Resumen de seguridad de octubre de 2020

Nuevo llamado del gobierno para puertas traseras de cifrado, restricciones de certificados de Android 11, cifrado Zoom e2e y una vulnerabilidad de suplantación de la barra de direcciones.

Más información

¿Quieres seguir aprendiendo?

Suscríbase al boletín de SSL.com, manténgase informado y seguro.

¡Bienvenido a la edición de octubre del Resumen de seguridad de SSL.com! Para esta edición muy especial de Halloween, hemos mantenido nuestro contenido exactamente igual. Después de todo, ¿qué es más espeluznante que las preocupaciones por la seguridad digital y el cifrado defectuoso?

¿Y sabías que SSL.com ahora también tiene un boletín por correo electrónico? Complete el siguiente formulario para recibir PKI y noticias de seguridad digital como esta, además de información sobre productos y servicios de SSL.com. (Puede darse de baja fácilmente en cualquier momento haciendo clic en el darse de baja enlace en cada correo electrónico que enviamos.):




EE. UU. Se une a seis países en una nueva convocatoria para el acceso al cifrado de puerta trasera

Una vez más, los que están en el poder están pidiendo las llamadas "puertas traseras" para el cifrado. Esta vez, según The Verge, Estados Unidos se une al Reino Unido, Australia, Nueva Zelanda, Canadá, India y Japón en una declaración internacional que solicita acceso a las fuerzas del orden. Russell Brandom escribe:

El Departamento de Justicia tiene una larga historia de defensa contra el cifrado. En 2018, cinco de los siete países participantes expresaron recelos similares en un memorando abierto a las empresas de tecnología, aunque el memo dio como resultado poco o ningún progreso en el tema de la industria. En cada turno, las empresas de tecnología han insistido en que cualquier puerta trasera construida para la aplicación de la ley inevitablemente sería el objetivo de los delincuentes y, en última instancia, dejaría a los usuarios menos seguros ... De manera crucial, los siete países no solo buscarían acceder a datos cifrados en tránsito, como el final. cifrado de extremo a extremo utilizado por WhatsApp, pero también datos almacenados localmente como el contenido de un teléfono.

Como era de esperar, las empresas de tecnología y los defensores de la privacidad también se han pronunciado en contra de la declaración. como otros intentos de frustrar el cifrado por los poderes fácticos.

Para llevar de SSL.com: No importa cuántas letras se escriban, SSL.com no está de acuerdo con abrir puertas traseras al cifrado. No solo representan una amenaza mayor para la seguridad que su ausencia, sino que también socavan la privacidad de una manera real y peligrosa.

Android 11 refuerza las restricciones sobre los certificados de CA

tim perry informes en el kit de herramientas de Android que Android 11, que se lanzó el 11 de septiembre, hace “imposible que cualquier aplicación, herramienta de depuración o acción del usuario solicite la instalación de un certificado de CA, incluso en el almacén de certificados administrado por el usuario que no es de confianza por defecto. La única forma de instalar cualquier certificado de CA ahora es mediante el uso de un botón oculto en la configuración, en una página a la que las aplicaciones no pueden vincular "

¿Porque es esto importante? Bueno, aunque la administración de CA debe controlarse cuidadosamente, existen razones potenciales para que las aplicaciones tengan acceso para elegir cuáles son confiables. Los desarrolladores lo usan para probar, por ejemplo, y este cambio lo hace mucho más difícil. Aún así, es difícil argumentar que el cambio es una pérdida cuando se ve a través del lente de la seguridad; aplicaciones que solicitan a los usuarios que instalen certificados raíz puede dar lugar a todo tipo de problemas, como dar acceso a los delincuentes para hacerse pasar por sitios web y descifrar el tráfico de Internet.

Para llevar de SSL.com: Si bien los desarrolladores de Android pueden lamentar su nueva incapacidad para instalar certificados de CA a través de aplicaciones, el endurecimiento de los controles sobre las tiendas de certificados de Android también puede verse como una victoria para la privacidad. Ver esta pieza de Electronic Frontier Foundation, que celebra la interfaz de usuario más detallada y explícita de Android 11 para la instalación de certificados.

Zoom dice que el cifrado de extremo a extremo está listo

Ha sido un gran año para Zoom, una compañía que primero apareció en los titulares como una forma para que todos nosotros estemos conectados durante el bloqueo de la pandemia, y luego en los titulares por permitir que personas no deseadas se conecten con todos también, debido a problemas de seguridad. En un movimiento reciente para mejorar la privacidad y la seguridad, Zoom ha anunciado que su implementación de cifrado de extremo a extremo está lista para una vista previa.

Por supuesto, como un artículo de Simon Sharwood en The Register señala que Zoom afirmó tener su propia marca de "cifrado de extremo a extremo" en abril, pero en ese momento la aplicación de la empresa de TLS y HTTPS significaba que el propio Zoom podía interceptar y descifrar los chats; el tráfico se encriptaba solo "desde el punto final de Zoom al punto final de Zoom". Ahora Zoom ha anunciado se ofrecerá cifrado real de extremo a extremo, que no les permite acceder a los chats.

Sin embargo, como señala The Register, hay un problema:

No piense que la vista previa significa que Zoom ha eliminado la seguridad, porque la empresa dice: 'Para usarlo, los clientes deben habilitar las reuniones E2EE en el nivel de cuenta y optar por E2EE por reunión' ... para que se les recuerde constantemente que deben usar contraseñas que no son basura, que no deben hacer clic en phishing o filtrar datos comerciales en dispositivos personales, es casi seguro que elegirán E2EE cada vez sin tener que ser solicitados, ¿verdad?

[su-note class = ”info”]Para llevar de SSL.com: Como usuarios diarios de Zoom, aplaudimos las mejoras en su irregular historial de seguridad. Sin embargo, el cifrado de un extremo a otro debe ser un valor predeterminado en lugar de requerir que se habilite cada vez. [/ Su_note]

Los navegadores móviles más populares y Safari son vulnerables a los ataques de suplantación de identidad en la barra de direcciones

En las malas noticias publicadas por los investigadores de ciberseguridad, parece que algunas barras de direcciones del navegador son vulnerables a la suplantación de identidad. Ravie Lakshmanan con Las noticias de Hacker informa que Apple Safari y los navegadores móviles como Opera Touch y Bolt están abiertos a la suplantación de identidad, lo que deja a los usuarios desprevenidos susceptibles a descargar malware y ataques de phishing. Lakshmanan escribe:

El problema se debe al uso de código JavaScript ejecutable malicioso en un sitio web arbitrario para forzar al navegador a actualizar la barra de direcciones mientras la página aún se carga en otra dirección de la elección del atacante ... (Un) atacante puede configurar un sitio web malicioso y atraer al objetivo para abrir el enlace de un correo electrónico o mensaje de texto falsificados, lo que lleva a un destinatario desprevenido a descargar malware o se arriesga a que le roben sus credenciales.

A finales de octubre, UCWeb y Bolt no habían recibido correcciones, se esperaba una corrección para Opera en noviembre y Safari había abordado el problema mediante una actualización.

Para llevar de SSL.com: Aunque no es agradable, ¡debería ser un recordatorio eficaz para actualizar su navegador! Aunque, por supuesto, nuestros usuarios se mantienen actualizados sobre los muchos problemas de seguridad del navegador que se descubren cada año, las actualizaciones periódicas garantizarán que obtenga todos los parches.

SSL.com proporciona una amplia variedad de SSL /TLS certificados de servidor para sitios web HTTPS.

COMPARAR SSL /TLS CERTIFICADOS

Nos encantaría recibir tus comentarios

Responda nuestra encuesta y háganos saber lo que piensa sobre su compra reciente.