SSL.com RoundupのXNUMX月版へようこそ。ここでは、先月のデジタルセキュリティを振り返ります。 過去XNUMX週間に私たちを襲ったもののコレクションを読んで、安全を確保してください。
安らかに眠れ、ダン・カミンスキー
SSL.comは、研究者を悼んでサイバーセキュリティコミュニティに参加します ダン・カミンスキー。 ダンは2008年に最もよく知られていました 大きな欠陥の発見 ドメインネームシステム(DNS)で、さまざまな攻撃を許可し、知らないユーザーを悪意のある詐欺サイトに誘導する可能性があります。 彼の研究には 脆弱性の発見 X.509認証では、 PKI およびデジタル証明書。 カミンクシーは ニューヨーク·タイムズ紙 「インターネットセキュリティの救世主」として 感動的な死亡記事で ニコールペアロートによって書かれました。 彼女は書く:
「インターネットは決して安全になるように設計されていませんでした」とカミンスキー氏は2016年のインタビューで回想しました。 「インターネットは猫の写真を動かすように設計されました。 私たちは猫の動画がとても得意です。」 しかし、彼は次のように付け加えました。 何しようか? そして、ここに答えがあります:私たちの何人かは外に出てそれを修正しなければなりませんでした。」
eSignerパブリックベータ登録
私たち自身のキャンプからのニュースで、SSL.comは招待します EVコード署名 • 文書の署名 に参加する顧客 パブリックベータ of 電子署名者、ドキュメントおよびコード署名用のSSL.comの新しい統合クラウドプラットフォーム。
eSignerに含まれるもの:
- 電子署名エクスプレス ドキュメント署名およびEVコード署名用のGUIWebアプリケーション
- クラウド署名コンソーシアム(CSC)API 文書署名およびEVコード署名用
- コード署名ツール EVコード署名用のコマンドラインツール
任意のSSL.com ドキュメントの署名 or EVコード署名 証明書はeSignerに登録でき、USBトークン、HSM、または PKI 専門知識。 組織は、eSignerを、CI / CD自動化を含むドキュメントおよびコード署名ワークフローと統合できます。 ソフトウェア発行者とサービスプロバイダーは、eSignerを使用して顧客にデジタル署名機能を提供できます。
eSignerは、完全に開始されるとサブスクリプションベースのサービスになります。 ただし、ベータ参加者は、eSignerの完全な商用リリースの前に、サブスクリプション料金なしでeSigner Express、CSC API、およびCodeSignToolに早期アクセスできます。 サインアップするには、 eSignerベータ登録フォーム SSL.comチームメンバーから詳細が連絡されます。
IoXTAllianceが新しいモバイルアプリのセキュリティ標準を発表
この ioXt(Internet of Secure Things)アライアンス、IoTセキュリティ標準を開発および提唱している業界団体、 発表しました モバイルアプリの新しいセキュリティ標準でコンプライアンスプログラムを拡大していること。 ザ・ 新しいモバイルアプリケーションプロファイル 仮想プライベートネットワーク(VPN)アプリケーションの要件が含まれています。 あなたはで新しい標準についてもっと読むことができます Googleセキュリティブログ。 彼らがそれを説明するように:
ioXtモバイルアプリケーションプロファイルは、モバイルデバイスで実行されているすべてのクラウド接続アプリの商用ベストプラクティスの最小セットを提供します。 このセキュリティベースラインは、一般的な脅威を軽減し、重大な脆弱性の可能性を減らすのに役立ちます。 このプロファイルは、OWASPMASVSとVPNTrust Initiativeによって定められた既存の標準と原則を活用し、開発者が暗号化、認証、ネットワークセキュリティ、および脆弱性開示プログラムの品質に関するセキュリティ機能を差別化できるようにします。 このプロファイルは、アプリに含まれる機能に基づいて適用される可能性のあるアプリカテゴリ固有の要件を評価するためのフレームワークも提供します。
公開鍵インフラストラクチャの観点から、または PKI、新しい標準では、すべてのネットワークトラフィックが暗号化され、検証されていることが求められています TLS 可能な場合は使用されます。 新しいプログラムは、プライマリサービスにx509証明書ピンニングも適用します。
「大規模な」macOSバグがセキュリティ要件を回避
攻撃者がセキュリティ警告をトリガーせずにマルウェアをインストールすることを可能にするAppleのmacOSオペレーティングシステムの脆弱性が発見されました。 このバグにより、悪意のある攻撃者はバイパスできました macOSのセキュリティ機能 ゲートキーパー、ファイル検疫、アプリの公証など、コンピューターを制御します。 Lorenzo Franceschi-Bicchierai バグをカバーしました 脆弱性がいかに危険であるかを強調した記事のViceMagazineのMotherboardのために。 セキュリティ警告をバイパスするため、ユーザーがダブルクリックするとマルウェアが侵入する可能性があります。 そしてそれだけではありません:
さらに悪いことに、ハッカーの少なくとも2021つのグループがこのバグを利用して、被害者に数か月間感染していると、Appleに焦点を当てたサイバーセキュリティ会社JamfProtectの検出リードであるJaronBradley氏は述べています。よく調べてみると、このバイパスを使用して、エンドユーザーのプロンプトなしでインストールできることがわかりました」とブラッドリー氏はオンラインチャットで述べています。 「さらなる分析により、マルウェアの開発者がゼロデイを発見し、XNUMX年初頭にそれを使用するようにマルウェアを調整したと私たちは信じています。」
AppleはmacOSのバージョン11.3をリリースしました。これには、 patch バグのために。 それが処理されたら、あなたはチェックしたいかもしれません 詳細なランダウン ダン・グッディン Ars Technicaの ハッカーがこの脆弱性を悪用してマルウェアをインストールする方法について書いています。