Bienvenido a la edición de abril del resumen de SSL.com, en el que recordamos el mes pasado en seguridad digital. Siga leyendo para conocer nuestra colección de lo que nos sorprendió durante las últimas cuatro semanas, ¡y manténgase a salvo!
Descanse en paz, Dan Kaminsky
SSL.com se une a la comunidad de ciberseguridad en luto investigador dan kaminsky. Dan fue mejor conocido por su 2008 descubrimiento de un defecto importante en el Sistema de nombres de dominio (DNS) que permitía una amplia gama de ataques y podía dirigir a los usuarios desconocidos a sitios de impostores malintencionados. Su investigación también incluyó descubriendo vulnerabilidades en la autenticación X.509, una base de PKI y certificados digitales. Kaminksy fue recordado en el New York Times como un "salvador de la seguridad en Internet" en un conmovedor obituario escrito por Nicole Perlroth. Ella escribe:
"Internet nunca fue diseñado para ser seguro", recordó Kaminsky en una entrevista de 2016. “Internet fue diseñado para mover imágenes de gatos. Somos muy buenos para las imágenes en movimiento de gatos ". Pero agregó: “No pensamos que estarías moviendo billones de dólares en esto. ¿Qué vamos a hacer? Y aquí está la respuesta: algunos de nosotros tenemos que salir y arreglarlo ".
Registro de la beta pública de eSigner
En novedades de nuestro propio campamento, SSL.com invita Firma de código EV y firma de documentos clientes a participar en el versión beta pública of firmante electrónico, La nueva plataforma en la nube unificada de SSL.com para la firma de documentos y códigos.
eSigner incluye:
- firma electrónica exprés Aplicación web GUI para firma de documentos y firma de código EV
- API de Cloud Signature Consortium (CSC) para firma de documentos y firma de código EV
- Herramienta CodeSign herramienta de línea de comandos para la firma de código EV
Cualquier SSL.com Firma de documentos or Firma de código EV El certificado se puede inscribir en eSigner, lo que le permite firmar documentos y código desde cualquier dispositivo conectado a Internet sin tokens USB, HSM o PKI pericia. Las organizaciones pueden integrar eSigner con sus flujos de trabajo de firma de códigos y documentos, incluida la automatización de CI / CD. Los editores de software y los proveedores de servicios pueden utilizar eSigner para ofrecer capacidades de firma digital a sus clientes.
eSigner será un servicio basado en suscripción cuando se lance por completo. Sin embargo, los participantes beta obtendrán acceso temprano a eSigner Express, CSC API y CodeSignTool sin cargos de suscripción antes del lanzamiento comercial completo de eSigner. Para registrarse, complete el Formulario de registro beta de eSigner y un miembro del equipo de SSL.com se comunicará con usted para brindarle los detalles.
IoXT Alliance anuncia un nuevo estándar de seguridad de aplicaciones móviles
El Alianza ioXt (Internet de las cosas seguras), un grupo de la industria que desarrolla y aboga por los estándares de seguridad de IoT, ha anunciado que está ampliando su programa de cumplimiento con un nuevo estándar de seguridad para aplicaciones móviles. La nuevo perfil de aplicación móvil incluye requisitos para aplicaciones de red privada virtual (VPN). Puede leer más sobre el nuevo estándar en el Blog de seguridad de Google. Como lo explican:
El perfil de aplicación móvil ioXt proporciona un conjunto mínimo de mejores prácticas comerciales para todas las aplicaciones conectadas a la nube que se ejecutan en dispositivos móviles. Esta línea de base de seguridad ayuda a mitigar las amenazas comunes y reduce la probabilidad de vulnerabilidades significativas. El perfil aprovecha los estándares y principios existentes establecidos por OWASP MASVS y la VPN Trust Initiative, y permite a los desarrolladores diferenciar las capacidades de seguridad en torno a la criptografía, la autenticación, la seguridad de la red y la calidad del programa de divulgación de vulnerabilidades. El perfil también proporciona un marco para evaluar los requisitos específicos de la categoría de la aplicación que se pueden aplicar en función de las funciones contenidas en la aplicación.
En términos de infraestructura de clave pública, o PKI, los nuevos estándares exigen que todo el tráfico de la red esté encriptado y verificado TLS se utiliza cuando es posible. El nuevo programa también aplica la fijación de certificados x509 para los servicios primarios.
El error 'masivo' de macOS evita los requisitos de seguridad
Se encontró una vulnerabilidad en el sistema operativo macOS de Apple que permitía a los atacantes instalar malware sin activar advertencias de seguridad. El error permitió que los malos actores pasaran por alto características de seguridad de macOS como Gatekeeper, File Quarantine y App Notarization para tomar el control de las computadoras. Lorenzo Franceschi-Bicchierai cubrió el error para la placa base de Vice Magazine en un artículo que enfatizaba lo peligrosa que era la vulnerabilidad. Debido a que pasó por alto las advertencias de seguridad, un doble clic por parte de cualquier usuario podría introducir malware. Y eso no es todo:
Lo que es peor, al menos un grupo de piratas informáticos se ha aprovechado de este error para infectar a las víctimas durante meses, según Jaron Bradley, líder de detecciones en la empresa de ciberseguridad Jamf Protect ... “Una de nuestras detecciones nos alertó sobre esta nueva variante, y después de una inspección más cercana, descubrimos el uso de este bypass para permitir su instalación sin un aviso para el usuario final ”, dijo Bradley en un chat en línea. "Un análisis más detallado nos lleva a creer que los desarrolladores del malware descubrieron el día cero y ajustaron su malware para usarlo a principios de 2021".
Apple ha lanzado la versión 11.3 de macOS, que debe descargarse de inmediato, ya que contiene un parche por el error. Una vez que se haya solucionado, es posible que desee consultar el resumen detallado Dan Goodin en Ars Technica ha escrito sobre cómo los piratas informáticos aprovecharon la vulnerabilidad para instalar malware.
