Tervetuloa SSL.com Roundupin huhtikuun versioon, jossa tarkastelemme digitaalisen turvallisuuden kulunutta kuukautta. Lue kokoelmastamme, mikä on iskenyt meihin viimeisten neljän viikon aikana, ja pysy turvassa siellä!
Lepää rauhassa, Dan Kaminsky
SSL.com liittyy kyberturvallisuusyhteisöön surututkijana Dan Kaminsky. Dan tunnettiin parhaiten vuodesta 2008 merkittävän puutteen löytäminen DNS-nimijärjestelmässä, joka mahdollisti laajan valikoiman hyökkäyksiä ja voi ohjata tietämättömät käyttäjät haitallisiin huijaussivustoihin. Hänen tutkimuksensa myös paljastaa haavoittuvuudet X.509-todennuksessa, PKI ja digitaaliset varmenteet. Kaminksy muistettiin New York Times "Internet-turvallisuuden pelastajana" koskettavassa nekrologissa kirjoittanut Nicole Perlroth. Hän kirjoittaa:
"Internetiä ei ole koskaan suunniteltu turvalliseksi", herra Kaminsky muisteli vuoden 2016 haastattelussa. ”Internet on suunniteltu siirtämään kissan kuvia. Olemme erittäin hyviä kissojen liikkuvissa kuvissa. " Mutta hän lisäsi: "Emme usko, että siirrät biljoonia dollareita tähän. Mitä aiomme tehdä? Ja tässä on vastaus: Jotkut meistä joutuvat lähtemään korjaamaan sen. ”
eSigner Public Beta -rekisteröinti
SSL.com kutsuu oman leirimme uutisissa EV-koodin allekirjoittaminen ja asiakirjan allekirjoittaminen asiakkaita osallistumaan julkinen beta of sähköinen allekirjoittaja, SSL.com: n uusi yhtenäinen pilvialusta asiakirjojen ja koodien allekirjoittamiseen.
eSigner sisältää:
- eSigner Express GUI-verkkosovellus asiakirjojen allekirjoittamiseen ja EV-koodin allekirjoittamiseen
- Cloud Signature Consortium (CSC) -sovellusliittymä asiakirjan allekirjoittamista ja EV-koodin allekirjoittamista varten
- CodeSignTool komentorivityökalu EV-koodin allekirjoittamiseen
Mikä tahansa SSL.com Asiakirjan allekirjoittaminen or EV-koodin allekirjoittaminen varmenne voidaan rekisteröidä eSigneriin, jolloin voit allekirjoittaa asiakirjoja ja koodia mistä tahansa internetiin liitetystä laitteesta ilman USB-tunnuksia, HSM: iä tai PKI asiantuntemusta. Organisaatiot voivat integroida eSignerin asiakirjojen ja koodien allekirjoittamisen työnkulkuihinsa, mukaan lukien CI / CD-automaatio. Ohjelmistojulkaisijat ja palveluntarjoajat voivat käyttää eSigneria tarjoamaan digitaalisen allekirjoittamisen ominaisuuksia asiakkailleen.
eSigner on tilauspohjainen palvelu, kun se käynnistetään kokonaan. Beeta-osallistujat saavat kuitenkin eSigner Expressin, CSC API: n ja CodeSignToolin käyttöoikeuden ilman liittymismaksuja ennen eSignerin täyttä kaupallista julkaisua. Ilmoittaudu täyttämällä eSigner beta -rekisteröintilomake ja SSL.com-tiimin jäsen ottaa sinuun yhteyttä.
IoXT Alliance julkisti uuden mobiilisovelluksen suojausstandardin
- ioXt (Secure Things Internet) -allianssi, teollisuusryhmä, joka kehittää ja tukee IoT: n turvallisuusstandardeja, on ilmoittanut että se laajentaa vaatimustenmukaisuusohjelmaa uudella mobiilisovellusten suojausstandardilla. uusi mobiilisovellusprofiili sisältää virtuaalisen yksityisen verkon (VPN) sovelluksia koskevat vaatimukset. Voit lukea lisää uudesta standardista Googlen tietoturvablogi. Kun he selittävät sitä:
IoXt-mobiilisovellusprofiili tarjoaa vähimmäisjoukon kaupallisia parhaita käytäntöjä kaikille mobiililaitteilla toimiville pilvipohjaisiin sovelluksiin. Tämä tietoturvan perustaso auttaa lieventämään yleisiä uhkia ja vähentää merkittävien haavoittuvuuksien todennäköisyyttä. Profiili hyödyntää OWASP MASVS: n ja VPN Trust Initiativen asettamia nykyisiä standardeja ja periaatteita ja antaa kehittäjille mahdollisuuden erottaa suojausominaisuudet salauksen, todennuksen, verkkoturvallisuuden ja haavoittuvuuksien paljastusohjelmien laadun ympärillä. Profiili tarjoaa myös kehyksen sovellusluokkakohtaisten vaatimusten arvioimiseksi, joita voidaan soveltaa sovelluksen ominaisuuksien perusteella.
Julkisen avaimen infrastruktuurin osalta tai PKI, uudet standardit vaativat, että kaikki verkkoliikenne on salattu ja että se on vahvistettu TLS käytetään, kun mahdollista. Uudessa ohjelmassa otetaan käyttöön myös x509-varmenteiden kiinnitys ensisijaisille palveluille.
Massiivinen macOS-vika ohittaa suojausvaatimukset
Applen macOS-käyttöjärjestelmässä on haavoittuvuus, joka antoi hyökkääjille mahdollisuuden asentaa haittaohjelmia käynnistämättä tietoturvavaroituksia. Virhe antoi huonojen näyttelijöiden ohittaa macOS-suojausominaisuudet kuten Gatekeeper, File Quarantine ja App Notarization tietokoneiden hallintaan. Lorenzo Franceschi-Bicchierai peitti virheen Vice Magazinen emolevylle kappaleessa, joka korosti haavoittuvuuden vaarallisuutta. Koska se ohitti suojausvaroitukset, minkä tahansa käyttäjän kaksoisnapsautus voi tuoda haittaohjelmia. Eikä siinä vielä kaikki:
Mikä pahinta, ainakin yksi hakkereiden ryhmä on hyödyntänyt tätä virhettä tartuttaakseen uhreja kuukausien ajan. Jaron Bradleyn mukaan havaintojohdot johtavat Applelle keskittyvässä kyberturvallisuusyhtiössä Jamf Protectissa… ja tarkemmin tarkastellessamme havaitsimme sen käyttävän tätä ohitusta, jotta se voidaan asentaa ilman loppukäyttäjän kehotusta ”, Bradley kertoi online-chatissa. "Lisäanalyysi saa meidät uskomaan, että haittaohjelmien kehittäjät löysivät nollapäivän ja sopeuttivat haittaohjelmansa käyttämään sitä vuoden 2021 alussa."
Apple on julkaissut macOS-version 11.3, joka on ladattava heti, koska se sisältää lappu virheen vuoksi. Kun se on hoidettu, saatat haluta tarkistaa yksityiskohtainen pilaantuminen Dan Goodin ohi Ars Technica on kirjoittanut kuinka hakkerit hyödyntivät haavoittuvuutta haittaohjelmien asentamiseen.
