Selamat datang di Security Roundup SSL.com edisi Oktober! Untuk edisi Halloween yang sangat istimewa ini, kami telah menyimpan konten kami persis sama. Lagi pula, apa yang lebih menakutkan dari kekhawatiran keamanan digital dan enkripsi yang salah?
Dan tahukah Anda bahwa SSL.com sekarang memiliki buletin email juga? Isi formulir di bawah ini untuk menerima PKI dan berita keamanan digital seperti ini, ditambah informasi tentang produk dan layanan dari SSL.com. (Anda dapat dengan mudah berhenti berlangganan kapan saja dengan mengklik unsubscribe tautan di setiap email yang kami kirim.):
AS Bergabung dengan Enam Negara dalam Panggilan Baru untuk Akses Enkripsi Pintu Belakang
Sekali lagi, mereka yang berkuasa menyerukan apa yang disebut "pintu belakang" untuk enkripsi. Kali ini, menurut Verge, AS bergabung dengan Inggris, Australia, Selandia Baru, Kanada, India, dan Jepang dalam pernyataan internasional yang meminta akses untuk lembaga penegak hukum. Russell Brandom menulis:
Departemen Kehakiman memiliki sejarah panjang dalam advokasi anti-enkripsi. Pada tahun 2018, lima dari tujuh negara peserta mengungkapkan kekhawatiran serupa dalam memo terbuka kepada perusahaan teknologi, meskipun memo tersebut hanya menghasilkan sedikit atau tidak ada kemajuan terkait masalah tersebut dari industri. Di setiap kesempatan, perusahaan teknologi bersikeras bahwa setiap pintu belakang yang dibangun untuk penegakan hukum pasti akan menjadi sasaran penjahat, dan pada akhirnya membuat pengguna kurang aman ... Yang terpenting, tujuh negara tidak hanya akan berusaha mengakses data terenkripsi saat transit - seperti akhir- enkripsi to-end yang digunakan oleh WhatsApp - tetapi juga data yang disimpan secara lokal seperti konten telepon.
Tidak mengherankan, perusahaan teknologi dan pendukung privasi juga menentang pernyataan tersebut sebagai upaya lain untuk menggagalkan enkripsi oleh kekuatan yang ada.
Android 11 Memperketat Batasan pada Sertifikat CA.
Tim Perry laporan di Android Toolkit bahwa Android 11, yang dirilis pada 11 September, "tidak memungkinkan bagi aplikasi apa pun, alat debugging, atau tindakan pengguna untuk meminta penginstalan sertifikat CA, bahkan ke penyimpanan sertifikat yang dikelola pengguna yang tidak dipercaya oleh default. Satu-satunya cara untuk memasang sertifikat CA sekarang adalah dengan menggunakan tombol yang tersembunyi jauh di dalam setelan, di laman yang tidak dapat ditautkan oleh aplikasi. ”
Mengapa ini penting? Nah, meskipun manajemen CA harus dikontrol dengan hati-hati, ada kemungkinan alasan aplikasi memiliki akses untuk memilih mana yang dipercaya. Pengembang menggunakannya untuk pengujian, misalnya, dan perubahan ini membuatnya jauh lebih sulit. Namun, sulit untuk membantah bahwa perubahan tersebut merupakan kerugian bila dilihat melalui lensa keamanan; aplikasi yang meminta pengguna untuk menginstal sertifikat root dapat menyebabkan segala macam masalah, seperti memberi akses kepada orang jahat untuk menyamar sebagai situs web dan mendekripsi lalu lintas internet.
Zoom Mengatakan Enkripsi End-to-End Siap
Ini merupakan tahun yang besar bagi Zoom, perusahaan yang pertama kali menjadi berita utama sebagai cara bagi kita semua untuk terhubung selama penguncian pandemi, dan kemudian menjadi berita utama karena memungkinkan orang yang tidak diinginkan untuk terhubung dengan semua orang juga, karena masalah keamanan. Dalam langkah baru-baru ini untuk meningkatkan privasi dan keamanan, Zoom telah mengumumkan bahwa penerapan enkripsi ujung ke ujung siap untuk pratinjau.
Tentu saja, sebagai artikel oleh Simon Sharwood dalam The Register menunjukkan, Zoom mengklaim memiliki merek mereka sendiri dari "enkripsi ujung ke ujung" pada bulan April, tetapi pada saat itu aplikasi perusahaan TLS dan HTTPS berarti Zoom itu sendiri dapat mencegat dan mendekripsi obrolan — lalu lintas hanya dienkripsi "dari titik akhir Zoom ke titik akhir Zoom". Sekarang Zoom telah mengumumkan itu akan menjadi persembahan enkripsi ujung-ke-ujung yang nyata, yang tidak memungkinkan mereka mengakses obrolan.
Namun, seperti yang dicatat The Register, ada satu tangkapan:
[su-note class = ”info”]Takeaway SSL.com: Sebagai pengguna Zoom harian sendiri, kami memuji peningkatan pada catatan keamanannya yang buruk. Namun, enkripsi ujung-ke-ujung harus menjadi default daripada harus memilih setiap saat. [/ Su_note]Jangan berpikir pratinjau berarti Zoom telah mengesampingkan keamanan, karena perusahaan mengatakan: 'Untuk menggunakannya, pelanggan harus mengaktifkan rapat E2EE di tingkat akun dan ikut serta ke E2EE dengan basis per rapat' ... Dengan pengguna memiliki untuk terus diingatkan untuk menggunakan kata sandi non-sampah, untuk tidak mengklik phish atau membocorkan data bisnis di perangkat pribadi, mereka hampir pasti memilih E2EE setiap saat tanpa harus diminta, bukan?
Peramban Seluler Populer dan Safari Ditemukan Rentan terhadap Serangan Spoofing Bar Alamat
Dalam berita buruk yang dirilis oleh para peneliti keamanan siber, tampaknya beberapa bilah alamat browser rentan terhadap spoofing. Ravie Lakshmanan dengan The Hacker News melaporkan bahwa Apple Safari dan peramban seluler seperti Opera Touch dan Bolt terbuka untuk spoofing yang membuat pengguna yang tidak curiga rentan untuk mengunduh malware dan serangan phishing. Lakshmanan menulis:
Masalahnya berasal dari penggunaan kode JavaScript berbahaya yang dapat dieksekusi di situs web arbitrer untuk memaksa browser memperbarui bilah alamat saat laman masih memuat ke alamat lain pilihan penyerang… (A) n penyerang dapat membuat situs web berbahaya dan memikat menargetkan untuk membuka tautan dari email atau pesan teks palsu, dengan demikian mengarahkan penerima yang tidak curiga untuk mengunduh malware atau berisiko dicuri kredensial mereka.
Pada akhir Oktober, UCWeb dan Bolt belum menerima perbaikan, perbaikan untuk Opera diharapkan pada bulan November dan Safari telah mengatasi masalah tersebut melalui pembaruan.
SSL.com menyediakan berbagai macam SSL /TLS sertifikat server untuk situs web HTTPS.
