Riassunto della sicurezza di maggio 2021

Benvenuto nell'edizione di maggio di SSL.com Riassunto della sicurezza, in cui ripercorriamo l'ultimo mese nel campo della sicurezza digitale. Continua a leggere per la nostra raccolta di ciò che abbiamo trovato più importante negli ultimi 30 giorni e rimani al sicuro online!

Nuova dimensione minima della chiave RSA per i certificati di firma del codice

Tra le nostre notizie, al 31 maggio 2021, i certificati di firma del codice e di firma del codice EV di SSL.com richiedono una dimensione minima della chiave RSA di 3072 bit. I certificati emessi prima di tale data non sono interessati dalla modifica e funzioneranno normalmente fino alla scadenza. Abbiamo preparato tutto per te in a post sul blog sul tema.

Inizio pagina

L'ordine esecutivo di Biden chiede "l'architettura Zero Trust"

In un ordine esecutivo firmato il 12 maggio, il presidente degli Stati Uniti Joe Biden ha ufficialmente chiesto al governo federale di adottare una "architettura zero trust". Cosa significa questo? In sostanza, la direttiva tenta di ottenere una fiducia mal riposta nelle persone, nel software e nell'hardware che è alla base di molte delle violazioni della sicurezza che hanno reso tutti vulnerabili agli attacchi. Come Scott Shackelford rapporti per Ardesia, la crescente minaccia globale di ransomware ha colpito almeno 2,354 volte, prendendo di mira tutti, dai governi locali e dalle scuole agli operatori sanitari. L'ordine di Biden chiede a queste istituzioni di assumere una posizione più paranoica e presumere che il pericolo sia dietro ogni angolo, e anche nella casa che si vuole proteggere. Dal rapporto Slate:

La fiducia nel contesto delle reti di computer si riferisce a sistemi che consentono alle persone o ad altri computer di accedere con poca o nessuna verifica di chi siano e se siano autorizzati ad accedervi. Zero Trust è un modello di sicurezza che dà per scontato che le minacce siano onnipresenti all'interno e all'esterno delle reti. La fiducia zero si basa invece sulla verifica continua tramite informazioni provenienti da più fonti. In tal modo, questo approccio presuppone l'inevitabilità di una violazione dei dati. Invece di concentrarsi esclusivamente sulla prevenzione delle violazioni, la sicurezza zero-trust garantisce invece che i danni siano limitati e che il sistema sia resiliente e possa ripristinarsi rapidamente.

È tutto molto sensato, eppure ci sono barriere per implementare ampiamente un modello zero-trust. Può essere difficile implementare il nuovo modello in sistemi legacy e, anche quando possibile, è spesso costoso. Il modello è anche in contrasto con alcuni sistemi ampiamente utilizzati. Tuttavia, l'ordine esecutivo, che si applica solo ai sistemi di governo, è un passo nella direzione della sicurezza e promette di rendere questi sistemi più sicuri nel complesso. 

Da asporto di SSL.com: Le password da sole non sono più abbastanza sicure. Oltre a tecniche come i codici OTP basati sul tempo, certificati client sono un ottimo modo per aggiungere un fattore di autenticazione resistente al phishing e agli attacchi di forza bruta. Per ulteriori informazioni, si prega di leggere Autenticazione di utenti e dispositivi IoT con Mutual TLS.
Inizio pagina

"Uno strano trucco" per sventare gli hacker russi

In un capriccio della tecnologia, Krebs sulle note di sicurezza quella quantità di malware non verrà installata sui computer su cui sono installate determinate tastiere virtuali, comprese quelle russe e ucraine. In una discussione su Twitter, e in seguito in un post sul blog, l'esperto di sicurezza ha spiegato che la stragrande maggioranza dei ceppi di ransomware ha un sistema di sicurezza per garantire che il malware non infetti il ​​proprio. Dal blog:

DarkSide e altri programmi per fare soldi affiliati in lingua russa hanno a lungo impedito ai loro associati criminali di installare software dannoso su computer in una serie di paesi dell'Europa orientale, tra cui Ucraina e Russia. Questo divieto risale ai primi giorni della criminalità informatica organizzata e mira a ridurre al minimo il controllo e l'interferenza delle autorità locali.

Apparentemente, in Russia le autorità sono riluttanti ad avviare indagini sui crimini informatici contro cittadini russi a meno che un connazionale non avvii la denuncia. Tali dispositivi di sicurezza, quindi, sono un modo pratico per mantenere il calore spento.

Da asporto di SSL.com: Installare una tastiera virtuale russa sul tuo sistema è una panacea per la sicurezza? Niente affatto, ma non farà neanche male.
Inizio pagina

Cloudflare vuole eliminare i captcha

Il mese scorso ha visto buone notizie per coloro che sono stanchi dei computer che chiedono loro di dimostrare che anche loro non sono macchine. In un titolo avvincente Post sul blog di Cloudflare, Thibault Meunier dichiara: “L'umanità spreca circa 500 anni al giorno in CAPTCHA. È ora di porre fine a questa follia". Il post prosegue spiegando che Cloudflare vuole sostituire i CAPTCHA onnipresenti e fastidiosi con un nuovo metodo che coinvolge chiavi di sicurezza hardware, come le chiavi Yubikey FIPS distribuite da SSL.com Firma del codice EV ed firma del documento certificati su.

Dal punto di vista dell'utente, un'attestazione crittografica di personalità funziona come segue:

  1. L'utente accede a un sito Web protetto da Attestato crittografico della personalità, come cloudflarechallenge.com.
  2. Cloudflare serve una sfida.
  3. L'utente fa clic su Sono umano (beta) e viene richiesto un dispositivo di sicurezza.
  4. L'utente decide di utilizzare una chiave di sicurezza hardware.
  5. L'utente collega il dispositivo al computer o lo tocca sul telefono per la firma wireless (utilizzando NFC).
  6. Un'attestazione crittografica viene inviata a Cloudflare, che consente all'utente di accedere previa verifica del test di presenza dell'utente.

Invece di "500 anni", il completamento di questo flusso richiede cinque secondi. Ancora più importante, questa sfida protegge la privacy degli utenti poiché l'attestazione non è collegata in modo univoco al dispositivo dell'utente.

Da asporto di SSL.com: Anche noi odiamo i CAPTCHA, anche se "Cryptographic Attetation of Personhood" suona inquietante.
Inizio pagina

Migliaia di estensioni di Chrome stanno manomettendo le intestazioni di sicurezza

A nuovo studio ha scoperto che molte estensioni di Chrome manomettono le intestazioni di sicurezza del sito Web, mettendo a rischio gli utenti. Come Lo riferisce Catalin Cimpanu per Il disco, le estensioni, che si trovano tutte nel Chrome Web Store, non lo fanno tutte con cattive intenzioni: 

L'intestazione di sicurezza più comunemente disabilitata era CSP, un'intestazione di sicurezza sviluppata per consentire ai proprietari di siti di controllare quali risorse Web è consentito caricare una pagina all'interno di un browser e una tipica difesa in grado di proteggere siti Web e browser da attacchi XSS e iniezione di dati.

Secondo il team di ricerca, nella maggior parte dei casi analizzati, le estensioni di Chrome hanno disabilitato CSP e altre intestazioni di sicurezza "per introdurre funzionalità aggiuntive apparentemente benigne nella pagina Web visitata" e non sembravano di natura dannosa.

Tuttavia, anche se le estensioni volevano arricchire l'esperienza dell'utente online, gli accademici tedeschi sostenevano che manomettendo le intestazioni di sicurezza, tutto ciò che le estensioni facevano era esporre gli utenti ad attacchi da altri script e siti in esecuzione all'interno del browser e sul web.

L'asporto di SSL.com: Comprendiamo il desiderio degli sviluppatori di fornire funzionalità aggiuntive agli utenti, ma riteniamo che manomettere le funzionalità di sicurezza dei siti Web come questa sia a dir poco sconsiderato.

 

Elisabetta Pagano

Tutti i messaggi

Messaggi correlati

Visualizza tutti i post del blog
Facebook LinkedIn Twitter Youtube Github

Cos'è SSL /TLS?

Riproduci video

Iscriviti alla Newsletter di SSL.com

Non perdere nuovi articoli e aggiornamenti da SSL.com

Ci piacerebbe il tuo feedback

Partecipa al nostro sondaggio e facci sapere cosa ne pensi del tuo recente acquisto.

Partecipa al sondaggio