Witamy w kwietniowym wydaniu podsumowania SSL.com, w którym wspominamy o minionym miesiącu w dziedzinie bezpieczeństwa cyfrowego. Przeczytaj naszą kolekcję tego, co uderzyło nas w ciągu ostatnich czterech tygodni, i bądź bezpieczny!
Spoczywaj w pokoju, Dan Kaminsky
SSL.com dołącza do społeczności cyberbezpieczeństwa w żałobie Dan Kamiński. Dan był najbardziej znany ze swojego 2008 roku odkrycie poważnej wady w systemie nazw domenowych (DNS), który zezwalał na szeroki zakres ataków i może kierować nieświadomych użytkowników do złośliwych witryn oszukańczych. Jego badania obejmowały również odkrywanie luk w zabezpieczeniach w uwierzytelnianiu X.509, podstawa PKI i certyfikaty cyfrowe. Kaminksy został zapamiętany w New York Times jako „wybawca bezpieczeństwa w Internecie” we wzruszającym nekrologu napisane przez Nicole Perlroth. Ona pisze:
„Internet nigdy nie był zaprojektowany jako bezpieczny” - wspomina Kaminsky w wywiadzie z 2016 roku. „Internet został zaprojektowany do przenoszenia zdjęć kotów. Jesteśmy bardzo dobrzy w przenoszeniu zdjęć kotów ”. Ale dodał: „Nie sądziliśmy, że przeniesiecie na to biliony dolarów. Co zrobimy? A oto odpowiedź: niektórzy z nas muszą wyjść i to naprawić ”.
Rejestracja w publicznej wersji beta eSigner
W wiadomościach z naszego obozu SSL.com zaprasza Podpisywanie kodu EV i podpisywanie dokumentów klientów do udziału w publiczna beta of e-podpisujący, Nowa ujednolicona platforma chmurowa SSL.com do podpisywania dokumentów i kodu.
eSigner obejmuje:
- eSigner Express Aplikacja internetowa GUI do podpisywania dokumentów i podpisywania kodu EV
- Interfejs API Cloud Signature Consortium (CSC) do podpisywania dokumentów i podpisywania kodu EV
- Narzędzie CodeSign narzędzie wiersza poleceń do podpisywania kodu EV
Dowolny SSL.com Podpisywanie dokumentów or Podpisywanie kodu EV certyfikat można zarejestrować w eSigner, umożliwiając podpisywanie dokumentów i kodu z dowolnego urządzenia podłączonego do Internetu bez tokenów USB, HSM lub PKI ekspertyza. Organizacje mogą zintegrować eSigner ze swoimi przepływami pracy związanymi z podpisywaniem dokumentów i kodów, w tym automatyzacją CI / CD. Wydawcy oprogramowania i usługodawcy mogą korzystać z eSigner, aby oferować swoim klientom funkcje podpisu cyfrowego.
Po pełnym uruchomieniu eSigner będzie usługą opartą na subskrypcji. Jednak uczestnicy wersji beta otrzymają wczesny dostęp do eSigner Express, CSC API i CodeSignTool bez opłat abonamentowych przed pełną komercyjną wersją eSigner. Aby się zarejestrować, wypełnij Formularz rejestracyjny eSigner beta a członek zespołu SSL.com skontaktuje się z Tobą i przekaże szczegółowe informacje.
IoXT Alliance ogłasza nowy standard bezpieczeństwa aplikacji mobilnych
Połączenia Sojusz ioXt (Internet bezpiecznych rzeczy), grupa branżowa opracowująca i opowiadająca się za standardami bezpieczeństwa IoT, ogłosił że rozszerza swój program zgodności o nowy standard bezpieczeństwa dla aplikacji mobilnych. Plik nowy profil aplikacji mobilnej zawiera wymagania dotyczące aplikacji wirtualnych sieci prywatnych (VPN). Możesz przeczytać więcej o nowym standardzie na Blog Google dotyczący bezpieczeństwa. Jak to wyjaśniają:
Profil aplikacji mobilnej ioXt zapewnia minimalny zestaw najlepszych praktyk handlowych dla wszystkich aplikacji połączonych z chmurą działających na urządzeniach mobilnych. Ta linia bazowa zabezpieczeń pomaga złagodzić typowe zagrożenia i zmniejsza prawdopodobieństwo wystąpienia znaczących luk w zabezpieczeniach. Profil wykorzystuje istniejące standardy i zasady określone przez OWASP MASVS i VPN Trust Initiative i umożliwia programistom rozróżnienie funkcji bezpieczeństwa w zakresie kryptografii, uwierzytelniania, bezpieczeństwa sieci i jakości programów do ujawniania luk w zabezpieczeniach. Profil zapewnia również ramy do oceny wymagań specyficznych dla kategorii aplikacji, które można zastosować w oparciu o funkcje zawarte w aplikacji.
Jeśli chodzi o infrastrukturę klucza publicznego, lub PKInowe standardy wymagają, aby cały ruch sieciowy był szyfrowany i weryfikowany TLS jest używany, gdy jest to możliwe. Nowy program wymusza również przypinanie certyfikatu x509 dla usług podstawowych.
„Masywny” błąd macOS omija wymagania bezpieczeństwa
Znaleziono lukę w systemie operacyjnym Apple macOS, która umożliwia atakującym instalowanie złośliwego oprogramowania bez uruchamiania ostrzeżeń bezpieczeństwa. Błąd pozwalał na ominięcie złych aktorów Funkcje bezpieczeństwa macOS jak Gatekeeper, File Quarantine i App Notarization, aby przejąć kontrolę nad komputerami. Lorenzo Franceschi-Bicchierai zakrył błąd dla płyty głównej Vice Magazine w artykule, który podkreślał, jak niebezpieczna była ta luka. Ponieważ omijał ostrzeżenia bezpieczeństwa, dwukrotne kliknięcie przez dowolnego użytkownika może wprowadzić złośliwe oprogramowanie. I to nie wszystko:
Co gorsza, przynajmniej jedna grupa hakerów wykorzystywała ten błąd do infekowania ofiar od miesięcy, według Jarona Bradleya, detekcji prowadzonej przez firmę Jamf Protect zajmującą się bezpieczeństwem cybernetycznym firmy Apple… „Jedno z naszych wykryć zaalarmowało nas o tym nowym wariancie, a po dokładniejszym zbadaniu odkryliśmy, że wykorzystuje to obejście, aby umożliwić instalację bez monitu użytkownika końcowego ”- powiedział Bradley na czacie online. „Dalsza analiza prowadzi nas do wniosku, że twórcy szkodliwego oprogramowania odkryli dzień zerowy i dostosowali swoje złośliwe oprogramowanie tak, aby korzystało z niego na początku 2021 roku”.
Firma Apple wydała wersję 11.3 systemu macOS, którą należy natychmiast pobrać, ponieważ zawiera plik łata dla błędu. Gdy to zrobisz, możesz chcieć sprawdzić szczegółowe podsumowanie Dan Goodin o godz Ars Technica napisał o tym, jak hakerzy wykorzystali tę lukę, aby zainstalować złośliwe oprogramowanie.
