¡Bienvenido a la edición de octubre del Resumen de seguridad de SSL.com! Para esta edición muy especial de Halloween, hemos mantenido nuestro contenido exactamente igual. Después de todo, ¿qué es más espeluznante que las preocupaciones por la seguridad digital y el cifrado defectuoso?
¿Y sabías que SSL.com ahora también tiene un boletín por correo electrónico? Complete el siguiente formulario para recibir PKI y noticias de seguridad digital como esta, además de información sobre productos y servicios de SSL.com. (Puede darse de baja fácilmente en cualquier momento haciendo clic en el darse de baja enlace en cada correo electrónico que enviamos.):
EE. UU. Se une a seis países en una nueva convocatoria para el acceso al cifrado de puerta trasera
Una vez más, los que están en el poder están pidiendo las llamadas "puertas traseras" para el cifrado. Esta vez, según The Verge, Estados Unidos se une al Reino Unido, Australia, Nueva Zelanda, Canadá, India y Japón en una declaración internacional que solicita acceso a las fuerzas del orden. Russell Brandom escribe:
El Departamento de Justicia tiene una larga historia de defensa contra el cifrado. En 2018, cinco de los siete países participantes expresaron recelos similares en un memorando abierto a las empresas de tecnología, aunque el memo dio como resultado poco o ningún progreso en el tema de la industria. En cada turno, las empresas de tecnología han insistido en que cualquier puerta trasera construida para la aplicación de la ley inevitablemente sería el objetivo de los delincuentes y, en última instancia, dejaría a los usuarios menos seguros ... De manera crucial, los siete países no solo buscarían acceder a datos cifrados en tránsito, como el final. cifrado de extremo a extremo utilizado por WhatsApp, pero también datos almacenados localmente como el contenido de un teléfono.
Como era de esperar, las empresas de tecnología y los defensores de la privacidad también se han pronunciado en contra de la declaración. como otros intentos de frustrar el cifrado por los poderes fácticos.
Android 11 refuerza las restricciones sobre los certificados de CA
tim perry informes en el kit de herramientas de Android que Android 11, que se lanzó el 11 de septiembre, hace “imposible que cualquier aplicación, herramienta de depuración o acción del usuario solicite la instalación de un certificado de CA, incluso en el almacén de certificados administrado por el usuario que no es de confianza por defecto. La única forma de instalar cualquier certificado de CA ahora es mediante el uso de un botón oculto en la configuración, en una página a la que las aplicaciones no pueden vincular "
¿Porque es esto importante? Bueno, aunque la administración de CA debe controlarse cuidadosamente, existen razones potenciales para que las aplicaciones tengan acceso para elegir cuáles son confiables. Los desarrolladores lo usan para probar, por ejemplo, y este cambio lo hace mucho más difícil. Aún así, es difícil argumentar que el cambio es una pérdida cuando se ve a través del lente de la seguridad; aplicaciones que solicitan a los usuarios que instalen certificados raíz puede dar lugar a todo tipo de problemas, como dar acceso a los delincuentes para hacerse pasar por sitios web y descifrar el tráfico de Internet.
Zoom dice que el cifrado de extremo a extremo está listo
Ha sido un gran año para Zoom, una compañía que primero apareció en los titulares como una forma para que todos nosotros estemos conectados durante el bloqueo de la pandemia, y luego en los titulares por permitir que personas no deseadas se conecten con todos también, debido a problemas de seguridad. En un movimiento reciente para mejorar la privacidad y la seguridad, Zoom ha anunciado que su implementación de cifrado de extremo a extremo está lista para una vista previa.
Por supuesto, como un artículo de Simon Sharwood en The Register señala que Zoom afirmó tener su propia marca de "cifrado de extremo a extremo" en abril, pero en ese momento la aplicación de la empresa de TLS y HTTPS significaba que el propio Zoom podía interceptar y descifrar los chats; el tráfico se encriptaba solo "desde el punto final de Zoom al punto final de Zoom". Ahora Zoom ha anunciado se ofrecerá cifrado real de extremo a extremo, que no les permite acceder a los chats.
Sin embargo, como señala The Register, hay un problema:
[su-note class = ”info”]Para llevar de SSL.com: Como usuarios diarios de Zoom, aplaudimos las mejoras en su irregular historial de seguridad. Sin embargo, el cifrado de un extremo a otro debe ser un valor predeterminado en lugar de requerir que se habilite cada vez. [/ Su_note]No piense que la vista previa significa que Zoom ha eliminado la seguridad, porque la empresa dice: 'Para usarlo, los clientes deben habilitar las reuniones E2EE en el nivel de cuenta y optar por E2EE por reunión' ... para que se les recuerde constantemente que deben usar contraseñas que no son basura, que no deben hacer clic en phishing o filtrar datos comerciales en dispositivos personales, es casi seguro que elegirán E2EE cada vez sin tener que ser solicitados, ¿verdad?
Los navegadores móviles más populares y Safari son vulnerables a los ataques de suplantación de identidad en la barra de direcciones
En las malas noticias publicadas por los investigadores de ciberseguridad, parece que algunas barras de direcciones del navegador son vulnerables a la suplantación de identidad. Ravie Lakshmanan con Las noticias de Hacker informa que Apple Safari y los navegadores móviles como Opera Touch y Bolt están abiertos a la suplantación de identidad, lo que deja a los usuarios desprevenidos susceptibles a descargar malware y ataques de phishing. Lakshmanan escribe:
El problema se debe al uso de código JavaScript ejecutable malicioso en un sitio web arbitrario para forzar al navegador a actualizar la barra de direcciones mientras la página aún se carga en otra dirección de la elección del atacante ... (Un) atacante puede configurar un sitio web malicioso y atraer al objetivo para abrir el enlace de un correo electrónico o mensaje de texto falsificados, lo que lleva a un destinatario desprevenido a descargar malware o se arriesga a que le roben sus credenciales.
A finales de octubre, UCWeb y Bolt no habían recibido correcciones, se esperaba una corrección para Opera en noviembre y Safari había abordado el problema mediante una actualización.
SSL.com proporciona una amplia variedad de SSL /TLS certificados de servidor para sitios web HTTPS.