Podsumowanie bezpieczeństwa w październiku 2020 r

Witamy w październikowym wydaniu podsumowania bezpieczeństwa SSL.com! W tej bardzo specjalnej edycji na Halloween zachowaliśmy zawartość dokładnie taką samą. W końcu, co jest bardziej przerażające niż obawy o bezpieczeństwo cyfrowe i wadliwe szyfrowanie?

Czy wiesz, że SSL.com ma teraz również biuletyn e-mailowy? Wypełnij poniższy formularz, aby otrzymać PKI i takie wiadomości z zakresu bezpieczeństwa cyfrowego, a także informacje o produktach i usługach z SSL.com. (Możesz łatwo zrezygnować z subskrypcji w dowolnym momencie, klikając wypisać link w każdym wysłanym przez nas e-mailu.):




Stany Zjednoczone dołączają do sześciu krajów w nowym wezwaniu do dostępu do szyfrowania typu backdoor

Po raz kolejny rządzący wzywają do wprowadzenia tak zwanych „tylnych drzwi” do szyfrowania. Tym razem według Poboczy, Stany Zjednoczone dołączają do Wielkiej Brytanii, Australii, Nowej Zelandii, Kanady, Indii i Japonii w oświadczeniu międzynarodowym prosi o dostęp dla organów ścigania. Russell Brandom pisze:

Departament Sprawiedliwości ma długą historię propagowania ochrony przed szyfrowaniem. W 2018 r. Pięć z siedmiu uczestniczących krajów wyraziło podobne obawy w otwartej notatce skierowanej do firm technologicznych, chociaż notatka ta przyniosła niewielki lub żaden postęp w tej kwestii ze strony branży. Na każdym kroku firmy technologiczne nalegały, aby każdy backdoor zbudowany dla organów ścigania nieuchronnie stał się celem przestępców i ostatecznie pozostawił użytkowników mniej bezpiecznymi… Co najważniejsze, te siedem krajów nie tylko starałoby się uzyskać dostęp do zaszyfrowanych danych podczas przesyłania - takich jak szyfrowanie do końca używane przez WhatsApp - ale także dane przechowywane lokalnie, takie jak zawartość telefonu.

Nic dziwnego, że firmy technologiczne i obrońcy prywatności również wypowiedzieli się przeciwko temu oświadczeniu jak inne próby udaremnienia szyfrowania przez posiadane uprawnienia.

Na wynos SSL.com: Bez względu na to, ile liter zostanie napisanych, SSL.com nie zgadza się na otwieranie tylnych drzwi do szyfrowania. Nie tylko stanowią większe zagrożenie dla bezpieczeństwa niż ich brak, ale także w realny i niebezpieczny sposób naruszają prywatność.

Android 11 zaostrza ograniczenia dotyczące certyfikatów CA.

Tima Perry'ego raporty w Android Toolkit że Android 11, który został wydany 11 września, „uniemożliwia żadnej aplikacji, narzędziu do debugowania lub działaniu użytkownika, aby monitować o zainstalowanie certyfikatu CA, nawet w niezaufanym domyślnie zarządzanym przez użytkownika magazynie certyfikatów. Jedynym sposobem zainstalowania dowolnego certyfikatu CA jest teraz użycie przycisku ukrytego głęboko w ustawieniach na stronie, do której aplikacje nie mogą prowadzić linków ”.

Dlaczego to jest ważne? Cóż, chociaż zarządzanie urzędem certyfikacji powinno być dokładnie kontrolowane, istnieją potencjalne powody, dla których aplikacje mają dostęp do wyboru zaufanych. Programiści używają go na przykład do testowania, a ta zmiana znacznie to utrudnia. Mimo to, trudno argumentować, że zmiana jest stratą, gdy patrzy się na nią przez pryzmat bezpieczeństwa; aplikacje zachęcające użytkowników do zainstalowania certyfikaty główne może prowadzić do różnego rodzaju problemów, takich jak umożliwianie hakerom dostępu do podszywania się pod strony internetowe i odszyfrowywania ruchu internetowego.

Na wynos SSL.com: Podczas gdy programiści Androida mogą narzekać na nowo odkrytą niezdolność do instalowania certyfikatów CA za pośrednictwem aplikacji, zaostrzenie kontroli nad magazynami certyfikatów Androida może być również postrzegane jako zwycięstwo dla prywatności. Widzieć ta część z Electronic Frontier Foundation, która celebruje bardziej szczegółowy i przejrzysty interfejs użytkownika systemu Android 11 do instalacji certyfikatu.

Zoom mówi, że szyfrowanie typu end-to-end jest gotowe

To był wielki rok dla Zoom, firmy, która jako pierwsza trafiła na pierwsze strony gazet jako sposób na połączenie nas wszystkich podczas pandemii, a następnie trafiła na pierwsze strony gazet, aby umożliwić niechcianym ludziom łączenie się ze wszystkimi ze względu na problemy bezpieczeństwa. W ostatnim ruchu mającym na celu poprawę prywatności i bezpieczeństwa Zoom ogłosił, że jego implementacja szyfrowania od końca do końca jest gotowa do podglądu.

Oczywiście, jako artykuł Simona Sharwooda w The Register zwraca uwagę, Zoom twierdził, że ma własną markę „szyfrowania od końca do końca” w kwietniu, ale w tamtym czasie firma TLS a HTTPS oznaczało, że Zoom mógł przechwytywać i odszyfrowywać czaty - ruch był szyfrowany tylko „od punktu końcowego Zoom do punktu końcowego Zoom”. Teraz Zoom ogłosił będzie ofiarą prawdziwe szyfrowanie od końca do końca, które nie pozwala im na dostęp do czatów.

Jednak, jak zauważa The Register, jest jeden haczyk:

Nie myśl, że wersja zapoznawcza oznacza, że ​​Zoom wyeliminował bezpieczeństwo, ponieważ firma mówi: „Aby z niego skorzystać, klienci muszą włączyć spotkania E2EE na poziomie konta i zapisać się na E2EE na podstawie spotkania”… Użytkownicy mają aby stale przypominać im o używaniu haseł, które nie są śmieciami, o tym, aby nie klikać w celu wyłudzenia informacji ani nie wyciekać danych biznesowych na urządzeniach osobistych, prawie na pewno wybiorą E2EE za każdym razem bez konieczności otrzymywania monitu, prawda?

[su-note class = ”info”]Na wynos SSL.com: Jako codzienni użytkownicy Zoom, pochwalamy ulepszenia jego niekwestionowanego rekordu w zakresie bezpieczeństwa. Jednak szyfrowanie typu end-to-end powinno być ustawieniem domyślnym, a nie wymagającym włączania za każdym razem. [/ Su_note]

Znaleziono popularne przeglądarki mobilne i Safari podatne na ataki fałszowania paska adresu

Z złych wiadomości opublikowanych przez badaczy zajmujących się cyberbezpieczeństwem wynika, że ​​niektóre paski adresu przeglądarki są podatne na fałszowanie. Ravie Lakshmanan z Wiadomości Hackera zgłasza, że ​​Apple Safari i przeglądarki mobilne, takie jak Opera Touch i Bolt, są podatne na podszywanie się, co pozostawia niczego niepodejrzewających użytkowników podatnych na pobieranie złośliwego oprogramowania i ataki phishingowe. Lakshmanan pisze:

Problem wynika z użycia złośliwego wykonywalnego kodu JavaScript w dowolnej witrynie internetowej, aby zmusić przeglądarkę do zaktualizowania paska adresu, gdy strona nadal ładuje się na inny adres wybrany przez atakującego… (A) n osoba atakująca może skonfigurować złośliwą witrynę i zwabić Celem jest otwarcie odsyłacza ze sfałszowanej wiadomości e-mail lub wiadomości tekstowej, co prowadzi do niczego nie podejrzewającego odbiorcę do pobrania złośliwego oprogramowania lub ryzyka kradzieży poświadczeń.

Pod koniec października UCWeb i Bolt nie otrzymały poprawek, poprawkę dla Opery oczekiwano w listopadzie, a Safari rozwiązało ten problem poprzez aktualizację.

Na wynos SSL.com: Chociaż nie jest to przyjemne, powinno to być skuteczne przypomnienie o aktualizacji przeglądarki! Chociaż, oczywiście, nasi użytkownicy są na bieżąco z wieloma problemami bezpieczeństwa przeglądarki wykrywanymi każdego roku, regularne aktualizacje zapewnią, że otrzymasz każdą poprawkę.

SSL.com zapewnia szeroką gamę domen SSL /TLS certyfikaty serwera dla witryn HTTPS.

PORÓWNAJ SSL /TLS CERTYFIKATY

Subskrybuj biuletyn SSL.com

Nie przegap nowych artykułów i aktualizacji z SSL.com

Będziemy wdzięczni za Twoją opinię

Weź udział w naszej ankiecie i daj nam znać, co myślisz o swoim ostatnim zakupie.