabilitaron CSP y otros encabezados de seguridad "para introducir funcionalidades adicionales aparentemente benignas en la página web visitada", y no parecían ser de naturaleza maliciosa.
Sin embargo, incluso si las extensiones quisieran enriquecer la experiencia del usuario en línea, los académicos alemanes argumentaron que al manipular los encabezados de seguridad, todo lo que hicieron las extensiones fue exponer a los usuarios a ataques de otros scripts y sitios que se ejecutan dentro del navegador y en la web.
