Raccolta di sicurezza informatica per gennaio 2022

La carrellata di questo mese discute due casi che suggeriscono le probabili tendenze che le agenzie governative dovranno affrontare quando si tratta di attacchi informatici. In qualità di azienda che mira a proteggere i governi e le organizzazioni private dagli attacchi informatici, abbiamo fornito collegamenti ad articoli completi che discutono dei prodotti e dei servizi offerti che rafforzano la sicurezza informatica di qualsiasi organizzazione. Infine, discutiamo anche di due aggiornamenti del servizio che offriamo ai nostri clienti. Continuare a leggere!

 

Gli utenti possono firmare il codice con la funzionalità Extended Validation Code Signing di eSigner. Clicca sotto per maggiori informazioni.

SCOPRI DI PIÙ

La contea del New Mexico diventa la prima vittima di ransomware del governo locale questo gennaio

Lo scorso 5 gennaio, la contea di Bernalillo, la più grande contea del New Mexico, è stata costretta a chiudere la maggior parte dei suoi edifici governativi in ​​risposta a un attacco ransomware. 

Molti dei sistemi informatici del governo della contea sono stati disconnessi da Internet per proteggere i record e altri file sensibili. Offline c'erano anche i siti web della contea.  

Entro il 14 gennaio, i residenti hanno continuato a ricevere il non servizio quando si trattava di elaborare transazioni immobiliari, registrazione degli elettori o licenze di matrimonio. 

Secondo un notizie, "la contea ha anche presentato un avviso di emergenza alla corte federale affermando di non essere stato in grado di rispettare i termini di un accordo che coinvolgeva le condizioni nella prigione della contea perché l'attacco ransomware ha interrotto l'accesso alle telecamere di sicurezza della prigione. Il mancato rispetto dei termini ha messo la struttura carceraria in uno stato di blocco e ha notevolmente ridotto alcuni privilegi dei detenuti, incluso il tempo libero trascorso fuori e l'accesso al telefono.

L'attacco informatico ha colpito anche i sistemi giudiziari costringendo i dipendenti a elaborare piani di riserva che potrebbero consentire temporaneamente un procedimento penale. 

Alla fine di gennaio, Bernalillo non si è ancora completamente ripreso da questo incidente.

A meno che le agenzie governative non adottino misure serie per migliorare la propria sicurezza informatica, continueranno a essere a rischio di attacchi debilitanti. Nel 2020, 113 attacchi ransomware sono stati eseguiti contro i governi locali. Nel 2021 anche 76 comuni hanno ammesso di aver ricevuto la stessa aggressione.

SSL.com's Takeaway: le agenzie governative continueranno a essere un bersaglio dei criminali informatici questo 2022. Se fai parte di un'agenzia governativa, il metodo migliore per proteggere il tuo sito Web, i tuoi dati e le tue transazioni è acquisire comprovati e testati PKI servizi da professionisti. Vai a Questo articolo per leggere come aiutiamo i governi a rafforzare la loro sicurezza informatica PKI.

Il Dipartimento della Difesa chiamato a proteggere il proprio Internet of Battlefield Things (IOBT)

Il Dipartimento della Difesa (DOD) ha sviluppato continuamente ciò che viene definito "Internet of Battlefield Things" (IOBT). Si tratta di reti di un'ampia gamma di apparecchiature militari collegate alla tecnologia intelligente. Questi includono sensori del campo di battaglia, radio e armi. 

Mentre IOBT aumenta le capacità dei militari, li predispone anche a molti problemi di sicurezza informatica. Man mano che vengono aggiunti più dispositivi connessi a Internet all'IOBT, aumentano anche i punti di ingresso per gli hacker per compromettere la rete. Quando le informazioni e le tecnologie classificate vengono rubate dagli hacker, questa può essere una situazione di vita o di morte. Ad esempio, nel 2018, è stato rivelato che i fitness tracker indossati dal personale militare potevano essere penetrati e perdita il movimento delle truppe che li indossano. 

Il Dipartimento della Difesa ha risposto alla crescente preoccupazione per IOBT creando il sistema Comply to Connect (C2C). Come ha spiegato di Daniel Goure del think tank Lexington Institute, C2C include quattro funzioni, che sono: “1) identificare e convalidare nuovi dispositivi connessi a una rete; 2) valutare la loro conformità alle politiche di sicurezza del DoD; 3) condurre un monitoraggio continuo di questi dispositivi e; 4) risolvendo automaticamente i problemi dei dispositivi, riducendo così la necessità di mantenere l'igiene informatica per gli amministratori della sicurezza informatica.

A quanto pare, DoD è stato due volte mandato dal Congresso degli Stati Uniti per implementare con forza C2C. Finora, solo la Marina degli Stati Uniti, il Corpo dei Marines degli Stati Uniti e diversi elementi del Dipartimento della Difesa hanno rispettato l'ordine, con la maggior parte dei rami secondari del dipartimento in ritardo. 

La continua crescita delle Infrastrutture a Chiave Pubblica (PKI) la tecnologia nel settore privato rappresenta un'opportunità urgente per il DoD di collaborare con esperti del settore quando si tratta di proteggere il proprio IOBT. Questa partnership consentirà al Dipartimento della Difesa di svolgere in sicurezza i suoi compiti pur essendo in grado di adattarsi alle esigenze militari in evoluzione.

SSL.com's Takeaway: SSL.com è un alleato del governo quando si tratta di sicurezza informatica. Leggi Questo articolo per scoprire come aiutiamo le agenzie governative a proteggere i loro sistemi IoT attraverso le infrastrutture a chiave pubblica (PKI) tecnologia.

SSL.com annuncia il supporto per TLS Credenziali delegate

Noi di SSL.com stiamo annunciando che supportiamo l'uso di credenziali delegate per tutti i client. L'emissione di certificati abilitati con credenziali delegate può essere effettuata tramite l'uso di API per l'automazione utilizzando il protocollo ACME. Poiché SSL.com utilizza ECDSA per implementare il PKI offerte ai clienti, le credenziali delegate emesse dai nostri clienti non sono vulnerabili agli attacchi di contraffazione delle firme.

Le credenziali delegate sono strutture di dati con firma digitale composte da due parti: un intervallo di validità e una chiave pubblica (insieme al relativo algoritmo di firma). Servono come a "Procura" per i server indicando che sono autorizzati a terminare il TLS connessione.

Le credenziali delegate sono progettate con lo scopo di aumentare la sicurezza. Quindi, possiedono alcuni tratti, come definiti nella bozza IEFT. Questi tratti includono quanto segue:

  • Il periodo massimo di validità di una credenziale delegata è sette (7) giorni per ridurre al minimo l'esposizione se la chiave privata è compromessa. 
  • Le credenziali delegate sono legato crittograficamente al certificato dell'entità finale. In particolare, la chiave privata del certificato dell'entità finale viene utilizzata per calcolare la firma del DC tramite un algoritmo specificato dalla credenziale.
  • Le credenziali delegate vengono emesse dal client, il che è molto più semplice rispetto alla creazione di un certificato firmato da una CA. I certificati emessi dal cliente sono utili anche per mantenere il servizio funzionante anche se la CA ha un tempo di inattività.
  • Le credenziali delegate hanno brevi periodi di validità per definizione. Quando si imposta la durata delle credenziali delegate, i server devono prendere in considerazione lo sfasamento dell'orologio del client per evitare il rifiuto dei certificati.
  • Non esiste un meccanismo di revoca per le credenziali delegate. Sono invalidati una volta scaduto il periodo di validità.
  • Le credenziali delegate sono progettate per essere utilizzate in TLS 1.3 o più tardi. C'è una vulnerabilità nota quando TLS I server 1.2 supportano lo scambio di chiavi RSA, consentendo la contraffazione di una firma RSA su un messaggio arbitrario.
  • Le organizzazioni possono utilizzare le API di emissione automatizzata esistenti come ACME per fornire credenziali delegate.
  • Le credenziali delegate non possono essere riutilizzate in più contesti. 

 Leggi di più sull'argomento TLS credenziali delegate facendo clic su questo link al nostro articolo completo.

SSL.com lancia completamente eSigner CKA

Questo gennaio, SSL.com ha rilasciato eSigner CKA, un plug-in Microsoft Crypto Next Generation (CNG) che consente a strumenti Windows come certutil.exe e signtool.exe di utilizzare eSigner CSC per le operazioni di firma del codice. Ci sono cinque vantaggi identificati per gli sviluppatori di software e gli editori quando utilizzano eSigner CKA.

  1. Funziona come un token USB virtuale – Solo i certificati digitali considerati attendibili da Windows vengono visualizzati nell'archivio certificati. Perché eSigner CKA è un programma sviluppato da SSL.com (a PKI società riconosciuta da Windows come autorità di certificazione), viene fornita anche la fiducia perché è in grado di caricare correttamente il certificato di firma del codice EV sull'archivio certificati utente senza problemi.  
  2. Può essere utilizzato direttamente su Windows SignTool: la firma del codice EV con eSigner CKA è così conveniente che devi letteralmente aprire SignTool e inserire la riga di comando. Se ti senti più a tuo agio con la ricezione di password monouso sul tuo cellulare e utilizzando un'app di autenticazione, puoi scegliere la modalità manuale. Se desideri firmare il codice per il tuo software a un ritmo più veloce ma ricevere comunque lo stesso elevato livello di sicurezza e se desideri avere il controllo della tua chiave privata per la firma, puoi optare per la modalità automatizzata.
  3. Interfaccia utente semplice e pulita: la piattaforma intuitiva di eSigner CKA consente alle aziende di software di risparmiare molto tempo prezioso e consente loro di concentrarsi sul lavoro di sviluppo effettivo. Installa il programma, seleziona la tua modalità di firma, inserisci le tue credenziali di accesso e firma il tuo codice. Tutti questi passaggi sono disposti per te su schermate di finestre semplici. Installazione rapida ed esecuzione ancora più rapida. 
  4. Nessun token perso: eSigner CKA risolve il limite con l'utilizzo di token fisici nella firma del codice. Con questo programma, non sono necessari token USB separati per eseguire correttamente la firma del codice EV. eSigner CKA è esso stesso il "token". Una volta installato, devi solo recuperare il tuo certificato di firma del codice EV dall'archivio certificati e sei a posto. Ciò significa che non devi preoccuparti di smarrire il token hardware o di rimanere bloccato a causa della dimenticanza della password e del consumo dei tentativi di password del token rimanenti.   
  5. Supporta la firma del codice EV in ambienti CI/CD: eSigner CKA può essere utilizzato in remoto in qualsiasi luogo e in qualsiasi momento. Questo programma migliora la sicurezza della pipeline DevOps garantendo che i componenti software condivisi dai tecnici, che lavorano in orari e luoghi diversi, siano autenticati con un certificato SSL.com EV Code Signing. Agli hacker viene quindi impedito di compromettere il processo di creazione del software perché un file dannoso che tentano di iniettare verrà identificato come non firmato in modo sicuro.

Scarica eSigner CKA facendo clic qui: eSigner CKA (adattatore chiave cloud) 

Ottieni i tuoi certificati di firma del codice EV SSL.com qui

E fare clic su questo guida su come installare e utilizzare eSigner CKA.

Gli utenti possono firmare il codice con la funzionalità Extended Validation Code Signing di eSigner. Clicca sotto per maggiori informazioni.

SCOPRI DI PIÙ

Iscriviti alla Newsletter di SSL.com

Non perdere nuovi articoli e aggiornamenti da SSL.com

Ci piacerebbe il tuo feedback

Partecipa al nostro sondaggio e facci sapere cosa ne pensi del tuo recente acquisto.