Welkom bij de april-editie van de SSL.com Roundup, waarin we terugkijken op de afgelopen maand in digitale veiligheid. Lees verder voor onze verzameling van wat ons de afgelopen vier weken is opgevallen, en blijf daarbuiten veilig!
Rust zacht, Dan Kaminsky
SSL.com sluit zich aan bij de cyberbeveiligingsgemeenschap in rouwonderzoeker Dan Kaminsky. Dan was vooral bekend om zijn 2008 ontdekking van een grote fout in het Domain Name System (DNS) dat een breed scala aan aanvallen mogelijk maakte en onwetende gebruikers naar kwaadwillende bedriegers kon leiden. Zijn onderzoek omvatte ook kwetsbaarheden blootleggen in X.509-authenticatie, een fundament van PKI en digitale certificaten. Kaminksy werd herinnerd in de New York Times als een ‘redder op het gebied van internetbeveiliging’ in een ontroerend overlijdensbericht geschreven door Nicole Perlroth. Zij schrijft:
"Het internet is nooit ontworpen om veilig te zijn", herinnert de heer Kaminsky zich in een interview in 2016. “Het internet is ontworpen om foto's van katten te verplaatsen. We zijn erg goed in bewegende beelden van katten. " Maar, voegde hij eraan toe: 'We dachten niet dat je hier triljoenen dollars naar zou verplaatsen. Wat gaan we doen? En hier is het antwoord: sommigen van ons moeten erop uit om het te repareren. "
eSigner openbare bètaregistratie
In nieuws uit ons eigen kamp nodigt SSL.com uit EV-code ondertekenen en document ondertekening klanten om deel te nemen aan de openbare bèta of eSigner, SSL.com's nieuwe uniforme cloudplatform voor het ondertekenen van documenten en codes.
eSigner omvat:
- eSigner Express GUI-webapplicatie voor het ondertekenen van documenten en EV-codeondertekening
- Cloud Signature Consortium-API (CSC). voor het ondertekenen van documenten en het ondertekenen van EV-codes
- CodeSignTool opdrachtregelprogramma voor het ondertekenen van EV-code
Elke SSL.com Document ondertekening or EV Code-ondertekening certificaat kan worden geregistreerd in eSigner, zodat u documenten en code kunt ondertekenen vanaf elk apparaat met internetverbinding zonder USB-tokens, HSM's of PKI expertise. Organisaties kunnen eSigner integreren met hun document- en codeondertekeningsworkflows, inclusief CI / CD-automatisering. Software-uitgevers en serviceproviders kunnen eSigner gebruiken om digitale ondertekeningsmogelijkheden aan hun klanten aan te bieden.
eSigner zal een op abonnementen gebaseerde service zijn wanneer deze volledig is gelanceerd. Bèta-deelnemers krijgen echter vroegtijdig toegang tot eSigner Express, CSC API en CodeSignTool zonder abonnementskosten voorafgaand aan de volledige commerciële release van eSigner. Om u aan te melden, vult u het eSigner beta-registratieformulier en een SSL.com-teamlid zal contact met u opnemen met details.
IoXT Alliance kondigt nieuwe beveiligingsstandaard voor mobiele apps aan
De ioXt (Internet of Secure Things) Alliantie, een branchegroep die IoT-beveiligingsnormen ontwikkelt en pleit, heeft aangekondigd dat het zijn nalevingsprogramma uitbreidt met een nieuwe beveiligingsstandaard voor mobiele apps. De nieuw mobiel applicatieprofiel bevat vereisten voor VPN-toepassingen (Virtual Private Network). U kunt meer lezen over de nieuwe standaard op de Google Security Blog. Zoals ze het uitleggen:
Het ioXt Mobile Application Profile biedt een minimum aan commerciële best practices voor alle met de cloud verbonden apps die op mobiele apparaten worden uitgevoerd. Deze beveiligingsbasislijn helpt bij het beperken van veelvoorkomende bedreigingen en verkleint de kans op significante kwetsbaarheden. Het profiel maakt gebruik van bestaande standaarden en principes uiteengezet door OWASP MASVS en het VPN Trust Initiative, en stelt ontwikkelaars in staat om onderscheid te maken tussen beveiligingsmogelijkheden rond cryptografie, authenticatie, netwerkbeveiliging en de kwaliteit van het programma voor het vrijgeven van kwetsbaarheden. Het profiel biedt ook een raamwerk om app-categorie-specifieke vereisten te evalueren die kunnen worden toegepast op basis van de functies in de app.
In termen van Public Key Infrastructure, of PKIvragen de nieuwe standaarden dat al het netwerkverkeer wordt versleuteld en dat wordt geverifieerd TLS wordt waar mogelijk gebruikt. Het nieuwe programma dwingt ook het vastzetten van x509-certificaten af voor primaire services.
'Massive' macOS-bug omzeilt beveiligingsvereisten
Er is een kwetsbaarheid gevonden in het macOS-besturingssysteem van Apple waardoor aanvallers malware konden installeren zonder beveiligingswaarschuwingen te activeren. Door de bug konden slechte acteurs omzeilen macOS-beveiligingsfuncties zoals Gatekeeper, File Quarantine en App Notarization om de controle over computers over te nemen. Lorenzo Franceschi-Bicchierai bedekte de bug voor het moederbord van Vice Magazine in een stuk dat benadrukte hoe gevaarlijk de kwetsbaarheid was. Omdat het beveiligingswaarschuwingen omzeilde, zou een dubbelklik door een gebruiker malware kunnen introduceren. En dat is niet alles:
Wat erger is, is dat ten minste één groep hackers al maanden misbruik maakt van deze bug om slachtoffers te infecteren. Volgens Jaron Bradley leiden detecties bij het op Apple gerichte cyberbeveiligingsbedrijf Jamf Protect ... "Een van onze detecties waarschuwde ons voor deze nieuwe variant, en bij nader inzien ontdekten we dat deze bypass werd gebruikt om deze te installeren zonder dat de eindgebruiker erom vraagt, ”zei Bradley in een online chat. "Verdere analyse doet ons geloven dat de ontwikkelaars van de malware de zero day hebben ontdekt en hun malware hebben aangepast om deze begin 2021 te gebruiken."
Apple heeft versie 11.3 van macOS uitgebracht, die onmiddellijk moet worden gedownload, omdat deze een stuk voor de bug. Als dat eenmaal is geregeld, wilt u misschien het gedetailleerd overzicht Dan Goodin bij Ars Technica heeft geschreven over hoe hackers misbruik maakten van de kwetsbaarheid om malware te installeren.
