Roundup Keamanan Mei 2021

Selamat datang di SSL.com edisi Mei Roundup Keamanan, di mana kita melihat kembali bulan lalu dalam keamanan digital. Baca terus untuk koleksi kami tentang apa yang kami anggap paling penting selama 30 hari terakhir, dan tetap aman saat online!

Ukuran Kunci RSA Minimum Baru untuk Sertifikat Penandatanganan Kode

Sedikit berita kami sendiri, mulai 31 Mei 2021, penandatanganan kode dan sertifikat penandatanganan kode EV dari SSL.com memerlukan ukuran kunci RSA minimal 3072 bit. Sertifikat yang diterbitkan sebelum tanggal ini tidak terpengaruh oleh perubahan dan akan berfungsi seperti biasa hingga habis masa berlakunya. Kami telah menyiapkan semuanya untuk Anda dalam posting blog pada topik.

Perintah Eksekutif Biden Menyerukan 'Arsitektur Zero Trust'

Dalam perintah eksekutif ditandatangani pada 12 Mei, Presiden AS Joe Biden telah secara resmi meminta pemerintah federal untuk mengadopsi "arsitektur kepercayaan nol." Apa artinya ini? Pada dasarnya, arahan mencoba untuk mendapatkan kepercayaan yang salah pada orang, perangkat lunak dan perangkat keras yang merupakan dasar dari banyak pelanggaran keamanan yang membuat semua orang rentan terhadap serangan. Sebagai Scott Shackelford laporan untuk Batu tulis, ancaman global yang terus meningkat dari ransomware telah mencapai setidaknya 2,354 kali, menargetkan semua orang mulai dari pemerintah daerah dan sekolah hingga penyedia layanan kesehatan. Perintah Biden meminta lembaga-lembaga ini untuk mengambil sikap yang lebih paranoid dan menganggap bahwa bahaya ada di setiap sudut—dan bahkan di rumah yang ingin dilindungi. Dari laporan Slate:

Kepercayaan dalam konteks jaringan komputer mengacu pada sistem yang memungkinkan orang atau komputer lain mengakses dengan sedikit atau tanpa verifikasi siapa mereka dan apakah mereka berwenang untuk memiliki akses. Zero Trust adalah model keamanan yang menerima begitu saja bahwa ancaman ada di mana-mana di dalam dan di luar jaringan. Zero trust malah bergantung pada verifikasi berkelanjutan melalui informasi dari berbagai sumber. Dengan demikian, pendekatan ini mengasumsikan keniscayaan pelanggaran data. Alih-alih berfokus secara eksklusif pada pencegahan pelanggaran, keamanan tanpa kepercayaan memastikan bahwa kerusakan terbatas, dan sistem tangguh dan dapat pulih dengan cepat.

Semuanya sangat masuk akal, namun ada hambatan untuk menerapkan model tanpa kepercayaan secara luas. Mungkin sulit untuk menerapkan model baru ke dalam sistem lama dan, bahkan jika memungkinkan, seringkali mahal. Model ini juga bertentangan dengan beberapa sistem yang banyak digunakan. Namun, perintah eksekutif—yang hanya berlaku untuk sistem pemerintah—merupakan langkah menuju keamanan, dan berjanji untuk membuat sistem tersebut lebih aman secara keseluruhan. 

Takeaway SSL.com: Kata sandi saja tidak cukup aman lagi. Selain teknik seperti kode OTP berbasis waktu, sertifikat klien adalah cara yang bagus untuk menambahkan faktor autentikasi yang tahan terhadap serangan phishing dan brute force. Untuk informasi lebih lanjut, silakan baca Mengautentikasi Pengguna dan Perangkat IoT dengan Mutual TLS.

'Satu Trik Aneh' untuk Menggagalkan Peretas Rusia

Dalam kecanggihan teknologi, Krebs pada catatan Keamanan malware sebanyak itu tidak akan diinstal pada komputer yang memiliki keyboard virtual tertentu, termasuk yang Rusia dan Ukraina. Dalam diskusi Twitter, dan kemudian posting blog, pakar keamanan menjelaskan bahwa sebagian besar jenis ransomware memiliki failsafe untuk memastikan bahwa malware tidak menginfeksi miliknya sendiri. Dari blognya:

DarkSide dan program penghasil uang afiliasi berbahasa Rusia lainnya telah lama melarang rekan kriminal mereka menginstal perangkat lunak berbahaya di komputer di sejumlah negara Eropa Timur, termasuk Ukraina dan Rusia. Larangan ini sudah ada sejak hari-hari awal kejahatan dunia maya terorganisir, dan dimaksudkan untuk meminimalkan pengawasan dan campur tangan dari pihak berwenang setempat.

Rupanya, di Rusia pihak berwenang enggan untuk memulai penyelidikan kejahatan dunia maya terhadap warga negara Rusia kecuali rekan senegaranya yang memulai pengaduan. Maka, failsafes seperti itu adalah cara praktis untuk menjauhkan panas.

Takeaway SSL.com: Apakah memasang keyboard virtual Rusia di sistem Anda merupakan obat mujarab keamanan? Tidak sama sekali, tapi tidak akan sakit juga.

Cloudflare Ingin Menghilangkan Captcha

Bulan lalu melihat kabar baik bagi mereka yang bosan dengan komputer yang meminta mereka untuk membuktikan bahwa mereka juga bukan mesin. Dalam judul yang meyakinkan Postingan blog Cloudflare, Thibault Meunier menyatakan, “Umat manusia menghabiskan sekitar 500 tahun per hari pada CAPTCHA. Sudah waktunya untuk mengakhiri kegilaan ini.” Posting selanjutnya menjelaskan bahwa Cloudflare ingin mengganti CAPTCHA yang mengganggu di mana-mana dengan metode baru yang melibatkan kunci keamanan perangkat keras, seperti kunci FIPS Yubikey yang didistribusikan SSL.com Penandatanganan kode EV dan penandatanganan dokumen sertifikat pada.

Dari sudut pandang pengguna, Pengesahan Kriptografis tentang Kepribadian berfungsi sebagai berikut:

  1. Pengguna mengakses situs web yang dilindungi oleh Pengesahan Cryptographic of Personhood, seperti: cloudflarechallenge.com.
  2. Cloudflare menyajikan tantangan.
  3. Pengguna mengklik I am human (beta) dan dimintai perangkat keamanan.
  4. Pengguna memutuskan untuk menggunakan Kunci Keamanan Perangkat Keras.
  5. Pengguna mencolokkan perangkat ke komputer mereka atau mengetuknya ke telepon mereka untuk tanda tangan nirkabel (menggunakan NFC).
  6. Pengesahan kriptografi dikirim ke Cloudflare, yang memungkinkan pengguna masuk setelah verifikasi verification tes kehadiran pengguna.

Alih-alih "500 tahun", menyelesaikan aliran ini membutuhkan waktu lima detik. Lebih penting lagi, tantangan ini melindungi privasi pengguna karena pengesahan tidak secara unik ditautkan ke perangkat pengguna.

Takeaway SSL.com: Kami juga membenci CAPTCHA, bahkan jika "Pengesahan Kriptografis tentang Kepribadian" memiliki nada yang menyeramkan.

Ribuan ekstensi Chrome merusak header keamanan

A baru studi telah menemukan bahwa banyak ekstensi Chrome merusak tajuk keamanan situs web, sehingga membahayakan pengguna. Sebagai Catalin Cimpanu melaporkan untuk Rekaman, ekstensi, yang semuanya ditemukan di Toko Web Chrome, tidak semuanya melakukannya dengan niat jahat: 

Header keamanan yang paling sering dinonaktifkan adalah CSP, header keamanan yang dikembangkan untuk memungkinkan pemilik situs mengontrol sumber daya web apa yang boleh dimuat di dalam browser dan pertahanan khas yang dapat melindungi situs web dan browser dari serangan XSS dan injeksi data.

Menurut tim peneliti, dalam sebagian besar kasus yang mereka analisis, ekstensi Chrome menonaktifkan CSP dan header keamanan lainnya "untuk memperkenalkan fungsionalitas tambahan yang tampaknya tidak berbahaya pada halaman web yang dikunjungi," dan tidak terlihat berbahaya.

Namun, bahkan jika ekstensi ingin memperkaya pengalaman pengguna secara online, akademisi Jerman berpendapat bahwa dengan merusak header keamanan, semua ekstensi yang dilakukan adalah untuk mengekspos pengguna terhadap serangan dari skrip dan situs lain yang berjalan di dalam browser dan di web.

Takeaway SSL.com: Kami memahami keinginan pengembang untuk menyediakan fungsionalitas tambahan kepada pengguna, tetapi menurut pendapat kami, merusak fitur keamanan situs web seperti ini sangat tidak disarankan.

 

Berlangganan Newsletter SSL.com

Jangan lewatkan artikel dan pembaruan baru dari SSL.com

Kami sangat menantikan tanggapan Anda

Ikuti survei kami dan beri tahu kami pendapat Anda tentang pembelian terakhir Anda.