Tervetuloa SSL.com: n toukokuun painokseen Turvallisuus Roundup, jossa katsomme taaksepäin kuluneeseen kuukauteen digitaalisessa turvallisuudessa. Lue kokoelmastamme, mitä pidimme tärkeimmistä viimeisten 30 päivän aikana, ja pysy turvassa verkossa!
Uusi RSA-avaimen vähimmäiskoko koodin allekirjoitusvarmenteille
Pienissä omissa uutisissamme 31. toukokuuta 2021 alkaen SSLD: n koodin allekirjoitus- ja EV-koodin allekirjoittamistodistukset edellyttävät vähintään 3072 bitin RSA-avainkokoa. Muutos ei vaikuta ennen tätä päivää annettuihin varmenteisiin, ja ne toimivat tavalliseen tapaan vanhentumiseen asti. Olemme asettaneet kaiken sinulle a blogi aiheesta.
Bidenin toimitusjohtaja vaatii Zero Trust Architecture -sovellusta
Vuonna toimeenpaneva määräys allekirjoitettu 12. toukokuuta, Yhdysvaltain presidentti Joe Biden on virallisesti kehottanut liittohallitusta omaksumaan "nolla luottamuksen arkkitehtuurin". Mitä tämä tarkoittaa? Pohjimmiltaan direktiivillä pyritään saavuttamaan väärä luottamus ihmisiin, ohjelmistoihin ja laitteistoihin, mikä on perusta monille tietoturvaloukkauksille, jotka ovat tehneet kaikki alttiiksi hyökkäyksille. Kuten Scott Shackelford raportit Liuskekivi, kasvava maailmanlaajuinen uhka ransomware on osunut vähintään 2,354 kertaa kohdistaen kaikki paikallishallinnoista ja kouluista terveydenhuollon tarjoajiin. Bidenin käskyssä näitä instituutioita kehotetaan ottamaan paranoidisempi kanta ja oletettava, että vaara on jokaisen kulman takana - ja jopa talossa pyritään suojelemaan. Slate-raportista:
Luottamus tietokoneverkkojen yhteydessä viittaa järjestelmiin, jotka antavat ihmisille tai muille tietokoneille pääsyn vain vähän tai ei lainkaan tarkistaa, kuka he ovat ja onko heillä oikeus käyttää niitä. Zero Trust on tietoturvamalli, joka pitää itsestään selvänä, että uhat ovat läsnä verkkoissa ja niiden ulkopuolella. Nolla luottamus perustuu sen sijaan jatkuvaan todentamiseen useista lähteistä tulevien tietojen kautta. Näin tehdessään tämä lähestymistapa olettaa tietorikkomuksen väistämättömyyden. Sen sijaan, että keskitytään yksinomaan rikkomusten estämiseen, nolla-luottamus varmistaa sen sijaan, että vahingot ovat rajalliset ja että järjestelmä on joustava ja voi nopeasti toipua.
Kaikki on hyvin järkevää, ja silti on olemassa nollan luottamusmallin laajan toteuttamisen esteitä. Uuden mallin käyttöönotto vanhoissa järjestelmissä voi olla vaikeaa, ja vaikka se on mahdollista, se on usein kallista. Malli on myös ristiriidassa joidenkin laajalti käytettyjen järjestelmien kanssa. Täytäntöönpanomääräys - joka koskee vain hallitusjärjestelmiä - on kuitenkin askel turvallisuuden suuntaan ja lupaa tehdä näistä järjestelmistä yleisesti turvallisempia.
Yksi outo temppu venäläisille hakkereille
Teknologian omituisuudessa Krebs turvaohjeista niin paljon haittaohjelmia ei asenneta tietokoneisiin, joihin on asennettu tietyt virtuaaliset näppäimistöt, mukaan lukien venäläiset ja ukrainalaiset. Turvallisuusasiantuntija selitti Twitter-keskustelussa ja myöhemmin blogikirjoituksessa, että valtaosalla lunnasohjelmakannoista on epäonnistuminen turvallisuudessa sen varmistamiseksi, että haittaohjelmat eivät tartuta omia. Blogista:
DarkSide ja muut venäjänkieliset tytäryhtiöiden rahankeruuohjelmat ovat jo kauan estäneet rikollisia yhteistyökumppaneitaan asentamasta haittaohjelmia tietokoneisiin useissa Itä-Euroopan maissa, mukaan lukien Ukraina ja Venäjä. Tämä kielto juontaa juurensa järjestäytyneen tietoverkkorikollisuuden alkuajoista, ja sen tarkoituksena on minimoida paikallisten viranomaisten suorittama valvonta ja puuttuminen asiaan.
Ilmeisesti Venäjällä viranomaiset ovat haluttomia aloittamaan tietoverkkorikostutkimuksia Venäjän kansalaisia vastaan, elleivät muut maanmiehet esitä valitusta. Tällaiset vikaturvat ovat siis käytännöllinen tapa pitää lämpö pois.
Cloudflare haluaa päästä eroon Captchojen kanssa
Viime kuussa oli hyviä uutisia niille, jotka ovat kyllästyneet tietokoneisiin pyytämään heitä todistamaan, etteivät he myöskään ole koneita. Pakottavasti otsikoituna Cloudflare-blogikirjoitus, Thibault Meunier julistaa: "Ihmiskunta tuhlaa noin 500 vuotta päivässä CAPTCHA: ille. On aika lopettaa tämä hulluus. ” Viestissä selitetään edelleen, että Cloudflare haluaa korvata läsnä olevat, ärsyttävät CAPTCHA: t uudella menetelmällä, joka sisältää laitteistosuojausavaimia, kuten SSubliin jakamat Yubikey FIPS -avaimet. EV-koodin allekirjoittaminen ja asiakirjan allekirjoittaminen varmenteet.
Käyttäjän näkökulmasta kryptografinen henkilöllisyystodistus toimii seuraavasti:
- Käyttäjä käyttää verkkosivustoa, jota suojaa kryptografinen henkilöllisyystodistus, kuten cloudflarechallenge.com.
- Cloudflare palvelee haastetta.
- Käyttäjä napsauttaa Minä olen ihminen (beeta) ja saa kehotteen käyttämään suojalaitetta.
- Käyttäjä päättää käyttää laitteiston suojausavainta.
- Käyttäjä kytkee laitteen tietokoneeseensa tai napauttaa sitä puhelimeen langatonta allekirjoitusta varten (NFC: n avulla).
- Salausvahvistus lähetetään Cloudflareen, jonka avulla käyttäjä voi kirjautua sisään käyttäjän läsnäolotesti.
500 vuoden sijasta tämän prosessin suorittaminen kestää viisi sekuntia. Vielä tärkeämpää on, että tämä haaste suojaa käyttäjien yksityisyyttä, koska todistus ei ole yksiselitteisesti sidottu käyttäjän laitteeseen.
Tuhannet Chrome-laajennukset peukaloivat tietoturvaotsikoita
A uusi tutkimus on havainnut, että monet Chrome-laajennukset muokkaavat verkkosivustojen tietoturvaotsikoita ja aiheuttavat käyttäjille vaaran. Kuten Catalin Cimpanu raportoi varten Levy, kaikki Chrome Web Storesta löytyvät laajennukset, eivät kaikki tee sitä pahoilla tarkoituksilla:
Yleisimmin käytöstä poistettu suojausotsikko oli CSP, suojausotsikko, joka on kehitetty antamaan sivuston omistajille mahdollisuus hallita, mitä verkkosivustoja sivun saa ladata selaimen sisällä, ja tyypillinen puolustus, joka voi suojata verkkosivustoja ja selaimia XSS: ltä ja tiedonsiirto-hyökkäyksiltä.
Tutkimusryhmän mukaan useimmissa analysoiduissa tapauksissa Chrome-laajennukset estivät CSP: n ja muut tietoturvaotsikot "lisäämästä näennäisesti hyvänlaatuisia toimintoja vierailetulle verkkosivulle" eivätkä näyttäneet olevan luonteeltaan haitallisia.
Vaikka laajennukset halusivat rikastuttaa käyttäjän kokemusta verkossa, saksalaiset tutkijat väittivät, että suojausotsikoiden peukaloinnilla kaikkien laajennusten tarkoituksena oli altistaa käyttäjät hyökkäyksille muilta selaimen sisällä ja verkossa olevilta komentosarjoilta ja sivustoilta.
