Rassegna sulla sicurezza di ottobre 2020

Benvenuti all'edizione di ottobre del riepilogo sulla sicurezza di SSL.com! Per questa edizione molto speciale di Halloween, abbiamo mantenuto i nostri contenuti esattamente gli stessi. Dopo tutto, cosa c'è di più spaventoso delle preoccupazioni per la sicurezza digitale e della crittografia difettosa?

E sapevi che ora SSL.com ha anche una newsletter via email? Compila il form sottostante per ricevere PKI e notizie sulla sicurezza digitale come questa, oltre a informazioni su prodotti e servizi da SSL.com. (Puoi annullare l'iscrizione facilmente in qualsiasi momento facendo clic su cancellarsi link in ogni email che inviamo.):




Gli Stati Uniti si uniscono a sei paesi in una nuova richiesta per l'accesso alla crittografia backdoor

Ancora una volta, chi è al potere chiede le cosiddette "backdoor" per la crittografia. Questa volta, secondo La Verge, gli Stati Uniti si uniscono a Regno Unito, Australia, Nuova Zelanda, Canada, India e Giappone in una dichiarazione internazionale che chiede l'accesso per le forze dell'ordine. Russell Brandom scrive:

Il Dipartimento di Giustizia ha una lunga storia di difesa contro la crittografia. Nel 2018, cinque dei sette paesi partecipanti hanno espresso dubbi simili in un promemoria aperto alle aziende tecnologiche, sebbene il promemoria abbia portato a pochi o nessun progresso sulla questione da parte del settore. Ad ogni turno, le aziende tecnologiche hanno insistito sul fatto che qualsiasi backdoor costruita per le forze dell'ordine sarebbe stata inevitabilmente presa di mira dai criminali e alla fine avrebbe lasciato gli utenti meno al sicuro ... Fondamentalmente, i sette paesi non solo cercheranno di accedere ai dati crittografati in transito - come la fine - crittografia to-end utilizzata da WhatsApp, ma anche dati memorizzati localmente come i contenuti di un telefono.

Non sorprende che anche le aziende tecnologiche e i sostenitori della privacy si siano espressi contro la dichiarazione come altri tentativi di ostacolare la crittografia dai poteri che sono.

Da asporto di SSL.com: Non importa quante lettere siano scritte, SSL.com non è d'accordo con l'apertura di backdoor alla crittografia. Non solo rappresentano una minaccia per la sicurezza maggiore della loro assenza, ma minano anche la privacy in modo reale e pericoloso.
Inizio pagina

Android 11 rafforza le restrizioni sui certificati CA.

TimPerry rapporti in Android Toolkit che Android 11, che è stato rilasciato l'11 settembre, rende “impossibile per qualsiasi app, strumento di debug o azione dell'utente richiedere di installare un certificato CA, anche nell'archivio certificati gestito dall'utente non attendibile per impostazione predefinita. L'unico modo per installare qualsiasi certificato CA ora è utilizzare un pulsante nascosto nelle impostazioni, su una pagina a cui le app non possono collegarsi ".

Perché questo è importante? Bene, sebbene la gestione della CA debba essere attentamente controllata, ci sono potenziali motivi per cui le app hanno accesso alla scelta di quelle affidabili. Gli sviluppatori lo usano per testare, ad esempio, e questa modifica lo rende molto più difficile. Tuttavia, è difficile sostenere che il cambiamento sia una perdita se visto attraverso la lente della sicurezza; app che richiedono agli utenti di installare certificati radice può portare a tutti i tipi di problemi, come dare accesso ai malintenzionati per impersonare siti Web e decrittografare il traffico Internet.

Da asporto di SSL.com: Mentre gli sviluppatori Android possono lamentarsi della loro ritrovata incapacità di installare certificati CA tramite app, anche il rafforzamento dei controlli sugli archivi di certificati di Android può essere visto come una vittoria per la privacy. Vedere questo pezzo dalla Electronic Frontier Foundation, che celebra l'interfaccia utente più dettagliata ed esplicita di Android 11 per l'installazione dei certificati.
Inizio pagina

Zoom afferma che la crittografia end-to-end è pronta

È stato un anno importante per Zoom, una società che prima ha fatto notizia come un modo per tutti noi di essere collegati durante il blocco della pandemia, e poi ha fatto notizia per aver consentito a persone indesiderate di connettersi anche a tutti, a causa di problemi di sicurezza. In una recente mossa per migliorare la privacy e la sicurezza, Zoom ha annunciato che la sua implementazione della crittografia end-to-end è pronta per un'anteprima.

Naturalmente, come un articolo di Simon Sharwood in The Register sottolinea, Zoom ha affermato di avere il proprio marchio di "crittografia end-to-end" ad aprile, ma a quel tempo l'applicazione della società di TLS e HTTPS significava che Zoom stesso poteva intercettare e decrittografare le chat: il traffico veniva crittografato solo "dal punto finale Zoom al punto finale Zoom". Ora Zoom ha annunciato offrirà vera crittografia end-to-end, che non consente loro di accedere alle chat.

Tuttavia, come osserva The Register, c'è un problema:

Non pensare che l'anteprima significhi che Zoom ha eliminato la sicurezza, perché la società dice: "Per utilizzarlo, i clienti devono abilitare le riunioni E2EE a livello di account e optare per E2EE in base alla riunione" ... Con gli utenti che hanno per essere costantemente ricordati di utilizzare password non spazzatura, di non fare clic su phishing o di divulgare dati aziendali su dispositivi personali, quasi sicuramente sceglieranno E2EE ogni volta senza nemmeno dover essere richiesto, giusto?

[su-note class = "info"]Da asporto di SSL.com: Come utenti giornalieri di Zoom noi stessi, applaudiamo i miglioramenti al suo record irregolare sulla sicurezza. Tuttavia, la crittografia end-to-end dovrebbe essere predefinita anziché richiedere l'attivazione ogni volta. [/ Su_note]
Inizio pagina

I browser mobili e Safari più diffusi sono stati trovati vulnerabili agli attacchi di spoofing della barra degli indirizzi

Tra le cattive notizie rilasciate dai ricercatori sulla sicurezza informatica, sembra che alcune barre degli indirizzi del browser siano vulnerabili allo spoofing. Ravie Lakshmanan con The Hacker News segnala che Apple Safari e browser mobili come Opera Touch e Bolt sono aperti allo spoofing che lascia gli utenti ignari suscettibili al download di malware e attacchi di phishing. Lakshmanan scrive:

Il problema deriva dall'utilizzo di codice JavaScript eseguibile dannoso in un sito Web arbitrario per forzare il browser ad aggiornare la barra degli indirizzi mentre la pagina si sta ancora caricando su un altro indirizzo a scelta dell'aggressore ... (A) n l'aggressore può configurare un sito Web dannoso e attirare il mirare ad aprire il collegamento da un'e-mail o un messaggio di testo falsificato, inducendo così un destinatario ignaro a scaricare malware o rischiare che le proprie credenziali vengano rubate.

Alla fine di ottobre, UCWeb e Bolt non avevano ricevuto correzioni, era prevista una correzione per Opera a novembre e Safari aveva risolto il problema tramite un aggiornamento.

Da asporto di SSL.com: Sebbene non sia piacevole, dovrebbe essere un promemoria efficace per aggiornare il tuo browser! Sebbene, naturalmente, i nostri utenti rimangano aggiornati sui numerosi problemi di sicurezza del browser scoperti ogni anno, gli aggiornamenti regolari ti assicureranno di ottenere ogni patch.

SSL.com fornisce un'ampia varietà di file SSL /TLS certificati del server per i siti Web HTTPS.

CONFRONTA SSL /TLS CERTIFICATI

Elisabetta Pagano

Tutti i messaggi

Messaggi correlati

Visualizza tutti i post del blog
Facebook LinkedIn Twitter Youtube Github

Cos'è SSL /TLS?

Riproduci video

Iscriviti alla Newsletter di SSL.com

Non perdere nuovi articoli e aggiornamenti da SSL.com

Ci piacerebbe il tuo feedback

Partecipa al nostro sondaggio e facci sapere cosa ne pensi del tuo recente acquisto.

Partecipa al sondaggio