Beveiligingsoverzicht van mei 2021

Welkom bij de mei-editie van SSL.com Beveiligingsoverzicht, waarin we terugkijken op de afgelopen maand in digitale veiligheid. Lees verder voor onze verzameling van wat we de afgelopen 30 dagen het belangrijkst vonden, en blijf veilig online!

Nieuwe minimale RSA-sleutelgrootte voor Code Signing-certificaten

In een stukje van ons eigen nieuws, vanaf 31 mei 2021, vereisen code-ondertekenings- en EV-code-ondertekeningscertificaten van SSL.com een ​​minimale RSA-sleutelgrootte van 3072 bits. Certificaten die vóór deze datum zijn uitgegeven, worden niet beïnvloed door de wijziging en werken zoals gewoonlijk tot de vervaldatum. We hebben het allemaal voor je op een rijtje gezet in een blogpost over het onderwerp.

Ga naar boven

Biden Executive Order roept op tot 'Zero Trust Architecture'

In een uitvoerende orde ondertekend op 12 mei, heeft de Amerikaanse president Joe Biden officieel opgeroepen tot de federale overheid om een ​​"zero trust-architectuur" aan te nemen. Wat betekent dit? In wezen probeert de richtlijn een misplaatst vertrouwen te krijgen in mensen, software en hardware, dat de basis vormt voor veel van de inbreuken op de beveiliging die iedereen kwetsbaar hebben gemaakt voor aanvallen. Zoals Scott Shackelford rapporten voor Leisteen, de groeiende wereldwijde dreiging van ransomware heeft minstens 2,354 keer geraakt, gericht op iedereen, van lokale overheden en scholen tot zorgverleners. Bidens bevel vraagt ​​deze instellingen om een ​​meer paranoïde houding aan te nemen en aan te nemen dat het gevaar om elke hoek ligt - en zelfs in het huis dat men wil beschermen. Uit het Slate-rapport:

Vertrouwen in de context van computernetwerken verwijst naar systemen die mensen of andere computers toegang verlenen met weinig of geen verificatie van wie ze zijn en of ze geautoriseerd zijn om toegang te hebben. Zero Trust is een beveiligingsmodel dat ervan uitgaat dat bedreigingen alomtegenwoordig zijn binnen en buiten netwerken. Zero trust vertrouwt in plaats daarvan op continue verificatie via informatie uit meerdere bronnen. Deze aanpak veronderstelt daarbij de onvermijdelijkheid van een datalek. In plaats van zich uitsluitend te richten op het voorkomen van inbreuken, zorgt zero-trust security ervoor dat schade beperkt blijft, en dat het systeem veerkrachtig is en snel kan herstellen.

Het is allemaal heel verstandig, en toch zijn er belemmeringen voor een brede implementatie van een zero-trust-model. Het kan moeilijk zijn om het nieuwe model in legacy-systemen te implementeren en, zelfs als het mogelijk is, is het vaak kostbaar. Het model druist ook in tegen sommige systemen die veel worden gebruikt. Het uitvoerend bevel - dat alleen van toepassing is op overheidssystemen - is echter een stap in de richting van veiligheid en belooft die systemen in het algemeen veiliger te maken. 

Afhalen van SSL.com: Wachtwoorden alleen zijn niet meer veilig genoeg. Naast technieken zoals op tijd gebaseerde OTP-codes, client certificaten zijn een geweldige manier om een ​​authenticatiefactor toe te voegen die bestand is tegen phishing en brute force-aanvallen. Lees voor meer informatie Gebruikers en IoT-apparaten verifiëren met Mutual TLS.
Ga naar boven

'One Weird Trick' om Russische hackers te verijdelen

In een gril van technologie, Krebs op beveiligingsnotities zoveel malware zal niet worden geïnstalleerd op computers waarop bepaalde virtuele toetsenborden zijn geïnstalleerd, inclusief Russische en Oekraïense. In een Twitter-discussie, en later in een blogpost, legde de beveiligingsexpert uit dat de overgrote meerderheid van de ransomwarestammen een fail-safe hebben om ervoor te zorgen dat malware zijn eigen virus niet infecteert. Van de blog:

DarkSide en andere Russisch-talige affiliate programma's om geld te verdienen hebben hun criminele medewerkers er al lang van weerhouden kwaadaardige software te installeren op computers in een groot aantal Oost-Europese landen, waaronder Oekraïne en Rusland. Dit verbod dateert uit de begindagen van de georganiseerde cybercriminaliteit en is bedoeld om controle en inmenging van lokale autoriteiten tot een minimum te beperken.

Blijkbaar zijn de autoriteiten in Rusland terughoudend om onderzoek naar cybercriminaliteit tegen Russische staatsburgers in te stellen, tenzij een landgenoot de klacht indient. Dergelijke failsafes zijn dus een praktische manier om de warmte buiten te houden.

De afhaalmaaltijd van SSL.com: Is het installeren van een Russisch virtueel toetsenbord op uw systeem een ​​panacee voor beveiliging? Helemaal niet, maar het kan ook geen kwaad.
Ga naar boven

Cloudflare wil weg met Captcha's

Vorige maand was er goed nieuws voor degenen die de computers beu zijn en hen vragen te bewijzen dat ook zij geen machines zijn. In een meeslepende titel Cloudflare blogberichtThibault Meunier verklaart: “De mensheid verspilt ongeveer 500 jaar per dag aan CAPTCHA's. Het is tijd om een ​​einde te maken aan deze waanzin. " Het bericht legt verder uit dat Cloudflare alomtegenwoordige, irritante CAPTCHA's wil vervangen door een nieuwe methode met hardware-beveiligingssleutels, zoals de Yubikey FIPS-sleutels die SSL.com distribueert. EV-code ondertekenen en document ondertekening certificaten op.

Vanuit een gebruikersperspectief werkt een cryptografische attestatie van persoonlijkheid als volgt:

  1. De gebruiker bezoekt een website die wordt beschermd door cryptografische attestering van persoonlijkheid, zoals: cloudflarechallenge.com.
  2. Cloudflare heeft een uitdaging.
  3. De gebruiker klikt op Ik ben een mens (bèta) en wordt gevraagd om een ​​beveiligingsapparaat.
  4. De gebruiker besluit een hardwarebeveiligingssleutel te gebruiken.
  5. De gebruiker sluit het apparaat aan op zijn computer of tikt ermee op zijn telefoon voor draadloze handtekening (met behulp van NFC).
  6. Er wordt een cryptografisch attest naar Cloudflare gestuurd, waarmee de gebruiker na verificatie van het gebruikersaanwezigheidstest.

In plaats van '500 jaar' duurt het voltooien van deze stroom vijf seconden. Wat nog belangrijker is, deze uitdaging beschermt de privacy van gebruikers, aangezien het attest niet uniek is gekoppeld aan het apparaat van de gebruiker.

De afhaalmaaltijd van SSL.com: We haten CAPTCHA's ook, zelfs als "Cryptographic Attestation of Personhood" een griezelige klank heeft.
Ga naar boven

Duizenden Chrome-extensies knoeien met beveiligingskoppen

A nieuwe studie heeft geconstateerd dat veel Chrome-extensies knoeien met de beveiligingskoppen van websites, waardoor gebruikers in gevaar komen. Net zo Catalin Cimpanu meldt: For Het record, de extensies, die allemaal te vinden zijn in de Chrome Web Store, doen het niet allemaal met kwade bedoelingen: 

De meest algemeen uitgeschakelde beveiligingsheader was CSP, een beveiligingsheader die is ontwikkeld om site-eigenaren te laten bepalen welke webbronnen een pagina in een browser mag laden en een typische verdediging die websites en browsers kan beschermen tegen XSS- en gegevensinjectieaanvallen.

Volgens het onderzoeksteam schakelden de Chrome-extensies in de meeste gevallen CSP en andere beveiligingskoppen uit "om extra schijnbaar goedaardige functionaliteiten op de bezochte webpagina te introduceren", en leken ze niet schadelijk van aard te zijn.

Maar zelfs als de extensies de online-ervaring van een gebruiker wilden verrijken, voerden de Duitse academici aan dat door te knoeien met beveiligingsheaders, de extensies alleen bedoeld waren om gebruikers bloot te stellen aan aanvallen van andere scripts en sites die in de browser en op internet werden uitgevoerd.

SSL.com's afhaalmaaltijd: We begrijpen de wens van ontwikkelaars om extra functionaliteit aan gebruikers te bieden, maar vinden het op zijn zachtst gezegd niet raadzaam om met de beveiligingsfuncties van websites te knoeien.

 

Elisabeth Pagano

Alle berichten

Gerelateerde blogberichten

Bekijk alle blogberichten
Facebook Linkedin Twitter YouTube GitHub

Wat is SSL /TLS?

Video afspelen

Abonneer u op de nieuwsbrief van SSL.com

Mis geen nieuwe artikelen en updates van SSL.com

We willen graag uw feedback

Vul onze enquête in en laat ons uw mening over uw recente aankoop weten.

Enquête invullen