Bienvenue dans l'édition d'avril du SSL.com Roundup, dans lequel nous revenons sur le mois dernier en matière de sécurité numérique. Poursuivez votre lecture pour découvrir ce qui nous a frappés au cours des quatre dernières semaines et restez en sécurité!
Repose en paix, Dan Kaminsky
SSL.com rejoint la communauté de cybersécurité en deuil chercheur Dan Kaminski. Dan était surtout connu pour son 2008 découverte d'un défaut majeur dans le système de noms de domaine (DNS) qui permettait un large éventail d'attaques et pouvait diriger des utilisateurs non informés vers des sites d'imposteurs malveillants. Ses recherches comprenaient également découvrir les vulnérabilités dans l'authentification X.509, une base de PKI et certificats numériques. Kaminksy a été rappelé dans le en tant que «sauveur de la sécurité Internet» dans une nécrologie touchante écrit par Nicole Perlroth. Elle écrit:
«Internet n'a jamais été conçu pour être sécurisé», se souvient M. Kaminsky lors d'une interview en 2016. «Internet a été conçu pour déplacer des photos de chats. Nous sommes très doués pour les images animées de chats. » Mais, a-t-il ajouté: «Nous ne pensions pas que vous déplaceriez des milliards de dollars là-dessus. Qu'allons nous faire? Et voici la réponse: certains d’entre nous doivent sortir et régler le problème. »
Inscription à la version bêta publique d'eSigner
Dans les nouvelles de notre propre camp, SSL.com invite Signature de code EV et signature de documents clients à participer à la bêta publique of e-signataire, La nouvelle plate-forme cloud unifiée de SSL.com pour la signature de documents et de codes.
eSigner comprend:
- eSigner Express Application Web GUI pour la signature de documents et la signature de code EV
- API Cloud Signature Consortium (CSC) pour la signature de documents et la signature de code EV
- CodeSignTool outil de ligne de commande pour la signature de code EV
Tout SSL.com Signature de documents or Signature du code EV Le certificat peut être inscrit dans eSigner, vous permettant de signer des documents et du code à partir de n'importe quel appareil connecté à Internet sans jetons USB, HSM ou PKI compétence. Les organisations peuvent intégrer eSigner à leurs flux de travail de signature de documents et de codes, y compris l'automatisation CI / CD. Les éditeurs de logiciels et les fournisseurs de services peuvent utiliser eSigner pour offrir des fonctionnalités de signature numérique à leurs clients.
eSigner sera un service basé sur un abonnement lorsqu'il sera entièrement lancé. Cependant, les participants à la version bêta auront un accès anticipé à eSigner Express, à l'API CSC et à CodeSignTool sans frais d'abonnement avant la sortie commerciale complète d'eSigner. Pour vous inscrire, veuillez remplir le Formulaire d'inscription bêta eSigner et un membre de l'équipe SSL.com vous contactera avec des détails.
IoXT Alliance annonce une nouvelle norme de sécurité pour les applications mobiles
La Alliance ioXt (Internet des objets sécurisés), un groupe industriel qui développe et préconise des normes de sécurité IoT, a annoncé qu'il étend son programme de conformité avec une nouvelle norme de sécurité pour les applications mobiles. le nouveau profil d'application mobile inclut des exigences pour les applications de réseau privé virtuel (VPN). Vous pouvez en savoir plus sur la nouvelle norme sur le Blog Google Security. Comme ils l'expliquent:
Le profil d'application mobile ioXt fournit un ensemble minimal de bonnes pratiques commerciales pour toutes les applications connectées au cloud exécutées sur des appareils mobiles. Cette base de sécurité aide à atténuer les menaces courantes et réduit la probabilité de vulnérabilités importantes. Le profil s'appuie sur les normes et principes existants définis par OWASP MASVS et la VPN Trust Initiative, et permet aux développeurs de différencier les capacités de sécurité autour de la cryptographie, de l'authentification, de la sécurité du réseau et de la qualité des programmes de divulgation des vulnérabilités. Le profil fournit également un cadre pour évaluer les exigences spécifiques aux catégories d'applications qui peuvent être appliquées en fonction des fonctionnalités contenues dans l'application.
En termes d'infrastructure à clé publique, ou PKI, les nouvelles normes demandent que tout le trafic réseau soit crypté et que vérifié TLS est utilisé lorsque cela est possible. Le nouveau programme applique également l'épinglage de certificats x509 pour les services principaux.
Un bogue macOS `` massif '' contourne les exigences de sécurité
Une vulnérabilité dans le système d'exploitation macOS d'Apple qui permettait aux attaquants d'installer des logiciels malveillants sans déclencher d'avertissements de sécurité a été découverte. Le bug permettait aux mauvais acteurs de contourner Fonctionnalités de sécurité macOS comme Gatekeeper, File Quarantine et App Notarization pour prendre le contrôle des ordinateurs. Lorenzo Franceschi-Bicchierai couvert le bug pour Motherboard de Vice Magazine dans un article soulignant à quel point la vulnérabilité était dangereuse. Parce qu'il contournait les avertissements de sécurité, un double-clic par n'importe quel utilisateur pourrait introduire des logiciels malveillants. Et ce n'est pas tout:
Pire encore, au moins un groupe de hackers profite de ce bug pour infecter les victimes depuis des mois, selon Jaron Bradley, les détections conduisent à la société de cybersécurité Jamf Protect, spécialisée dans Apple… «Une de nos détections nous a alerté sur cette nouvelle variante, et après une inspection plus approfondie, nous avons découvert son utilisation de ce contournement pour lui permettre d'être installé sans une invite de l'utilisateur final », a déclaré Bradley dans une discussion en ligne. «Une analyse plus approfondie nous porte à croire que les développeurs du malware ont découvert le jour zéro et ont ajusté leur malware pour l'utiliser au début de 2021.»
Apple a publié la version 11.3 de macOS, qui devrait être téléchargée immédiatement, car elle contient un pièce pour le bogue. Une fois que cela a été réglé, vous voudrez peut-être consulter le aperçu détaillé Dan Goodin à Ars Technica a écrit sur la façon dont les pirates ont exploité la vulnérabilité pour installer des logiciels malveillants.
