Podsumowanie dotyczące bezpieczeństwa w maju 2021 r

Witamy w majowym wydaniu SSL.com Podsumowanie bezpieczeństwa, w której wspominamy o minionym miesiącu w dziedzinie bezpieczeństwa cyfrowego. Czytaj dalej, aby zapoznać się z naszą kolekcją tego, co dla nas najważniejsze w ciągu ostatnich 30 dni, i bądź bezpieczny w Internecie!

Nowy minimalny rozmiar klucza RSA dla certyfikatów podpisywania kodu

Z naszych własnych wiadomości wynika, że ​​od 31 maja 2021 r. Certyfikaty do podpisywania kodu i podpisywania kodu EV z SSL.com wymagają minimalnego rozmiaru klucza RSA wynoszącego 3072 bity. Certyfikaty wydane przed tą datą nie są objęte tą zmianą i będą działać jak zwykle, aż do wygaśnięcia. Przedstawiliśmy to wszystko dla Ciebie w blogu na ten temat.

Przejdź do góry

Biden Executive Order wzywa do `` architektury zerowego zaufania ''

W zarządzenie wykonawcze podpisany 12 maja prezydent USA Joe Biden oficjalnie wezwał rząd federalny do przyjęcia „architektury zerowego zaufania”. Co to znaczy? Zasadniczo dyrektywa próbuje zdobyć niewłaściwe zaufanie do ludzi, oprogramowania i sprzętu, które jest podstawą wielu naruszeń bezpieczeństwa, które naraziły wszystkich na ataki. Jako Scott Shackelford raporty dla Łupek, rosnące globalne zagrożenie ransomware uderzył co najmniej 2,354 razy, skierowany do wszystkich, od samorządów lokalnych i szkół po świadczeniodawców opieki zdrowotnej. Rozkaz Bidena prosi te instytucje, aby przyjęły bardziej paranoiczne stanowisko i założyły, że niebezpieczeństwo czai się za każdym rogiem – nawet w domu, który stara się chronić. Z raportu łupków:

Zaufanie w kontekście sieci komputerowych odnosi się do systemów, które umożliwiają ludziom lub innym komputerom dostęp z niewielką lub żadną weryfikacją tego, kim są i czy mają do tego uprawnienia. Zero Trust to model bezpieczeństwa, który zakłada, że ​​zagrożenia są wszechobecne w sieci i poza nią. Zero zaufania polega zamiast tego na ciągłej weryfikacji za pomocą informacji z wielu źródeł. W ten sposób podejście to zakłada nieuchronność naruszenia ochrony danych. Zamiast skupiać się wyłącznie na zapobieganiu naruszeniom, zabezpieczenia o zerowym zaufaniu zapewniają, że szkody są ograniczone, a system jest odporny i można go szybko odzyskać.

To wszystko jest bardzo rozsądne, a mimo to istnieją bariery utrudniające szerokie wdrożenie modelu zerowego zaufania. Wdrożenie nowego modelu w starszych systemach może być trudne, a nawet jeśli jest to możliwe, często jest kosztowne. Model jest również sprzeczny z niektórymi szeroko stosowanymi systemami. Jednak zarządzenie wykonawcze - które dotyczy tylko systemów rządowych - jest krokiem w kierunku bezpieczeństwa i obiecuje uczynić te systemy ogólnie bezpieczniejszymi. 

Dania na wynos SSL.com: Same hasła nie są już wystarczająco bezpieczne. Oprócz technik takich jak kody OTP oparte na czasie, certyfikaty klienta to świetny sposób na dodanie czynnika uwierzytelniającego odpornego na phishing i ataki siłowe. Aby uzyskać więcej informacji, przeczytaj Uwierzytelnianie użytkowników i urządzeń IoT za pomocą funkcji wzajemnych TLS.
Przejdź do góry

„Jedna dziwna sztuczka”, aby udaremnić rosyjskich hakerów

W dziwactwie technologicznym Krebs o Notatkach bezpieczeństwa tyle złośliwego oprogramowania nie zostanie zainstalowane na komputerach z zainstalowanymi pewnymi wirtualnymi klawiaturami, w tym rosyjskimi i ukraińskimi. W dyskusji na Twitterze, a później we wpisie na blogu, ekspert ds. Bezpieczeństwa wyjaśnił, że zdecydowana większość szczepów ransomware ma zabezpieczenia, które zapewniają, że złośliwe oprogramowanie nie infekuje własnego. Z bloga:

DarkSide i inne rosyjskojęzyczne programy stowarzyszone do zarabiania pieniędzy od dawna zabraniają swoim przestępczym współpracownikom instalowania złośliwego oprogramowania na komputerach w wielu krajach Europy Wschodniej, w tym na Ukrainie i w Rosji. Zakaz ten sięga najwcześniejszych dni zorganizowanej cyberprzestępczości i ma na celu zminimalizowanie kontroli i ingerencji władz lokalnych.

Najwyraźniej w Rosji władze niechętnie rozpoczynają śledztwo w sprawie cyberprzestępczości przeciwko obywatelom Rosji, chyba że skargę zainicjuje rodak. Takie zabezpieczenia są więc praktycznym sposobem na uniknięcie ciepła.

Na wynos SSL.com: Czy zainstalowanie rosyjskiej wirtualnej klawiatury w systemie to panaceum na bezpieczeństwo? Wcale nie, ale to też nie będzie bolało.
Przejdź do góry

Cloudflare chce odejść od Captchas

W zeszłym miesiącu pojawiły się dobre wieści dla tych, którzy są zmęczeni komputerami, prosząc ich o udowodnienie, że oni również nie są maszynami. W fascynująco zatytułowanym Post na blogu Cloudflare, Thibault Meunier deklaruje: „Ludzkość marnuje około 500 lat dziennie na CAPTCHA. Czas skończyć z tym szaleństwem ”. W poście wyjaśniono, że Cloudflare chce zastąpić wszechobecne, irytujące CAPTCHA nową metodą obejmującą sprzętowe klucze bezpieczeństwa, takie jak klucze Yubikey FIPS, które dystrybuuje SSL.com Podpisywanie kodu EV i podpisywanie dokumentów certyfikaty na.

Z punktu widzenia użytkownika kryptograficzne poświadczenie osobowości działa w następujący sposób:

  1. Użytkownik uzyskuje dostęp do strony internetowej chronionej kryptograficznym poświadczeniem osobowości, takim jak cloudflarechallenge.com.
  2. Cloudflare służy wyzwaniu.
  3. Użytkownik klika Jestem człowiekiem (wersja beta) i wyświetla monit o podanie urządzenia zabezpieczającego.
  4. Użytkownik decyduje się na użycie sprzętowego klucza bezpieczeństwa.
  5. Użytkownik podłącza urządzenie do swojego komputera lub przykłada je do telefonu w celu bezprzewodowego podpisu (przy użyciu NFC).
  6. Do Cloudflare wysyłane jest zaświadczenie kryptograficzne, które umożliwia użytkownikowi weryfikację test obecności użytkownika.

Zamiast „500 lat”, ukończenie tego przepływu zajmuje pięć sekund. Co ważniejsze, wyzwanie to chroni prywatność użytkowników, ponieważ poświadczenie nie jest jednoznacznie powiązane z urządzeniem użytkownika.

Na wynos SSL.com: Nienawidzimy też CAPTCHA, nawet jeśli „Kryptograficzne poświadczenie osobowości” ma w sobie przerażający dźwięk.
Przejdź do góry

Tysiące rozszerzeń Chrome manipuluje nagłówkami zabezpieczeń

A Nowe badania odkrył, że wiele rozszerzeń Chrome manipuluje nagłówkami zabezpieczeń witryn, narażając użytkowników na ryzyko. Tak jak Relacjonuje Catalin Cimpanu dla Rekord, nie wszystkie rozszerzenia, które można znaleźć w Chrome Web Store, robią to ze złymi intencjami: 

Najczęściej wyłączanym nagłówkiem zabezpieczeń był CSP, nagłówek bezpieczeństwa, który został opracowany, aby umożliwić właścicielom witryn kontrolowanie zasobów internetowych, które strona może załadować w przeglądarce, oraz typową ochronę, która może chronić witryny internetowe i przeglądarki przed atakami XSS i wstrzykiwaniem danych.

Według zespołu badawczego w większości analizowanych przypadków rozszerzenia Chrome wyłączały CSP i inne nagłówki zabezpieczeń „w celu wprowadzenia dodatkowych pozornie niegroźnych funkcji na odwiedzanej stronie” i nie wyglądały na złośliwe z natury.

Jednak nawet jeśli rozszerzenia chciały wzbogacić doświadczenie użytkownika online, niemieccy naukowcy argumentowali, że manipulując nagłówkami bezpieczeństwa, wszystkie rozszerzenia miały na celu narażenie użytkowników na ataki z innych skryptów i witryn działających w przeglądarce iw Internecie.

Na wynos SSL.com: Rozumiemy, że programiści chcą zapewnić użytkownikom dodatkowe funkcje, ale uważamy, że takie manipulowanie przy funkcjach bezpieczeństwa witryn internetowych jest co najmniej odradzane.

 

Elżbieta Pagano

Wszystkie Posty

Powiązane posty na blogu

Zobacz wszystkie posty na blogu
Facebook LinkedIn Twitter youtube Github

Co to jest SSL /TLS?

Odtwórz wideo

Subskrybuj biuletyn SSL.com

Nie przegap nowych artykułów i aktualizacji z SSL.com

Będziemy wdzięczni za Twoją opinię

Weź udział w naszej ankiecie i daj nam znać, co myślisz o swoim ostatnim zakupie.

Wypełnij ankietę