Üdvözöljük az SSL.com májusi kiadásában Biztonsági Roundup, amelyben visszatekintünk az elmúlt hónapra a digitális biztonság terén. Olvassa el az elmúlt 30 nap legfontosabbjainak tartott gyűjteményünkben, és maradjon biztonságban az interneten!
Új minimális RSA kulcsméret a kód aláíró tanúsítványokhoz
Egy kis saját hírünk szerint 31. május 2021-től az SSL.com kód-aláírási és EV-aláíró tanúsítványaihoz legalább 3072 bit RSA kulcsméret szükséges. Az ezen időpont előtt kiállított tanúsítványokat a változás nem érinti, a lejáratig a szokásos módon működnek. Az egészet lefektettük Önnek a blogbejegyzés a témán.
A Biden végrehajtási rendelete a „Zero Trust Architecture” kidolgozását kéri
Egy végrehajtási utasítás május 12-én aláírt Joe Biden amerikai elnök hivatalosan felszólította a szövetségi kormányt, hogy fogadja el a „nulla bizalom architektúráját”. Mit is jelent ez? Az irányelv lényegében megkísérli elérni az emberek, szoftverek és hardverek iránti bizalmatlanságot, amely számos biztonsági megsértés alapja, amelyek mindenkit kiszolgáltatottá tettek a támadásokkal szemben. Mint Scott Shackelford jelentések Pala, az egyre növekvő globális fenyegetés ransomware legalább 2,354 alkalommal ért el, mindenkit megcélozva a helyi önkormányzatoktól és iskoláktól az egészségügyi szolgáltatókig. Biden parancsa arra kéri ezeket az intézményeket, hogy fogadjanak el paranoiásabb álláspontot, és tegyék fel, hogy minden sarkon veszély rejlik - és még a házban is célja a védelem. A Pala jelentésből:
A számítógépes hálózatokkal kapcsolatos bizalom olyan rendszerekre utal, amelyek lehetővé teszik az emberek vagy más számítógépek számára a hozzáférést, alig vagy egyáltalán nem ellenőrizve, hogy kik ők, és hogy jogosultak-e a hozzáférésre. A Zero Trust egy olyan biztonsági modell, amely természetesnek veszi, hogy a fenyegetések mindenütt jelen vannak a hálózatokon belül és kívül is. A nulla bizalom ehelyett a folyamatos ellenőrzésre támaszkodik, több forrásból származó információk útján. Ennek során ez a megközelítés feltételezi az adatok megsértésének elkerülhetetlenségét. Ahelyett, hogy kizárólag a jogsértések megelőzésére összpontosítana, a nulla megbízhatósági biztonság biztosítja, hogy a károk korlátozottak legyenek, a rendszer ellenálló és gyorsan helyreállhasson.
Mindez nagyon értelmes, és mégis vannak akadályai a nulla bizalmi modell széles körű bevezetésének. Nehéz bevezetni az új modellt a régi rendszerekbe, és ha lehetséges, gyakran költséges is. A modell ellentétes néhány általánosan használt rendszerrel is. Azonban a végrehajtási utasítás - amely csak a kormányzati rendszerekre vonatkozik - lépés a biztonság irányába, és azt ígéri, hogy ezeket a rendszereket biztonságosabbá teszi.
Egy furcsa trükk az orosz hackerek fóliájához
A technológia furcsaságában, Krebs a biztonsági megjegyzésekről ennyi rosszindulatú program nem fog települni olyan számítógépekre, amelyekre bizonyos virtuális billentyűzetek vannak telepítve, beleértve az orosz és az ukrán billentyűzetet is. Egy Twitter-beszélgetés során, majd egy későbbi blogbejegyzésben a biztonsági szakértő kifejtette, hogy a ransomware-törzsek túlnyomó többségének meghibásodása van annak biztosítására, hogy a rosszindulatú programok ne fertőzzék meg a sajátját. A blogból:
A DarkSide és más orosz nyelvű társult pénzkereső programok régóta tiltják bűnöző társaikat abban, hogy rosszindulatú szoftvereket telepítsenek számítógépekre számos kelet-európai országban, beleértve Ukrajnát és Oroszországot is. Ez a tilalom a szervezett számítógépes bűnözés legkorábbi napjaiban nyúlik vissza, és célja a helyi hatóságok általi ellenőrzés és beavatkozás minimalizálása.
Nyilvánvalóan Oroszországban a hatóságok vonakodnak számítógépes bűnözéssel kapcsolatos vizsgálatot indítani az orosz állampolgárok ellen, hacsak egy honfitárs nem kezdeményezi a panaszt. Az ilyen biztonsági széfek tehát praktikus módon megakadályozzák a hőt.
A Cloudflare el akar menni a Captchákkal
A múlt hónapban jó hír jelent meg azok számára, akiknek elegük van abból, hogy a számítógépek arra kérik őket, igazolják, ők sem gépek. Kényszerítően címmel Cloudflare blogbejegyzés, Thibault Meunier kijelenti: „Az emberiség naponta körülbelül 500 évet pazarol a CAPTCHA-kra. Itt az ideje, hogy véget vessen ennek az őrületnek. A bejegyzés tovább magyarázza, hogy a Cloudflare a mindenütt jelen lévő, idegesítő CAPTCHA-kat egy új hardveres biztonsági kulcsokat magában foglaló módszerrel kívánja lecserélni, például a SSub által forgalmazott Yubikey FIPS kulcsokra EV kód aláírása és a dokumentum aláírása tanúsítványok.
Felhasználói szempontból a személyiség kriptográfiai igazolása a következőképpen működik:
- A felhasználó egy személyiség kriptográfiai igazolása által védett webhelyre jut el, mint pl cloudflarechallenge.com.
- A Cloudflare kihívást jelent.
- A felhasználó rákattint, hogy ember vagyok (béta), és egy biztonsági eszköz beszerzését kéri.
- A felhasználó úgy dönt, hogy hardver biztonsági kulcsot használ.
- A felhasználó csatlakoztatja az eszközt a számítógépéhez, vagy megérinti a telefonjához vezeték nélküli aláírás céljából (NFC használatával).
- Egy kriptográfiai igazolást küldünk a Cloudflare-nek, amely lehetővé teszi a felhasználó számára, hogy ellenőrizze a felhasználói jelenlét teszt.
„500 év” helyett ennek a folyamatnak az elvégzése öt másodpercet vesz igénybe. Ennél is fontosabb, hogy ez a kihívás védi a felhasználók magánéletét, mivel az igazolás nem kapcsolódik egyedülállóan a felhasználó eszközéhez.
A Chrome kiterjesztések ezrei manipulálják a biztonsági fejléceket
A Új tanulmány megállapította, hogy sok Chrome-bővítmény meghamisítja a webhely biztonsági fejlécét, ezzel veszélyeztetve a felhasználókat. Mint Catalin Cimpanu beszámol mert A Record, a Chrome Internetes áruházban található bővítmények nem mind gonosz szándékkal teszik:
A leggyakrabban letiltott biztonsági fejléc a CSP volt, egy olyan biztonsági fejléc, amelyet azért fejlesztettek ki, hogy a webhelytulajdonosok ellenőrizhessék, hogy az oldal milyen webes erőforrásokat töltsön be egy böngészőbe, és egy tipikus védelem, amely megvédi a webhelyeket és a böngészőket az XSS és az adatinjekciós támadások ellen.
A kutatócsoport szerint az elemzett esetek többségében a Chrome-bővítmények letiltották a CSP-t és más biztonsági fejléceket, hogy „további jóindulatúnak tűnő funkciókat vezessenek be a meglátogatott weboldalon”, és nem tűntek rosszindulatúnak.
Még akkor is, ha a kiterjesztések a felhasználók online élményét akarták gazdagítani, a német tudósok azzal érveltek, hogy a biztonsági fejlécek meghamisításával minden kiterjesztés csak a böngészőben és az interneten futó más szkriptek és webhelyek támadásainak volt kitéve.
