2021年XNUMX月のセキュリティ総まとめ

より長いコード署名キー、「ゼロ トラスト」の大統領令、ロシア語キーボードによるセキュリティ、CAPTCHAS の終了、Chrome 拡張機能 (in) セキュリティ。

関連コンテンツ

学び続けたいですか?

SSL.com のニュースレターを購読して、最新情報を入手し、安全を確保してください。

SSL.comのXNUMX月版へようこそ セキュリティ総まとめ、デジタルセキュリティの先月を振り返ります。 過去30日間で最も重要だとわかったもののコレクションを読み、オンラインで安全を確保してください。

コード署名証明書の新しい最小RSAキーサイズ

31年2021月3072日の時点で、SSL.comからのコード署名およびEVコード署名証明書には、XNUMXビットの最小RSAキーサイズが必要です。 この日付より前に発行された証明書は変更による影響を受けず、有効期限が切れるまで通常どおり機能します。 私たちはあなたのためにそれをすべてまとめました ブログ投稿 トピックに関する。

バイデン大統領令は「ゼロトラストアーキテクチャ」を要求

行政命令 12 月 XNUMX 日に署名された米国大統領のジョー・バイデンは、連邦政府に「ゼロ トラスト アーキテクチャ」を採用するよう公式に呼びかけました。 これは何を意味するのでしょうか? 基本的に、指令は、すべての人を攻撃に対して脆弱にする多くのセキュリティ侵害の基礎となっている、人、ソフトウェア、およびハードウェアに対する誤った信頼を獲得しようとしています。 スコット・シャッケルフォードとして のレポート スレート、の増大する世界的な脅威 ランサムウェア は少なくとも 2,354 回ヒットし、地方自治体や学校から医療提供者まですべての人を対象としています。 バイデン氏の命令は、これらの機関に対し、より偏執的な姿勢をとり、危険があらゆる場所にあると想定するよう求めている. スレート レポートから:

コンピュータネットワークのコンテキストでの信頼とは、人や他のコンピュータが、自分が誰であるか、およびアクセスが許可されているかどうかをほとんどまたはまったく確認せずにアクセスできるようにするシステムを指します。 ゼロ トラストは、脅威がネットワークの内外に遍在していることを当然のことと考えるセキュリティ モデルです。 代わりに、ゼロ トラストは、複数のソースからの情報による継続的な検証に依存しています。 そうすることで、このアプローチはデータ侵害の必然性を前提としています。 ゼロトラスト セキュリティは、侵害の防止だけに焦点を当てるのではなく、損害を限定し、システムの回復力と迅速な回復を保証します。

それはすべて非常に賢明ですが、それでもゼロトラストモデルを広く実装することには障壁があります。 新しいモデルをレガシー システムに実装するのは困難な場合があり、可能な場合でもコストがかかることがよくあります。 このモデルは、広く使用されているいくつかのシステムにも反しています。 ただし、行政命令 (政府システムにのみ適用される) は、セキュリティの方向への一歩であり、これらのシステムを全体的により安全にすることを約束します。 

SSL.comの要点: パスワードだけではもはや十分に安全ではありません。 時間ベースのOTPコードなどの手法に加えて、 クライアント証明書 は、フィッシングやブルート フォース攻撃に耐性のある認証要素を追加する優れた方法です。 詳細については、お読みください 相互認証によるユーザーとIoTデバイスの認証 TLS.

ロシアのハッカーをだますための「XNUMX つの奇妙なトリック」

テクノロジーの癖で、 セキュリティ ノートの Krebs ロシア語やウクライナ語を含む、特定の仮想キーボードがインストールされているコンピュータには、それほど多くのマルウェアはインストールされません。 Twitter のディスカッションとその後のブログ投稿で、セキュリティの専門家は、ランサムウェアの系統の大部分には、マルウェアが自分自身に感染しないようにするためのフェイルセーフが備わっていると説明しました。 ブログから:

DarkSideやその他のロシア語の関連会社の金儲けプログラムは、ウクライナやロシアを含む多くの東ヨーロッパ諸国のコンピューターに悪意のあるソフトウェアをインストールすることを犯罪者に長い間禁じてきました。 この禁止は、組織的なサイバー犯罪の初期にさかのぼり、地方自治体からの監視と干渉を最小限に抑えることを目的としています。

明らかに、ロシアでは、同胞が苦情を申し立てない限り、当局はロシア国民に対するサイバー犯罪捜査を開始することをためらっている. したがって、このようなフェールセーフは、熱を遮断する実用的な方法です。

SSL.comのポイント: システムにロシア語の仮想キーボードをインストールすることはセキュリティの万能薬ですか? まったくありませんが、それも害はありません。

CloudflareはCaptchasを廃止したいと考えています

先月、コンピューターにうんざりしている人たちに、自分たちも機械ではないことを証明するように頼むという朗報がありました。 説得力のあるタイトルで Cloudflareのブログ投稿、Thibault Meunierは、次のように宣言しています。 この狂気を終わらせる時が来ました。」 投稿はさらに、Cloudflareがユビキタスで迷惑なCAPTCHAを、SSL.comが配布するYubikeyFIPSキーなどのハードウェアセキュリティキーを含む新しい方法に置き換えたいと説明しています。 EVコード署名文書の署名 上の証明書。

ユーザーの観点からは、人格の暗号化証明書は次のように機能します。

  1. ユーザーは、Cryptographic Attestation ofPersonhoodによって保護されているWebサイトにアクセスします。 クラウドフレアチャレンジ.com.
  2. Cloudflareは挑戦に役立ちます。
  3. ユーザーが [私は人間 (ベータ版)] をクリックすると、セキュリティ デバイスを求めるプロンプトが表示されます。
  4. ユーザーがハードウェア セキュリティ キーを使用することを決定します。
  5. ユーザーは、デバイスをコンピューターに接続するか、ワイヤレス署名 (NFC を使用) のために電話にタップします。
  6. 暗号化構成証明が Cloudflare に送信されます。これにより、ユーザーは ユーザープレゼンステスト.

「500年」ではなく、このフローを完了するのにXNUMX秒かかります。 さらに重要なことに、アテステーションはユーザーのデバイスに一意にリンクされていないため、この課題はユーザーのプライバシーを保護します。

SSL.comのポイント: 「CryptographicAtestationof Personhood」に不気味なリングが付いていても、CAPTCHAは嫌いです。

何千ものChrome拡張機能がセキュリティヘッダーを改ざんしています

A 新しい研究 は、多くの Chrome 拡張機能が Web サイトのセキュリティ ヘッダーを改ざんし、ユーザーを危険にさらしていることを発見しました。 なので カタリン・シンパヌのレポート for 記録、すべてChromeウェブストアにある拡張機能は、すべて悪意を持って実行しているわけではありません。 

最も一般的に無効にされたセキュリティヘッダーはCSPでした。これは、サイト所有者がブラウザ内でページにロードできるWebリソースを制御できるようにするために開発されたセキュリティヘッダーであり、XSSやデータインジェクション攻撃からWebサイトとブラウザを保護できる一般的な防御です。

調査チームによると、分析したほとんどの場合、Chrome 拡張機能は CSP やその他のセキュリティ ヘッダーを無効にして、「訪問した Web ページに追加の無害に見える機能を導入」し、本質的に悪意があるようには見えませんでした。

ただし、拡張機能がユーザーエクスペリエンスをオンラインで充実させたい場合でも、ドイツの学者は、セキュリティヘッダーを改ざんすることで、ブラウザ内やWeb上で実行されている他のスクリプトやサイトからの攻撃にユーザーをさらすだけであると主張しました。

SSL.com の要点:ユーザーに追加機能を提供したいという開発者の要望は理解していますが、控えめに言っても、このようなWebサイトのセキュリティ機能を改ざんすることはお勧めできません。

 

フィードバックをお待ちしております

アンケートにご協力いただき、最近のご購入についてのご意見をお聞かせください。