SSL.com Roundup의 XNUMX 월호에 오신 것을 환영합니다. 지난 달 디지털 보안을 되돌아 봅니다. 지난 XNUMX 주 동안 우리를 강타한 컬렉션을 읽어보고 안전하게 지내십시오!
평화로운 휴식, Dan Kaminsky
SSL.com, 애도 연구원의 사이버 보안 커뮤니티에 합류 댄 카민스키. Dan은 2008 년으로 가장 잘 알려져 있습니다. 주요 결함 발견 광범위한 공격을 허용하고 알지 못하는 사용자를 악의적 인 사기 사이트로 유도 할 수있는 DNS (Domain Name System)에 있습니다. 그의 연구에는 취약점 발견 X.509 인증에서 PKI 및 디지털 인증서. Kaminksy는 뉴욕 타임스 "인터넷 보안 구세주" 감동적인 사망 기사에서 Nicole Perlroth가 작성했습니다. 그녀는 쓴다:
Kaminsky는 2016 년 인터뷰에서 "인터넷은 안전하도록 설계되지 않았습니다."라고 회상했습니다. “인터넷은 고양이 사진을 이동하도록 설계되었습니다. 우리는 고양이를 움직이는 사진을 아주 잘합니다.” 그러나 그는 다음과 같이 덧붙였습니다.“우리는 당신이 여기에 수조 달러를 옮길 것이라고 생각하지 않았습니다. 우리 뭐 할까? 그리고 여기에 답이 있습니다. 우리 중 일부는 나가서 고쳐야합니다.”
eSigner 공개 베타 등록
우리 캠프의 소식에서 SSL.com은 EV 코드 서명 와 문서 서명 참여하는 고객 공개 베타 of 전자 서명, 문서 및 코드 서명을위한 SSL.com의 새로운 통합 클라우드 플랫폼입니다.
eSigner에는 다음이 포함됩니다.
- 전자 서명자 익스프레스 문서 서명 및 EV 코드 서명을위한 GUI 웹 애플리케이션
- CSC (Cloud Signature Consortium) API 문서 서명 및 EV 코드 서명용
- 코드사인도구 EV 코드 서명을위한 명령 줄 도구
모든 SSL.com 문서 서명 or EV 코드 서명 인증서가 eSigner에 등록되어 USB 토큰, HSM 또는 USB없이 인터넷에 연결된 모든 장치에서 문서 및 코드에 서명 할 수 있습니다. PKI 전문적 지식. 조직은 CI / CD 자동화를 포함한 문서 및 코드 서명 워크 플로우와 eSigner를 통합 할 수 있습니다. 소프트웨어 게시자 및 서비스 제공 업체는 eSigner를 사용하여 고객에게 디지털 서명 기능을 제공 할 수 있습니다.
eSigner는 완전히 출시되면 구독 기반 서비스가됩니다. 그러나 베타 참가자는 eSigner의 전체 상용 릴리스 이전에 구독료없이 eSigner Express, CSC API 및 CodeSignTool에 대한 조기 액세스 권한을 얻게됩니다. 가입하려면 eSigner 베타 등록 양식 SSL.com 팀원이 자세한 내용을 알려 드릴 것입니다.
IoXT Alliance, 새로운 모바일 앱 보안 표준 발표
XNUMXD덴탈의 ioXt (보안 사물 인터넷) 얼라이언스, IoT 보안 표준을 개발하고지지하는 산업 그룹, 발표했다 모바일 앱에 대한 새로운 보안 표준으로 컴플라이언스 프로그램을 확장하고 있습니다. 그만큼 새 모바일 애플리케이션 프로필 VPN (가상 사설망) 응용 프로그램에 대한 요구 사항이 포함됩니다. 새로운 표준에 대한 자세한 내용은 Google 보안 블로그. 그들이 설명하는대로 :
ioXt 모바일 애플리케이션 프로필은 모바일 장치에서 실행되는 모든 클라우드 연결 앱에 대해 최소한의 상용 모범 사례를 제공합니다. 이 보안 기준은 일반적인 위협을 완화하고 심각한 취약성의 가능성을 줄이는 데 도움이됩니다. 이 프로필은 OWASP MASVS 및 VPN Trust Initiative에서 정한 기존 표준 및 원칙을 활용하며 개발자가 암호화, 인증, 네트워크 보안 및 취약성 공개 프로그램 품질과 관련된 보안 기능을 차별화 할 수 있습니다. 프로필은 또한 앱에 포함 된 기능에 따라 적용될 수있는 앱 카테고리 별 요구 사항을 평가하는 프레임 워크를 제공합니다.
공개 키 인프라 측면에서 또는 PKI, 새로운 표준은 모든 네트워크 트래픽을 암호화하고 확인하도록 요구합니다. TLS 가능한 경우 사용됩니다. 새 프로그램은 또한 기본 서비스에 대해 x509 인증서 고정을 적용합니다.
'대량'macOS 버그로 보안 요구 사항 우회
공격자가 보안 경고를 트리거하지 않고 멀웨어를 설치할 수 있도록 허용하는 Apple의 macOS 운영 체제의 취약점이 발견되었습니다. 버그로 인해 악의적 인 행위자가 우회 macOS 보안 기능 Gatekeeper, File Quarantine 및 App Notarization과 같이 컴퓨터를 제어합니다. 로렌조 프란 체스키-비치 에라이 버그를 덮었다 Vice Magazine의 마더 보드를 위해 취약점이 얼마나 위험한지를 강조했습니다. 보안 경고를 우회했기 때문에 사용자가 두 번 클릭하면 맬웨어가 발생할 수 있습니다. 그게 다가 아닙니다.
설상가상으로, 최소한 한 그룹의 해커가이 버그를 이용하여 수개월 동안 피해자를 감염시키고 있다고 Apple 중심 사이버 보안 회사 인 Jamf Protect의 탐지 책임자 인 Jaron Bradley에 따르면… 그리고 면밀히 조사한 결과이 바이 패스를 사용하여 최종 사용자 프롬프트없이 설치할 수 있음을 발견했습니다.”라고 Bradley는 온라인 채팅에서 말했습니다. "추가 분석을 통해 맬웨어 개발자가 제로 데이를 발견하고 2021 년 초에이를 사용하도록 맬웨어를 조정했다고 믿게됩니다."
Apple은 macOS 11.3 버전을 출시했습니다.이 버전은 즉시 다운로드해야합니다. 패치 버그. 처리가 완료되면 자세한 런 다운 댄 구딘 ARS Technica 해커가 악성 코드를 설치하기 위해 어떻게 취약점을 악용했는지에 대해 작성했습니다.
