Mai 2021 Sikkerhet Roundup

Velkommen til mai-utgaven av SSL.com Sikkerhet Roundup, der vi ser tilbake på den siste måneden innen digital sikkerhet. Les videre for samlingen vår av det vi fant viktigst de siste 30 dagene, og vær trygg online!

Ny minimum RSA-nøkkelstørrelse for kodesigneringssertifikater

I våre egne nyheter, per 31. mai 2021, krever kodesignering og EV-kodesigneringssertifikater fra SSL.com en minimum RSA-nøkkelstørrelse på 3072 bits. Sertifikater utstedt før denne datoen påvirkes ikke av endringen og fungerer som vanlig til utløpet. Vi har lagt alt for deg i en blogginnlegg om temaet.

Gå til toppen

Biden Executive Order krever 'Zero Trust Architecture'

I et utøvende rekkefølge undertegnet 12. mai, har USAs president Joe Biden offisielt bedt den føderale regjeringen om å vedta en "null tillitsarkitektur." Hva betyr dette? I det vesentlige prøver direktivet å få feilplassert tillit til mennesker, programvare og maskinvare som er grunnlaget for mange av sikkerhetsbruddene som har gjort alle sårbare for angrep. Som Scott Shackelford rapporter for Skifer, den voksende globale trusselen om ransomware har truffet minst 2,354 ganger, og målretter alle fra lokale myndigheter og skoler til helsepersonell. Byens ordre ber disse institusjonene om å ta en mer paranoid holdning og anta at fare ligger rundt hvert hjørne - og selv i huset sikter man til å beskytte. Fra skiferrapporten:

Tillit i sammenheng med datanettverk refererer til systemer som gir mennesker eller andre datamaskiner tilgang med liten eller ingen verifisering av hvem de er og om de har autorisasjon til å ha tilgang. Zero Trust er en sikkerhetsmodell som tar for gitt at trusler er allestedsnærværende i og utenfor nettverk. Null tillit er i stedet avhengig av kontinuerlig verifisering via informasjon fra flere kilder. Ved å gjøre dette forutsetter denne tilnærmingen uunngåelighet av et databrudd. I stedet for å fokusere utelukkende på å forhindre brudd, sikrer nulltillitssikkerhet i stedet at skaden er begrenset, og at systemet er motstandsdyktig og raskt kan komme seg.

Det hele er veldig fornuftig, og likevel er det barrierer for å implementere en nulltillitsmodell. Det kan være vanskelig å implementere den nye modellen i eldre systemer, og selv når det er mulig, er det ofte kostbart. Modellen strider også mot noen systemer som er mye brukt. Imidlertid er den utøvende ordren - som bare gjelder for statlige systemer - et skritt i retning av sikkerhet, og lover å gjøre disse systemene tryggere generelt. 

SSL.coms takeaway: Passord alene er ikke sikre nok lenger. I tillegg til teknikker som tidsbaserte OTP-koder, klientsertifikater er en fin måte å legge til en autentiseringsfaktor som er motstandsdyktig mot phishing og brute force-angrep. For mer informasjon, vennligst les Autentisering av brukere og IoT-enheter med gjensidig TLS.
Gå til toppen

'One Weird Trick' to Foil Russian Hackers

I en egen teknikk, Krebs på sikkerhetsmerknader at mye skadelig programvare ikke installeres på datamaskiner som har visse virtuelle tastaturer installert, inkludert russiske og ukrainske. I en Twitter-diskusjon, og senere et blogginnlegg, forklarte sikkerhetseksperten at de aller fleste ransomware-stammer har en failsafe for å sikre at skadelig programvare ikke infiserer sin egen. Fra bloggen:

DarkSide og andre russespråklige tilknytningsprogrammer har lenge forhindret sine kriminelle medarbeidere fra å installere skadelig programvare på datamaskiner i en rekke østeuropeiske land, inkludert Ukraina og Russland. Dette forbudet dateres tilbake til de tidligste dagene med organisert nettkriminalitet, og det er ment å minimere kontroll og innblanding fra lokale myndigheter.

Tilsynelatende er myndigheter i Russland motvillige til å iverksette cyberkriminalitetsetterforskning mot russiske statsborgere med mindre en landsmann innleder klagen. Slike feilfeil er altså en praktisk måte å holde varmen på.

SSL.coms takeaway: Er det å installere et russisk virtuelt tastatur på systemet ditt et sikkerhetsmiddel? Ikke i det hele tatt, men det vil heller ikke skade.
Gå til toppen

Cloudflare ønsker å gjøre unna med Captchas

Forrige måned så gode nyheter for de som er lei av datamaskiner som ba dem bevise at de ikke er maskiner. I en overbevisende tittel Cloudflare blogginnlegg, Erklærer Thibault Meunier, “Menneskeheten kaster bort 500 år per dag på CAPTCHA. Det er på tide å avslutte denne galskapen. ” Innlegget fortsetter med å forklare at Cloudflare ønsker å erstatte allestedsnærværende, irriterende CAPTCHAs med en ny metode som involverer maskinvaresikkerhetsnøkler, for eksempel Yubikey FIPS-nøklene som SSL.com distribuerer EV-kode signering og dokument signering sertifikater på.

Fra et brukerperspektiv fungerer en kryptografisk attestasjon av personlighet som følger:

  1. Brukeren får tilgang til et nettsted beskyttet av Cryptographic Attestation of Personhood, som f.eks cloudflarechallenge.com.
  2. Cloudflare serverer en utfordring.
  3. Brukeren klikker på Jeg er menneske (beta) og blir bedt om å opprette en sikkerhetsenhet.
  4. Bruker bestemmer seg for å bruke en maskinvaresikkerhetsnøkkel.
  5. Brukeren kobler enheten til datamaskinen eller banker den til telefonen for trådløs signatur (ved hjelp av NFC).
  6. En kryptografisk attest sendes til Cloudflare, som tillater brukeren å bekrefte brukerens tilstedeværelse test.

I stedet for "500 år" tar det fem sekunder å fullføre denne strømmen. Enda viktigere, denne utfordringen beskytter brukernes privatliv, siden attesten ikke er unikt knyttet til brukerens enhet.

SSL.coms takeaway: Vi hater CAPTCHAs også, selv om "Cryptographic Attestation of Personhood" har en skummel ring.
Gå til toppen

Tusenvis av Chrome-utvidelser tukler med sikkerhetsoverskrifter

A ny studie har funnet ut at mange Chrome-utvidelser tukler med sikkerhetsoverskrifter på nettsteder, noe som setter brukere i fare. Som Catalin Cimpanu rapporterer forum The Record, utvidelsene, som alle finnes i Chrome Nettmarked, gjør ikke alle det med onde hensikter: 

Det vanligste deaktiverte sikkerhetsoverskriften var CSP, et sikkerhetsoverskrift som ble utviklet for å tillate nettstedseiere å kontrollere hvilke nettressurser en side har lov til å laste inn i en nettleser og et typisk forsvar som kan beskytte nettsteder og nettlesere mot XSS og angrep av datainjeksjon.

Ifølge forskerteamet, i de fleste tilfeller de analyserte, deaktiverte Chrome-utvidelsene CSP og andre sikkerhetsoverskrifter "for å introdusere flere tilsynelatende godartede funksjoner på den besøkte nettsiden", og så ikke ut til å være skadelig.

Imidlertid, selv om utvidelsene ønsket å berike en brukers opplevelse på nettet, hevdet de tyske akademikerne at ved å tukle med sikkerhetsoverskrifter, gjorde alle utvidelsene å utsette brukere for angrep fra andre skript og nettsteder som kjører i nettleseren og på nettet.

SSL.coms takeaway: Vi forstår utviklerens ønske om å tilby ekstra funksjonalitet til brukerne, men synes det er dårlig å anbefale å tukle med nettsteds sikkerhetsfunksjoner som dette.

 

Elizabeth Pagano

Alle innlegg

Relaterte blogginnlegg

Vis alle blogginnlegg
Facebook Linkedin Twitter Youtube Github

Hva er SSL /TLS?

Spill av video

Abonner på SSL.coms nyhetsbrev

Ikke gå glipp av nye artikler og oppdateringer fra SSL.com

Vi vil gjerne ha tilbakemeldinger

Ta vår spørreundersøkelse og fortell oss dine tanker om ditt nylige kjøp.

Ta undersøkelsen