Welkom bij deze maarteditie van SSL.com's Security Roundup! Er is de afgelopen maand veel veranderd, zoals we allemaal weten, maar nu er meer tijd online wordt doorgebracht, is er genoeg nieuws over SSL /TLS, digitale certificaten en netwerkbeveiliging. Deze maand behandelen we:
Blijf thuis, blijf veilig
Terwijl de COVID-19-pandemie in het hele land voortduurt, werkt iedereen samen om de verspreiding van het virus te vertragen door fysieke afstand en zoveel mogelijk thuis te blijven. Voor velen betekent dat thuiswerken. Omdat dat voor velen een nieuwe situatie kan zijn, hebben we een paar handleidingen geschreven om ervoor te zorgen dat iedereen ook online zo veilig is en om te voorkomen dat online oplichting opduikt.
Dat merkte Krebs on Security deze maand sommige overheidssites gaven niet eens het beste advies als het gaat om online fraude, dat is alarmerend. Gelukkig zijn onze gidsen veel informatiever. Deze maand hebben we gewaarschuwd voor opportunistische oplichting prooi op COVID-19 angsten in de hoop dat u uw waardevolle informatie vrijwillig opgeeft:
Onder meer Dan Goodin van Ars Technica heeft gerapporteerd over oplichters die zich voordoen als universitair personeel en de Wereldgezondheidsorganisatie, en Kaspersky Lab biedt gegevens van twee phishing-campagnes die zich voordoen als de Amerikaanse Centers for Disease Control and Prevention… Dit soort e-mails zijn bedoeld om ontvangers te misleiden om gevoelige persoonlijke informatie (zoals wachtwoorden en creditcardnummers) te onthullen en / of malware op hun apparaat te installeren. Een bericht lijkt bijvoorbeeld afkomstig te zijn van een werkgever of schoolfunctionaris, maar bevat een link naar een nep-webpagina met een formulier dat inloggegevens verzamelt.
Naast dat zeer tijdige artikel, raden we je aan om onze meer algemene gids te lezen phishing-zwendel identificeren en ons artikel waarin wordt uitgelegd hoe iedereen kan achterhalen of een website wordt gerund door een legitiem bedrijf.
Chrome gaat van 81 naar 83
De COVID-19-pandemie veroorzaakt grote schade in alle bedrijfstakken en software is niet eens bijna vrijgesteld. (Eerder deze maand, zorgen over softwaretests vertraagde de lancering van de Mars Rover tot 2022, in hemelsnaam.) In feite heeft de pandemie Google ertoe aangezet sloot versie 82 van Chrome helemaal en ga direct naar 83. De wijziging heeft gevolgen voor alle op Chromium gebaseerde browsers, wat betekent dat nieuwe versies van Microsoft's Edge-browser ook worden onderbroken. De browsers Opera, Brave, Vivaldi en Samsung zullen ook worden beïnvloed. Zoals Stephen Shanklin bij Cnet aantekeningen:
Het nieuwe coronavirus en de COVID-19-infectie die het veroorzaakt, hebben bedrijven gehamerd, vooral bedrijven die afhankelijk zijn van scheepvaart, fabrieken en andere real-world bronnen die worden getroffen door lockdowns om de verspreiding van het virus te vertragen. Uit de aankondiging van Google blijkt dat zelfs mensen die alleen met computers te maken hebben, ook worden getroffen. Dat komt omdat gesloten scholen, telewerken en andere factoren invloed hebben op mensen wier banen al grotendeels virtueel zijn.
Kijk eens naar CRLite
Ten slotte stellen we je graag aan je voor CRLite, als je elkaar nog niet hebt ontmoet. CRLite is een nieuw voorgestelde standaard die informatie zou verzenden over ALLE ingetrokken SSL /TLS certificaten rechtstreeks naar browsers. Tot nu toe was intrekking niet echt betrouwbaar, zoals we in onze artikelen hebben uitgelegd over hoe browsers tot nu toe ingetrokken certificaten hebben behandeldEn Online Certificaat Status Protocol (OCSP). CRLite heeft het potentieel om een probleem te transformeren dat tot nu toe alleen onbetrouwbare en omslachtige "oplossingen" had, door informatie over ingetrokken certificaten rechtstreeks in browsers te integreren. Voor een beknopt overzicht van CRLite raden we aan om even uit te checken Mozilla's beveiligingsblog of de Veelgestelde vragen over GitHub. Van Mozilla's intro:
CRLite is een technologie voorgesteld door een groep onderzoekers op het IEEE Symposium on Security and Privacy 2017 dat intrekkingsinformatie zo effectief comprimeert dat 300 megabytes aan intrekkingsgegevens 1 megabyte kan worden. Dit wordt bereikt door gegevens van certificaattransparantie en internetscanresultaten te combineren met trapsgewijze Bloom-filters, waardoor een gegevensstructuur wordt opgebouwd die betrouwbaar, gemakkelijk te verifiëren en gemakkelijk bij te werken is.
