Velkommen til januarutgaven av SSL.coms sikkerhetsrund! Den første måneden i 2021 har vært ganske actionfylt, nyhetsmessig. Og det inkluderer nyheter om digital sikkerhet og krypteringsfeil, så vi samlet noen nyttårshistorier for deg:
NSA utsteder Enterprise Encrypted DNS-anbefalinger
Denne måneden utstedte Nasjonalt sikkerhetsbyrå nytt anbefalinger [PDF-lenke] angående DNS over HTTPS (DoH) i bedriftsmiljøer. Som vi har gjort nevnt før, DoH forhindrer avlytting av DNS-spørsmål og svar, som historisk har blitt sendt som ren tekst.
Implementering av DoH gir spesielle utfordringer for bedriftsnettverk. NSA-ene pressemelding om anbefalingene heter det at:
Selv om de ikke formelt er vedtatt av bedriften, kan nyere nettlesere og annen programvare prøve å bruke kryptert DNS uansett og omgå virksomhetens tradisjonelle DNS-baserte forsvar ... Selv om det er bra for å sikre personvern i hjemmenettverk, kan DoH utgjøre risiko for bedriftsnettverk hvis det ikke er ikke riktig implementert.
...
NSA anbefaler at bedriftsnettverkets DNS-trafikk, kryptert eller ikke, bare sendes til den angitte foretakets DNS-resolver. Dette sikrer riktig bruk av viktige sikkerhetskontroller for virksomheten, letter tilgang til lokale nettverksressurser og beskytter intern nettverksinformasjon. Alle andre DNS-oppløsere bør deaktiveres og blokkeres.
Dokumentet advarer også om at DoH er “ikke et universalmiddel” og oppfordrer administratorer til å være på vakt mot en falsk følelse av sikkerhet: “DoH garanterer ikke beskyttelse mot cybertrusselhandlingors og deres evne til å se hvor en klient går på nettet. ” Byrået bemerker også at DoH kan forstyrre selskapenes egen sikkerhetsrelaterte trafikkinspeksjon hvis den ikke implementeres med forsiktighet.
Apple fjerner "Feature" for brannmuromgåelse i macOS
Husk vei inn igjen November da Apple tok det upopulære valget om å la sine egne apper omgå brannmurer og andre tredjepartsapplikasjoner? Vel, i år har Apple bestemt seg for ikke å gjøre det lenger. Som rapportert av Ravie Lakshmanan for The Hacker News, løftet problemet først øyenbrynene på høsten, etter frigjøringen av Big Sur, og provoserte advarsler om at valget "var modent for misbruk ... det kunne utnyttes av en angriper for å exfiltrere sensitive data ved å piggybacke det videre til legitime Apple-apper inkludert på listen og deretter omgå brannmurer og sikkerhetsprogramvare. ” Artikkelen siterer Patrick Wardle, en hoved sikkerhetsforsker med Jamf, om backtracket fra Apple: "Etter mye dårlig presse og mange tilbakemeldinger / feilrapporter til Apple fra utviklere som meg selv, virker det klokere (mer sikkerhetsbevisste) sinn hos Cupertino."
Adobe Flash er endelig over
Som nettleserne våre har advart oss for alltid, er Adobe Flash over. Eller som Simon Sharwood er veldig dramatisk overskrift proklamerer over på The Register, “Det er det. Det er over. Det er virkelig over. Fra i dag fungerer ikke Adobe Flash Player lenger. Vi er ledige. Vi kan bare dra ... Post-Flashpocalypse, vi snubler utenfor, og håper ingen noen gang lager programvare så usikker som den.”Fra og med 12. januar 2021 vil alle som prøver å få tilgang til innhold i Adobes Flash Player, se en" dødsmelding "som fører til en" generell informasjonsside for livets slutt "der" Adobe anbefaler på det sterkeste at alle brukere avinstallerer Flash Player umiddelbart bidra til å beskytte systemene deres. ”
Da Register-artikkelen lovpriste Flash, var programvaren et uvurderlig verktøy i flere tiår til usikkerheten ble for mye å bære:
I 2005 kjøpte Adobe, som da hadde funnet ut at online-innhold skulle være ganske større enn desktop-publisering, og kjøpte Macromedia delvis for å få tak i Flash.
Dette hjalp Adobe til å sementere sin rolle som de facto-standarden for kreative verktøy. Men Adobe fikk også en økende sikkerhetsbelastning fordi Flash ikke var godt bygget. Hackere la merke til at pluginet var den sveitsiske osten til datasikkerhet - full av hull - og utnyttet programvaren nådeløst for å infisere ofre over hele verden med skadelig programvare.
Etter mange år med overgrep, og økningen av alternativer, kunngjorde Adobe nedgangen i Flash i juli 2017 og sa at støtten vil bli droppet 31. desember 2020.
Og nå har selskapet innfridd dette løftet, med en "logisk bombe" i nyere versjoner av Flash Player som har hindret koden i å gjengi innhold siden 12. januar. Selv med den store advarselen, forårsaket Flashs død noen problemer. Betydelig og underlig kjørte byen Dalian i Nord-Kina jernbanesystemet sitt med Flash. Den var nede i 20 timer før den kjørte igjen på en piratkopiert versjon.
MalwareBytes truffet av SolarWinds Hackers
I desember 2020 angrep SolarWinds laget store overskrifter, da hackere kunne bruke programvaredistribusjonssystemet sitt til å infisere kundenettverk. Denne måneden avslørte sikkerhetsfirmaet Malwarebytes at det var kompromittert av samme gruppe, som kompromitterte minst et dusin amerikanske myndigheter og private selskaper. I følge en artikkel av Dan Goodin i Ars Technica, har etterforskere funnet ut at hackerne hadde tilgang til noen interne firma-e-poster og "ingen bevis for uautorisert tilgang eller kompromiss i noen Malwarebytes-produksjonsmiljøer." Det betyr imidlertid ikke at angrepet var uvesentlig. Fra artikkelen:
"I vårt spesielle tilfelle la trusselsaktøren til et selvsignert sertifikat med legitimasjon til tjenestens hovedkonto," skrev Malwarebytes-forsker Marcin Kleczynski. "Derfra kan de autentisere ved hjelp av nøkkelen og ringe API-samtaler for å be om e-post via MSGraph."
I forrige uke sa e-postadministrasjonsleverandøren Mimecast også at hackere kompromitterte et digitalt sertifikat de utstedte, og brukte det til å målrette utvalgte kunder som bruker det til å kryptere data de sendte og mottok gjennom selskapets skybaserte tjeneste. Mens Mimecast ikke sa at sertifikatkompromisset var relatert til det pågående angrepet, gjør likhetene det sannsynlig at de to angrepene er relatert.
I følge artikkelen er bruddet på Malwarebytes fjerde gang et selskap avslører at det ble målrettet av nasjonalstatssponserte hackere som er ansvarlige for SolarWinds-hendelsen. I tillegg ble en rekke offentlige etater, som angivelig inkluderer forsvarsdepartementene, rettferdighet, statskasse og National Institutes of Health, også målrettet av agentene.
