Velkommen til aprilutgaven av SSL.com Roundup, der vi ser tilbake på den siste måneden innen digital sikkerhet. Les videre for vår samling av det som slo oss de siste fire ukene, og vær trygg der ute!
Hvil i fred, Dan Kaminsky
SSL.com blir med i cybersecurity-samfunnet i sorgforsker Dan Kaminsky. Dan var mest kjent for 2008 oppdagelse av en stor feil i Domain Name System (DNS) som tillot et bredt spekter av angrep og som kunne lede ukjente brukere til ondsinnede bedragere. Hans forskning inkluderte også avdekke sårbarheter i X.509-autentisering, et grunnlag for PKI og digitale sertifikater. Kaminksy ble husket i New York Times som en “internett-sikkerhetsfrelser” i en rørende nekrolog skrevet av Nicole Perlroth. Hun skriver:
"Internett var aldri designet for å være sikkert," mente Kaminsky i et intervju i 2016. “Internett var designet for å flytte bilder av katter. Vi er veldig flinke til å flytte bilder av katter. ” Men, la han til: “Vi trodde ikke du skulle flytte billioner av dollar til dette. Hva skal vi gjøre? Og her er svaret: Noen av oss må ut og fikse det. ”
eSigner offentlig beta-registrering
I nyheter fra vår egen leir inviterer SSL.com EV-kode signering og dokument signering kunder å delta i offentlig beta of eSigner, SSL.coms nye enhetlige skyplattform for dokument- og kodesignering.
eSigner inkluderer:
- eSigner Express GUI-webapplikasjon for dokumentsignering og EV-kodesignering
- API for Cloud Signature Consortium (CSC) for dokumentsignering og EV-kodesignering
- CodeSign Tool kommandolinjeverktøy for signering av EV-kode
Eventuelt SSL.com Dokumentunderskrift or EV-kode signering sertifikatet kan bli registrert i eSigner, slik at du kan signere dokumenter og kode fra hvilken som helst Internett-tilkoblet enhet uten USB-tokens, HSM-er eller PKI ekspertise. Organisasjoner kan integrere eSigner med dokument- og kodesigneringsarbeidsflyter, inkludert CI / CD-automatisering. Programvareutgivere og tjenesteleverandører kan bruke eSigner til å tilby digitale signeringsfunksjoner til sine kunder.
eSigner vil være en abonnementsbasert tjeneste når den er fullstendig lansert. Betadeltakere får imidlertid tidlig tilgang til eSigner Express, CSC API og CodeSignTool uten abonnementsavgifter før eSigners komplette kommersielle utgivelse. For å registrere deg, vennligst fyll ut eSigner beta-registreringsskjema og et SSL.com-teammedlem vil kontakte deg med detaljer.
IoXT Alliance kunngjør ny sikkerhetsstandard for mobilapper
De ioXt (Internet of Secure Things) Alliance, en industrigruppe som utvikler og tar til orde for IoT-sikkerhetsstandarder, har annonsert at det utvider sitt compliance-program med en ny sikkerhetsstandard for mobilapper. De ny mobilapplikasjonsprofil inkluderer krav til virtuelle private nettverk (VPN) applikasjoner. Du kan lese mer om den nye standarden på Googles sikkerhetsblogg. Som de forklarer det:
IoXt Mobile Application Profile gir et minimum sett med kommersiell best practices for alle sky-tilkoblede apper som kjører på mobile enheter. Denne sikkerhetsgrunnlinjen hjelper til med å redusere vanlige trusler og reduserer sannsynligheten for betydelige sårbarheter. Profilen utnytter eksisterende standarder og prinsipper angitt av OWASP MASVS og VPN Trust Initiative, og tillater utviklere å skille mellom sikkerhetsmuligheter rundt kryptografi, autentisering, nettverkssikkerhet og programvarekvalitet. Profilen gir også et rammeverk for å evaluere appkategorispesifikke krav som kan brukes basert på funksjonene i appen.
Når det gjelder offentlig nøkkelinfrastruktur, eller PKI, de nye standardene ber om at all nettverkstrafikk er kryptert og bekreftet TLS brukes når det er mulig. Det nye programmet håndhever også x509-sertifikatfesting for primære tjenester.
'Massive' macOS Byp Bypasses Security Krav
Det er funnet et sårbarhet i Apples macOS-operativsystem som tillot angripere å installere skadelig programvare uten å utløse sikkerhetsadvarsler. Feilen tillot dårlige skuespillere å omgå macOS sikkerhetsfunksjoner som Gatekeeper, File Quarantine og App Notarization for å ta kontroll over datamaskiner. Lorenzo Franceschi-Bicchierai dekket feilen for Vice Magazines hovedkort i et stykke som understreket hvor farlig sårbarheten var. Fordi det omgått sikkerhetsadvarsler, kan et dobbeltklikk fra enhver bruker introdusere skadelig programvare. Og det er ikke alt:
Det som er verre, minst en gruppe hackere har utnyttet denne feilen for å infisere ofre i flere måneder, ifølge Jaron Bradley, oppdagelser som ledes av Apple-fokusert cybersikkerhetsfirma Jamf Protect ... “En av oppdagelsene våre varslet oss om denne nye varianten, og ved nærmere ettersyn oppdaget vi bruken av denne bypass for å la den installeres uten en sluttbrukerprompt, ”sa Bradley i en nettprat. "Videre analyse får oss til å tro at utviklerne av skadelig programvare oppdaget null dagen og justerte skadelig programvare for å bruke den tidlig i 2021."
Apple har gitt ut versjon 11.3 av macOS, som skal lastes ned umiddelbart, da den inneholder en patch for feilen. Når det er tatt vare på, vil du kanskje sjekke ut detaljert oversikt Dan Goodin over kl Ars Technica har skrevet om hvordan hackere utnyttet sårbarheten for å installere skadelig programvare.
