Selamat datang di SSL.com Roundup edisi April, di mana kita melihat kembali bulan lalu dalam keamanan digital. Baca terus untuk mengetahui koleksi kami tentang apa yang mengejutkan kami selama empat minggu terakhir, dan tetap aman di luar sana!
Beristirahatlah dalam Damai, Dan Kaminsky
SSL.com bergabung dengan komunitas keamanan siber untuk peneliti yang berduka Dan Kaminsky. Dan terkenal karena 2008-nya penemuan cacat utama di Sistem Nama Domain (DNS) yang memungkinkan berbagai serangan dan dapat mengarahkan pengguna yang tidak tahu ke situs penipu yang berbahaya. Penelitiannya juga termasuk mengungkap kerentanan di otentikasi X.509, dasar dari PKI dan sertifikat digital. Kaminksy dikenang di sebagai "penyelamat keamanan internet" dalam berita kematian yang menyentuh ditulis oleh Nicole Perlroth. Dia menulis:
“Internet tidak pernah dirancang untuk menjadi aman,” kenang Kaminsky dalam wawancara tahun 2016. “Internet dirancang untuk memindahkan gambar kucing. Kami sangat pandai memindahkan gambar kucing. " Tapi, dia menambahkan: “Kami tidak berpikir Anda akan memindahkan triliunan dolar untuk ini. Apa yang akan kita lakukan? Dan inilah jawabannya: Beberapa dari kita harus keluar dan memperbaikinya. ”
Pendaftaran Beta Publik eSigner
Dalam berita dari kamp kami sendiri, SSL.com mengundang Penandatanganan kode EV dan penandatanganan dokumen pelanggan untuk berpartisipasi dalam beta publik of penandatangan elektronik, Platform awan terpadu baru SSL.com untuk dokumen dan penandatanganan kode.
eSigner meliputi:
- eSigner Ekspres Aplikasi web GUI untuk penandatanganan dokumen dan penandatanganan kode EV
- API Konsorsium Tanda Tangan Cloud (CSC). untuk penandatanganan dokumen dan penandatanganan kode EV
- KodeTandaAlat alat baris perintah untuk penandatanganan kode EV
Semua SSL.com Penandatanganan Dokumen or Penandatanganan Kode EV sertifikat dapat didaftarkan di eSigner, memungkinkan Anda menandatangani dokumen dan kode dari perangkat yang terhubung ke internet tanpa token USB, HSM, atau PKI keahlian. Organisasi dapat mengintegrasikan eSigner dengan dokumen dan alur kerja penandatanganan kode, termasuk otomatisasi CI / CD. Penerbit perangkat lunak dan penyedia layanan dapat menggunakan eSigner untuk menawarkan kemampuan penandatanganan digital kepada pelanggan mereka.
eSigner akan menjadi layanan berbasis langganan saat diluncurkan sepenuhnya. Namun, peserta beta akan mendapatkan akses awal ke eSigner Express, CSC API, dan CodeSignTool tanpa biaya langganan sebelum rilis komersial penuh eSigner. Untuk mendaftar, harap isi Formulir pendaftaran beta eSigner dan anggota tim SSL.com akan menghubungi Anda dengan detail.
IoXT Alliance Mengumumkan Standar Keamanan Aplikasi Seluler Baru
Grafik Aliansi ioXt (Internet of Secure Things), kelompok industri yang mengembangkan dan mengadvokasi standar keamanan IoT, telah mengumumkan bahwa ia memperluas program kepatuhannya dengan standar keamanan baru untuk aplikasi seluler. Itu profil aplikasi seluler baru mencakup persyaratan untuk aplikasi jaringan pribadi virtual (VPN). Anda dapat membaca lebih lanjut tentang standar baru di Blog Keamanan Google. Saat mereka menjelaskannya:
Profil Aplikasi Seluler ioXt memberikan sekumpulan praktik terbaik komersial minimum untuk semua aplikasi yang terhubung ke cloud yang berjalan di perangkat seluler. Garis dasar keamanan ini membantu mengurangi ancaman umum dan mengurangi kemungkinan kerentanan yang signifikan. Profil tersebut memanfaatkan standar dan prinsip yang ada yang ditetapkan oleh OWASP MASVS dan VPN Trust Initiative, dan memungkinkan pengembang untuk membedakan kemampuan keamanan seputar kriptografi, otentikasi, keamanan jaringan, dan kualitas program pengungkapan kerentanan. Profil tersebut juga menyediakan kerangka kerja untuk mengevaluasi persyaratan khusus kategori aplikasi yang dapat diterapkan berdasarkan fitur yang terdapat dalam aplikasi.
Dalam hal Infrastruktur Kunci Publik, atau PKI, standar baru meminta semua lalu lintas jaringan dienkripsi dan diverifikasi TLS digunakan jika memungkinkan. Program baru ini juga menerapkan pemasangan pin sertifikat x509 untuk layanan utama.
Bug 'Masif' macOS Mengabaikan Persyaratan Keamanan
Kerentanan dalam sistem operasi macOS Apple yang memungkinkan penyerang menginstal malware tanpa memicu peringatan keamanan telah ditemukan. Bug tersebut memungkinkan aktor jahat untuk melewati fitur keamanan macOS seperti Gatekeeper, File Quarantine dan App Notarization untuk mengendalikan komputer. Lorenzo Franceschi-Bicchierai menutupi bug untuk Motherboard Vice Magazine dalam sebuah artikel yang menekankan betapa berbahayanya kerentanan itu. Karena melewati peringatan keamanan, klik dua kali oleh pengguna mana pun dapat menyebabkan perangkat lunak jahat. Dan itu belum semuanya:
Yang lebih buruk, setidaknya satu kelompok peretas telah memanfaatkan bug ini untuk menginfeksi korban selama berbulan-bulan, menurut Jaron Bradley, pimpinan deteksi di perusahaan keamanan siber yang berfokus pada Apple, Jamf Protect… “Salah satu deteksi kami memberi tahu kami tentang varian baru ini, dan setelah diperiksa lebih dekat kami menemukan penggunaan bypass ini untuk memungkinkannya dipasang tanpa permintaan pengguna akhir, ”kata Bradley dalam obrolan online. “Analisis lebih lanjut membuat kami yakin bahwa pengembang malware menemukan zero day dan menyesuaikan malware mereka untuk menggunakannya pada awal 2021.”
Apple telah merilis macOS versi 11.3, yang harus segera diunduh, karena berisi file tambalan untuk bug tersebut. Setelah itu diurus, Anda mungkin ingin melihat file ikhtisar rinci Dan Goodin di Technica telah menulis tentang bagaimana peretas memanfaatkan kerentanan untuk memasang perangkat lunak perusak.
