¡Bienvenido a la edición de enero del resumen de seguridad de SSL.com! El primer mes de 2021 ha estado bastante lleno de acción, en cuanto a noticias. Y eso incluye noticias sobre seguridad digital y fallas de cifrado, por lo que reunimos algunas historias de año nuevo para usted:
La NSA emite recomendaciones de DNS cifrado empresarial
Este mes, la Agencia de Seguridad Nacional emitió nuevas recomendaciones [Enlace PDF] sobre DNS sobre HTTPS (DoH) en entornos empresariales. Como tenemos mencionado antes, DoH evita la escucha clandestina de consultas y respuestas de DNS, que históricamente se han enviado como texto sin formato.
La implementación de DoH presenta desafíos especiales para las redes empresariales. La NSA comunicado de prensa sobre las recomendaciones afirman que:
Incluso si la empresa no los adoptó formalmente, los navegadores más nuevos y otro software pueden intentar usar DNS encriptados de todos modos y eludir las defensas tradicionales basadas en DNS de la empresa ... Si bien es bueno para garantizar la privacidad en las redes domésticas, DoH puede presentar riesgos para las redes empresariales si no es así. t implementado apropiadamente.
...
La NSA recomienda que el tráfico de DNS de una red empresarial, cifrado o no, se envíe solo al sistema de resolución de DNS empresarial designado. Esto garantiza el uso adecuado de los controles de seguridad empresariales esenciales, facilita el acceso a los recursos de la red local y protege la información de la red interna. Todos los demás solucionadores de DNS deben desactivarse y bloquearse.
El documento también advierte que DoH "no es una panacea" e insta a los administradores a permanecer atentos a una falsa sensación de seguridad: "DoH no garantiza la protección contra la ley de amenazas cibernéticasos y su capacidad para ver hacia dónde se dirige un cliente en la web ". La agencia también señala que, si no se implementa con cuidado, el Departamento de Salud puede interferir con la inspección de tráfico relacionada con la seguridad de las propias empresas.
Apple elimina la "función" de derivación del firewall en macOS
Recuerda camino de regreso Noviembre ¿Cuándo Apple tomó la impopular decisión de permitir que sus propias aplicaciones eludieran los firewalls y otras aplicaciones de terceros? Bueno, este año, Apple ha decidido no volver a hacer eso. Como informó Ravie Lakshmanan por Las noticias de Hacker, el problema llamó la atención por primera vez en el otoño, después del lanzamiento de Big Sur, y provocó advertencias de que la opción "estaba lista para el abuso ... un atacante podría aprovecharla para exfiltrar datos confidenciales llevándolos a aplicaciones legítimas de Apple incluidas en la lista y luego pasar por alto los firewalls y el software de seguridad ". El artículo cita a Patrick Wardle, investigador principal de seguridad con JAMF, sobre la marcha atrás de Apple: "Después de mucha mala prensa y muchos informes de errores / comentarios a Apple por parte de desarrolladores como yo, parece que las mentes más sabias (más conscientes de la seguridad) en Cupertino prevalecieron".
Adobe Flash finalmente ha terminado
Como nuestros navegadores nos han estado advirtiendo desde siempre, Adobe Flash se acabó. O, como el muy de Simon Sharwood titular dramático proclama en The Register, "Eso es todo. Se acabó. Realmente se acabó. A partir de hoy, Adobe Flash Player ya no funciona. Eran libres. Podemos irnos ... Después de Flashpocalypse, tropezamos afuera, esperando que nadie vuelva a crear software tan inseguro como ese."A partir del 12 de enero de 2021, cualquier persona que intente acceder al contenido de Flash Player de Adobe verá un" aviso de muerte "que lleva a una" página de información general de fin de vida útil "donde," Adobe recomienda encarecidamente a todos los usuarios que desinstalen Flash Player de inmediato para ayudar a proteger sus sistemas ".
Como el artículo de Register elogia a Flash, el software fue una herramienta invaluable durante décadas hasta que su inseguridad se volvió insoportable:
En 2005, Adobe, que para entonces ya se había dado cuenta de que el contenido en línea iba a ser más grande que la autoedición, adquirió Macromedia en parte para tener en sus manos Flash.
Hacerlo ayudó a Adobe a consolidar su papel como el estándar de facto para las herramientas creativas. Pero Adobe también sufrió una carga de seguridad cada vez mayor porque Flash no estaba bien construido. Los piratas informáticos notaron que el complemento era el queso suizo de la seguridad informática, lleno de agujeros, y explotaron el software sin piedad para infectar a las víctimas de todo el planeta con malware.
Después de años de ataques y el surgimiento de alternativas, Adobe anunció la desaparición de Flash en julio de 2017 y dijo que el soporte se retirará el 31 de diciembre de 2020.
Y ahora la compañía ha cumplido esa promesa, con una "bomba lógica" en las versiones recientes de Flash Player que han impedido que el código muestre contenido desde el 12 de enero. Incluso con la amplia advertencia, la muerte de Flash causó algunos problemas. Significativa y extrañamente, la ciudad de Dalian en el norte de China estaba ejecutando su sistema ferroviario con Flash. Estuvo inactivo durante 20 horas antes de que se volviera a ejecutar en una versión pirateada.
MalwareBytes afectados por piratas informáticos de SolarWinds
En diciembre de 2020, el ataque SolarWinds hizo grandes titulares, cuando los piratas informáticos pudieron utilizar su sistema de distribución de software para infectar las redes de los clientes. Este mes, la firma de seguridad Malwarebytes reveló que estaba comprometida por el mismo grupo, que comprometió al menos a una docena de agencias gubernamentales y empresas privadas de Estados Unidos. De acuerdo a un artículo por Dan Goodin en Ars Technica, los investigadores han descubierto que los piratas informáticos tenían acceso a algunos correos electrónicos internos de la empresa y "no hay evidencia de acceso no autorizado o compromiso en ningún entorno de producción de Malwarebytes". Sin embargo, eso no significa que el ataque fuera intrascendente. Del artículo:
"En nuestro caso particular, el actor de amenazas agregó un certificado autofirmado con credenciales a la cuenta principal del servicio", escribió el investigador de Malwarebytes, Marcin Kleczynski. "Desde allí, pueden autenticarse con la clave y realizar llamadas a la API para solicitar correos electrónicos a través de MSGraph".
La semana pasada, el proveedor de administración de correo electrónico Mimecast también dijo que los piratas informáticos comprometieron un certificado digital que emitió y lo usaron para apuntar a clientes seleccionados que lo usan para cifrar los datos que enviaron y recibieron a través del servicio basado en la nube de la compañía. Si bien Mimecast no dijo que el compromiso del certificado estaba relacionado con el ataque en curso, las similitudes hacen que sea probable que los dos ataques estén relacionados.
Según el artículo, la violación de Malwarebytes es la cuarta vez que una empresa revela que fue atacada por los piratas informáticos patrocinados por el estado nacional responsables del incidente de SolarWinds. Además, varios organismos gubernamentales, que al parecer incluyen los Departamentos de Defensa, Justicia, Tesoro y los Institutos Nacionales de Salud, también fueron blanco de los agentes.