Üdvözöljük az SSL.com Roundup áprilisi kiadásában, amelyben visszatekintünk a digitális biztonság elmúlt hónapjára. Olvassa el a gyűjteményünket arról, ami ránk törött az elmúlt négy hétben, és maradjon biztonságban odakint!
Nyugodj békében, Dan Kaminsky
Az SSL.com csatlakozik a kiberbiztonsági közösséghez a gyászkutatóban Dan Kaminsky. Dan leginkább 2008-ról volt ismert jelentős hiba felfedezése a tartománynév-rendszerben (DNS), amely sokféle támadást tett lehetővé, és tudatlan felhasználókat rosszindulatú megsértő oldalakra terelhetett. Kutatása is magában foglalta sebezhetőségek feltárása az X.509 hitelesítésben a PKI és digitális tanúsítványok. Kaminksy-ra emlékeztek a New York Times mint „internetbiztonsági megmentő” megható nekrológban írta Nicole Perlroth. Ő ír:
"Az internetet soha nem tervezték biztonságosnak" - emlékezett vissza Kaminsky úr egy 2016-os interjúban. „Az internetet macskaképek mozgatására tervezték. Nagyon jól tudunk mozgatni a macskákról. ” De hozzátette: „Nem gondoltuk, hogy dollármilliárdokat költenek erre. Mit fogunk csinálni? És itt van a válasz: Néhányunknak ki kell mennie és megjavítani.
eSigner nyilvános béta regisztráció
Saját táborunk híreiben az SSL.com meghív EV kód aláírása és a dokumentum aláírása az ügyfelek, hogy részt vegyenek a nyilvános béta of eAláíró, Az SSL.com új, egységes felhőplatformja a dokumentumok és kódok aláírásához.
Az eSigner a következőket tartalmazza:
- eSigner Express GUI webalkalmazás dokumentum aláíráshoz és EV kód aláíráshoz
- Cloud Signature Consortium (CSC) API dokumentum aláíráshoz és EV kód aláíráshoz
- CodeSignTool parancssori eszköz az EV kód aláírásához
Bármilyen SSL.com Dokumentum aláírása or EV kód aláírása A tanúsítvány beiratkozhat az eSigner programba, lehetővé téve a dokumentumok és kódok aláírását bármilyen internethez csatlakoztatott eszközről, USB-tokenek, HSM-ek vagy egyéb nélkül. PKI szakvélemény. A szervezetek integrálhatják az eSigner dokumentum- és kód-aláírási munkafolyamataikkal, beleértve a CI / CD automatizálást is. A szoftverkiadók és szolgáltatók az eSigner segítségével digitális aláírási lehetőségeket kínálhatnak ügyfeleiknek.
Az eSigner előfizetéses szolgáltatás lesz, ha teljes mértékben elindul. A béta résztvevők azonban az eSigner teljes kereskedelmi kiadása előtt korai hozzáférést kapnak az eSigner Expresshez, a CSC API-hoz és a CodeSignTool-hoz előfizetés nélküli díjak nélkül. A regisztrációhoz töltse ki a eSigner béta regisztrációs űrlap és az SSL.com csapattagja megkeresi Önt a részletekről.
Az IoXT Alliance bejelentette az új mobilalkalmazások biztonsági szabványát
A ioXt (a biztonságos dolgok internete) szövetség, az IoT biztonsági szabványait kidolgozó és támogató ipari csoport, bejelentette, hogy kibővíti megfelelési programját a mobilalkalmazások új biztonsági szabványával. A új mobilalkalmazás-profil tartalmazza a virtuális magánhálózati (VPN) alkalmazások követelményeit. Az új szabványról bővebben a Google biztonsági blog. Ahogy magyarázzák:
Az ioXt mobilalkalmazás-profil minimális kereskedelmi bevált gyakorlatot tartalmaz minden felhőhöz kapcsolódó, mobileszközön futó alkalmazás számára. Ez a biztonsági alapvonal segít csökkenteni a gyakori fenyegetéseket és csökkenti a jelentős sérülékenységek valószínűségét. A profil felhasználja az OWASP MASVS és a VPN Trust Initiative által megállapított meglévő szabványokat és elveket, és lehetővé teszi a fejlesztők számára, hogy megkülönböztessék a titkosítás, a hitelesítés, a hálózati biztonság és a biztonsági rés közzétételi programjának minősége körüli biztonsági képességeket. A profil keretet biztosít az alkalmazáskategória-specifikus követelmények értékeléséhez, amelyek az alkalmazásban található funkciók alapján alkalmazhatók.
A nyilvános kulcsú infrastruktúra szempontjából, ill PKI, az új szabványok azt kérik, hogy az összes hálózati forgalmat titkosítsák és ellenőrizzék TLS lehetőség szerint használják. Az új program az x509 tanúsítványok rögzítését is kikényszeríti az elsődleges szolgáltatások számára.
A „hatalmas” macOS hiba megkerüli a biztonsági követelményeket
Megtalálták az Apple macOS operációs rendszerének sebezhetőségét, amely lehetővé tette a támadók számára, hogy rosszindulatú programokat telepítsenek biztonsági figyelmeztetések kiváltása nélkül. A hiba lehetővé tette a rossz színészek megkerülését macOS biztonsági funkciók mint a Gatekeeper, a File Quarantine és az App Notarization, hogy átvegye az irányítást a számítógépek felett. Lorenzo Franceschi-Bicchierai eltakarta a hibát az Vice Magazine alaplapjához egy olyan darabban, amely hangsúlyozta, hogy a veszélyeztetettség mennyire veszélyes. Mivel megkerülte a biztonsági figyelmeztetéseket, bármely felhasználó dupla kattintásával rosszindulatú programok jelenhetnek meg. És ez még nem minden:
Ami a legrosszabb, hogy legalább egy hackercsoport hónapok óta kihasználja ezt a hibát az áldozatok megfertőzésére. Jaron Bradley szerint az Apple-központú kiberbiztonsági cég, a Jamf Protect felderítése vezetett ... „Az egyik észlelésünk figyelmeztetett erre az új változatra, és közelebbről megvizsgálva felfedeztük ennek az elkerülésnek a használatát, hogy lehetővé tegye a végfelhasználói felszólítás nélküli telepítését ”- mondta Bradley egy online csevegésben. "További elemzés arra enged következtetni, hogy a rosszindulatú programok fejlesztői felfedezték a nulladik napot, és 2021 elején úgy alakították ki a rosszindulatú programokat, hogy használhassák őket."
Az Apple kiadta a macOS 11.3 verzióját, amelyet azonnal le kell tölteni, mivel a folt a hibának. Ha ez megoldódott, érdemes megnézni a részletes leromlott Dan Goodin itt van Ars Technica írt arról, hogy a hackerek hogyan használták ki a biztonsági rést a rosszindulatú programok telepítéséhez.
