Benvenuti all'edizione di aprile del riepilogo di SSL.com, in cui ripercorriamo il mese passato in materia di sicurezza digitale. Continua a leggere per scoprire la nostra raccolta di ciò che ci ha colpito nelle ultime quattro settimane e stai al sicuro là fuori!
Riposa in pace, Dan Kaminsky
SSL.com si unisce alla comunità di cybersecurity in lutto ricercatore Dan Kaminski. Dan era meglio conosciuto per il suo 2008 scoperta di un grave difetto nel Domain Name System (DNS) che consentiva un'ampia gamma di attacchi e poteva indirizzare utenti inconsapevoli a siti falsi dannosi. La sua ricerca includeva anche scoprire le vulnerabilità nell'autenticazione X.509, una base di PKI e certificati digitali. Kaminksy è stato ricordato nel New York Times come "salvatore della sicurezza di Internet" in un toccante necrologio scritto da Nicole Perlroth. Lei scrive:
"Internet non è mai stato progettato per essere sicuro", ha ricordato Kaminsky in un'intervista del 2016. “Internet è stato progettato per spostare le immagini dei gatti. Siamo molto bravi a muovere le immagini dei gatti. " Ma ha aggiunto: “Non pensavamo che avresti trasferito trilioni di dollari su questo. Cosa faremo? Ed ecco la risposta: alcuni di noi devono uscire e aggiustarlo. "
Registrazione beta pubblica di eSigner
Nelle notizie dal nostro campo, SSL.com invita Firma del codice EV ed firma del documento clienti a partecipare al beta pubblica of firmatario elettronico, La nuova piattaforma cloud unificata di SSL.com per la firma di documenti e codici.
eSigner include:
- eSigner Express Applicazione web GUI per la firma dei documenti e la firma del codice EV
- API Cloud Signature Consortium (CSC) per la firma del documento e la firma del codice EV
- CodeSignTool strumento da riga di comando per la firma del codice EV
Qualsiasi SSL.com Firma del documento or Firma del codice EV certificato può essere registrato in eSigner, consentendoti di firmare documenti e codice da qualsiasi dispositivo connesso a Internet senza token USB, HSM o PKI competenza. Le organizzazioni possono integrare eSigner con i flussi di lavoro di firma di documenti e codici, inclusa l'automazione CI / CD. Gli editori di software e i fornitori di servizi possono utilizzare eSigner per offrire funzionalità di firma digitale ai propri clienti.
eSigner sarà un servizio basato su abbonamento una volta lanciato completamente. Tuttavia, i partecipanti alla versione beta avranno accesso anticipato a eSigner Express, CSC API e CodeSignTool senza costi di abbonamento prima del rilascio commerciale completo di eSigner. Per iscriverti, compila il Modulo di registrazione beta eSigner e un membro del team SSL.com ti contatterà con i dettagli.
IoXT Alliance annuncia il nuovo standard di sicurezza per app mobili
I alleanza ioXt (Internet of Secure Things), un gruppo industriale che sviluppa e sostiene gli standard di sicurezza IoT, ha annunciato che sta espandendo il suo programma di conformità con un nuovo standard di sicurezza per le app mobili. Il nuovo profilo dell'applicazione mobile include i requisiti per le applicazioni di rete privata virtuale (VPN). Puoi leggere di più sul nuovo standard su Blog sulla sicurezza di Google. Come lo spiegano:
Il profilo dell'applicazione mobile ioXt fornisce una serie minima di best practice commerciali per tutte le app connesse al cloud in esecuzione su dispositivi mobili. Questa linea di base della sicurezza aiuta a mitigare le minacce comuni e riduce la probabilità di vulnerabilità significative. Il profilo sfrutta gli standard ei principi esistenti stabiliti da OWASP MASVS e VPN Trust Initiative e consente agli sviluppatori di differenziare le funzionalità di sicurezza in base alla crittografia, autenticazione, sicurezza di rete e qualità del programma di divulgazione delle vulnerabilità. Il profilo fornisce anche un framework per valutare i requisiti specifici della categoria di app che possono essere applicati in base alle funzionalità contenute nell'app.
In termini di infrastruttura a chiave pubblica, o PKI, i nuovi standard richiedono che tutto il traffico di rete sia crittografato e che venga verificato TLS viene utilizzato quando possibile. Il nuovo programma applica anche il pinning del certificato x509 per i servizi primari.
Il bug macOS "massiccio" ignora i requisiti di sicurezza
È stata rilevata una vulnerabilità nel sistema operativo macOS di Apple che consentiva agli aggressori di installare malware senza attivare avvisi di sicurezza. Il bug ha permesso ai cattivi attori di aggirare Funzionalità di sicurezza di macOS come Gatekeeper, File Quarantine e App Notarization per assumere il controllo dei computer. Lorenzo Franceschi-Bicchierai ha coperto il bug per la scheda madre di Vice Magazine in un articolo che sottolineava quanto fosse pericolosa la vulnerabilità. Poiché ha aggirato gli avvisi di sicurezza, un doppio clic da parte di qualsiasi utente potrebbe introdurre malware. E non è tutto:
Quel che è peggio, almeno un gruppo di hacker ha approfittato di questo bug per infettare le vittime per mesi, secondo Jaron Bradley, responsabile dei rilevamenti presso la società di sicurezza informatica Jamf Protect focalizzata su Apple ... "Uno dei nostri rilevamenti ci ha avvisato di questa nuova variante, e dopo un esame più attento abbiamo scoperto che utilizza questo bypass per consentirne l'installazione senza il prompt dell'utente finale ", ha detto Bradley in una chat online. "Ulteriori analisi ci portano a credere che gli sviluppatori del malware abbiano scoperto lo zero day e abbiano adeguato il proprio malware per utilizzarlo all'inizio del 2021".
Apple ha rilasciato la versione 11.3 di macOS, che dovrebbe essere scaricata immediatamente, poiché contiene un file patch per il bug. Una volta risolto, potresti voler controllare il file carrellata dettagliata Dan Goodin alle Ars Technica ha scritto di come gli hacker hanno sfruttato la vulnerabilità per installare malware.
