Velkommen til denne marsutgaven av SSL.coms Security Roundup! Ting har endret seg mye den siste måneden, som vi alle er klar over, men med mer tid på nettet, er det mange nyheter om SSL /TLS, digitale sertifikater og nettverkssikkerhet. Denne måneden vil vi dekke:
Hold deg hjemme, vær trygg
Når COVID-19-pandemien fortsetter over hele landet, jobber alle sammen for å bremse spredningen av viruset gjennom fysisk distanse og bo hjemme så mye som mulig. For mange betyr det å jobbe hjemmefra. Siden det kan være en ny situasjon for mange, har vi skrevet noen guider for å sikre at alle også er like trygge på nettet, og vi slipper unna svindel på nettet som har dukket opp.
Denne måneden la Krebs on Security merke til det noen offentlige nettsteder ga ikke engang de beste rådene når det gjelder online-svindel, noe som er alarmerende. Heldigvis er guidene våre mye mer informative. Denne måneden har vi advart om opportunistiske svindel som bytte for frykt for COVID-19 i håp om at du villig gir fra deg verdifull informasjon:
Blant mange andre har Dan Goodin ved Ars Technica rapportert på svindlere som poserer som universitetspersonell og Verdens helseorganisasjon, og Kaspersky Lab gir detaljer av to phishing-kampanjer som utgir seg for US Centers for Disease Control and Prevention ... E-post av denne typen er ment å lure mottakere til å avsløre sensitiv personlig informasjon (for eksempel passord og kredittkortnumre), og / eller installere skadelig programvare på enheten. For eksempel kan det hende at en melding kommer fra en arbeidsgiver eller skoleansvarlig, men inneholder en lenke til en falsk webside med et skjema som høster påloggingsinformasjonen.
I tillegg til den veldig tidsriktige artikkelen, anbefaler vi at du sjekker ut vår mer generelle guide til identifisere phishing-svindel og artikkelen vår som forklarer hvordan noen kan finne ut om et nettsted drives av en legitim virksomhet.
Chrome går fra 81 til 83
COVID-19-pandemien utgjør ødeleggelser i alle bransjer, og programvare er ikke engang i nærheten av fritak. (Tidligere denne måneden bekymringer om programvaretester forsinket lanseringen av Mars Rover frem til 2022, for Pets skyld.) Faktisk har pandemien fått Google til grøft versjon 82 av Chrome helt og hopp rett til 83. Endringen påvirker alle Chromium-baserte nettlesere, noe som betyr at nye utgivelser av Microsofts Edge-nettleser også er satt på pause. Opera, Brave, Vivaldi og Samsung nettlesere vil også bli påvirket. Som Stephen Shanklin på Cnet notater:
Det nye koronaviruset og COVID-19-infeksjonen det forårsaker, har hamret virksomheter, spesielt de som er avhengige av skipsfart, fabrikker og andre virkelige ressurser som er berørt av låsing for å bremse virusets spredning. Googles kunngjøring viser at også mennesker som bare arbeider med datamaskiner for å leve, blir berørt. Det er fordi stengte skoler, fjernarbeid og andre faktorer påvirker mennesker hvis jobber allerede stort sett er virtuelle.
Ta en titt på CRLite
Til slutt vil vi gjerne presentere deg for CRLite, hvis du ikke allerede har møtt hverandre. CRLite er en nylig foreslått standard som vil sende informasjon om ALT tilbakekalt SSL /TLS sertifikater direkte til nettlesere. Til nå har ikke tilbakekall egentlig vært pålitelig, som vi har forklart i artiklene våre om hvordan nettlesere har hittil håndtert tilbakekalte sertifikater, og Online Certificate Status Protocol (OCSP). CRLite har potensial til å transformere et problem som hittil bare hadde upålitelige og tungvint "løsninger" ved å integrere informasjon om tilbakekalte sertifikater rett i nettlesere. For en kort oversikt over CRLite, anbefaler vi å sjekke ut Mozillas sikkerhetsblogg eller Vanlige spørsmål om GitHub. Fra Mozillas intro:
CRLite er en teknologi foreslått av en gruppe forskere ved IEEE Symposium on Security and Privacy 2017 som komprimerer tilbakekallingsinformasjon så effektivt at 300 megabyte med tilbakekallingsdata kan bli 1 megabyte. Det oppnår dette ved å kombinere Certificate Transparency-data og Internett-skanneresultater med kaskaderende Bloom-filtre, bygge en datastruktur som er pålitelig, enkel å verifisere og enkel å oppdatere.