Tervetuloa SSL.com: n tietoturvakokouksen lokakuun numeroon! Tämän erityisen Halloween-painoksen osalta olemme pitäneet sisältömme täysin samanlaisena. Loppujen lopuksi, mikä on pelottavampaa kuin digitaalisen turvallisuuden huolet ja virheellinen salaus?
Ja tiesitkö, että SSL.com: lla on nyt myös sähköpostiuutiskirje? Täytä alla oleva lomake saadaksesi PKI ja digitaaliset tietoturvauutiset, kuten tämä, sekä tietoja SSLD: n tuotteista ja palveluista. (Voit helposti peruuttaa tilauksen milloin tahansa napsauttamalla peruuttaa linkki jokaisessa lähettämässämme sähköpostissa.):
USA liittyy kuuteen maahan uudessa puhelussa takaoven salauksen saamiseksi
Jälleen kerran vallanpitäjät vaativat ns. "Takaovia" salaukseen. Tällä kertaa mukaan Verge, Yhdysvallat liittyy Yhdistyneen kuningaskunnan, Australian, Uuden-Seelannin, Kanadan, Intian ja Japanin kanssa kansainvälisessä lausunnossa joka pyytää pääsyä lainvalvontaviranomaisille. Russell Brandom kirjoittaa:
Oikeusministeriöllä on pitkä historia salauksen torjunnasta. Vuonna 2018 viisi seitsemästä osallistuvasta maasta ilmaisi samanlaisia epäilyjä avoimessa muistiossa teknologiayrityksille, vaikka muistio ei johtanut teollisuudessa juurikaan tai edistyneesti asiassa. Kussakin käännöksessä teknologiayritykset ovat vaatineet, että kaikki lainvalvontaviranomaisille tarkoitetut takaovet väistämättä joutuisivat rikollisten kohteeksi ja jättävät käyttäjät loppujen lopuksi vähemmän turvallisiksi ... Ratkaisevaa on, että seitsemän maata ei halua vain käyttää salattuja tietoja kuljetuksen aikana - kuten WhatsAppin käyttämä lopullinen salaus - mutta myös paikallisesti tallennetut tiedot, kuten puhelimen sisältö.
Ei ole yllättävää, että myös teknologiayritykset ja yksityisyyden puolustajat ovat vastustaneet lausuntoa kuten muut yritykset estää salaus olemassa olevien voimien avulla.
Android 11 kiristää CA-varmenteiden rajoituksia
Tim Perry raportit Android-työkalupakissa että Android 11, joka julkaistiin 11. syyskuuta, tekee mahdottomaksi minkään sovelluksen, virheenkorjaustyökalun tai käyttäjän toimenpiteen pyytää CA-varmenteen asentamista, jopa oletusarvoisesti käyttäjän hallinnoimaan varmentekauppaan. Ainoa tapa asentaa CA-varmenne on nyt käyttää painiketta, joka on piilotettu asetusten syvälle sivulle, johon sovellukset eivät voi linkittää. "
Miksi tämä on tärkeää? Vaikka varmentajan hallintaa olisi valvottava huolellisesti, sovelluksilla on potentiaalisia syitä valita, mitkä niistä luotetaan. Kehittäjät käyttävät sitä esimerkiksi testaamiseen, ja tämä muutos tekee siitä paljon vaikeampaa. Silti on vaikea väittää, että muutos on menetys turvallisuuden linssin läpi katsottuna; sovellukset, jotka kehottavat käyttäjiä asentamaan root-varmenteita voi johtaa kaikenlaisiin ongelmiin, kuten antaa pahiksille pääsyn jäljitellä verkkosivustoja ja purkaa Internet-liikenne.
Zoomi sanoo, että salaus on valmis
Se on ollut iso vuosi Zoomille, joka on ensin tehnyt otsikoita keinona yhdistää meidät kaikki pandemian lukituksen aikana, ja sitten otsikoita, joiden avulla ei-toivotut ihmiset voivat muodostaa yhteyden kaikkiin myös turvallisuuskysymysten vuoksi. Viime aikoina yksityisyyden ja turvallisuuden parantamiseksi Zoom on ilmoittanut, että end-to-end-salaus on valmis esikatseluun.
Tietenkin, Simon Sharwoodin artikkelina The Register -lehdessä huomautetaan, että Zoom väitti olevansa oma tuotemerkkinsä "end to end encryption" huhtikuussa, mutta tuolloin yrityksen TLS ja HTTPS tarkoittivat, että Zoom itse pystyi sieppaamaan ja purkamaan keskustelut - liikenne salattiin vain "Zoom-päätepisteestä Zoom-loppupisteeseen". Nyt Zoom on ilmoittanut se tarjoaa todellinen end-to-end-salaus, joka ei salli heidän pääsyä keskusteluihin.
Kuten The Register toteaa, on kuitenkin yksi saalis:
[su-note class = ”info”]SSL.com: n poisto: Koska olemme itse päivittäisiä Zoom-käyttäjiä, suosittelemme parannuksia sen tietoturvaan. End-to-end-salauksen pitäisi kuitenkin olla oletus sen sijaan, että se vaatisi valintaa joka kerta. [/ Su_note]Älä ajattele, että esikatselu tarkoittaa, että Zoom on neliöinyt tietoturvan, koska yritys sanoo: "Jotta sitä voidaan käyttää, asiakkaiden on sallittava E2EE-kokoukset tilitasolla ja valittava E2EE-tapaaminen kokouskohtaisesti" ... Käyttäjillä on Jos heitä muistutetaan jatkuvasti käyttämään ei-roskapostisanoja, ei napsauttamaan tietojenkalastelua tai vuotamaan yritystietoja henkilökohtaisissa laitteissa, he valitsevat melkein varmasti E2EE: n joka kerta ilman, että heidän tarvitsee kysyä sitä, eikö?
Suositut mobiiliselaimet ja Safari ovat osoittautuneet haavoittuviksi osoiterivin huijaushyökkäyksiin
Kyberturvallisuuden tutkijoiden julkaisemissa huonoissa uutisissa näyttää siltä, että jotkin selaimen osoiterivit ovat alttiita huijauksille. Ravie Lakshmanan kanssa Hacker News raportoi, että Apple Safari ja mobiiliselaimet, kuten Opera Touch ja Bolt, ovat avoimia väärentämiselle, joka jättää epäilemättömät käyttäjät alttiiksi haittaohjelmien lataamiselle ja tietojenkalasteluhyökkäykset. Lakshmanan kirjoittaa:
Ongelma johtuu haitallisen suoritettavan JavaScript-koodin käytöstä mielivaltaisella verkkosivustolla pakottaakseen selaimen päivittämään osoiterivin, kun sivu latautuu edelleen toiseen hyökkääjän valitsemaan osoitteeseen ... (A) n hyökkääjä voi perustaa haitallisen verkkosivuston ja houkutella kohdistaa avaamaan linkki väärennetystä sähköpostista tai tekstiviestistä, mikä johtaa epäilemättömän vastaanottajan lataamaan haittaohjelmia tai voi saada tunnistetietonsa varastetuksi.
Lokakuun lopusta lähtien UCWeb ja Bolt eivät olleet saaneet korjauksia, oopperan korjauksen odotettiin olevan marraskuussa ja Safari oli käsitellyt asiaa päivityksen avulla.
SSL.com tarjoaa laajan valikoiman SSL /TLS palvelinvarmenteet HTTPS-verkkosivustoille.
