Resumo de segurança de maio de 2021

Bem-vindo à edição de maio do SSL.com Resumo de segurança, no qual olhamos para o mês passado em segurança digital. Leia nossa coleção do que achamos mais importante nos últimos 30 dias e fique seguro online!

Novo tamanho mínimo de chave RSA para certificados de assinatura de código

Em nossa própria notícia, em 31 de maio de 2021, os certificados de assinatura de código e de assinatura de código EV da SSL.com exigem um tamanho mínimo de chave RSA de 3072 bits. Os certificados emitidos antes dessa data não são afetados pela alteração e funcionarão normalmente até o vencimento. Nós explicamos tudo para você em um blog sobre o tema.

A Ordem Executiva de Biden pede 'Arquitetura de Confiança Zero'

Em um ordem executiva assinado em 12 de maio, o presidente dos EUA, Joe Biden, pediu oficialmente ao governo federal que adote uma “arquitetura de confiança zero”. O que isto significa? Essencialmente, a diretiva tenta obter confiança perdida em pessoas, software e hardware que é a base para muitas das violações de segurança que tornaram todos vulneráveis ​​a ataques. Como Scott Shackelford relatórios para ardósia, a crescente ameaça global de ransomware atingiu pelo menos 2,354 vezes, tendo como alvo todos, desde governos locais e escolas a prestadores de cuidados de saúde. A ordem de Biden pede que essas instituições assumam uma postura mais paranóica e presuma que o perigo está em cada esquina - e até mesmo na casa que se pretende proteger. Do relatório Slate:

A confiança no contexto das redes de computadores refere-se a sistemas que permitem o acesso de pessoas ou outros computadores com pouca ou nenhuma verificação de quem são e se estão autorizados a ter acesso. Zero Trust é um modelo de segurança que assume que as ameaças são onipresentes dentro e fora das redes. Em vez disso, a confiança zero depende da verificação contínua por meio de informações de várias fontes. Ao fazer isso, essa abordagem pressupõe a inevitabilidade de uma violação de dados. Em vez de se concentrar exclusivamente na prevenção de violações, a segurança de confiança zero garante que os danos sejam limitados e que o sistema seja resiliente e possa se recuperar rapidamente.

É tudo muito sensato, mas existem barreiras para uma ampla implementação de um modelo de confiança zero. Pode ser difícil implementar o novo modelo em sistemas legados e, mesmo quando possível, costuma ser caro. O modelo também é contrário a alguns sistemas amplamente usados. No entanto, a ordem executiva - que se aplica apenas aos sistemas governamentais - é um passo na direção da segurança e promete tornar esses sistemas mais seguros em geral. 

Takeaway de SSL.com: As senhas sozinhas não são mais seguras o suficiente. Além de técnicas como códigos OTP baseados em tempo, certificados de cliente são uma ótima maneira de adicionar um fator de autenticação que seja resistente a ataques de phishing e força bruta. Para obter mais informações, leia Autenticação de usuários e dispositivos IoT com Mutual TLS.

'Um truque estranho' para frustrar os hackers russos

Em uma peculiaridade da tecnologia, Krebs em notas de segurança essa quantidade de malware não pode ser instalada em computadores que possuem determinados teclados virtuais instalados, incluindo os russos e ucranianos. Em uma discussão no Twitter e, posteriormente, em uma postagem no blog, o especialista em segurança explicou que a grande maioria das cepas de ransomware tem uma proteção contra falhas para garantir que o malware não infecte o seu próprio. Do blog:

O DarkSide e outros programas de geração de dinheiro afiliados em língua russa há muito impedem que seus associados criminosos instalem software malicioso em computadores em uma série de países do Leste Europeu, incluindo Ucrânia e Rússia. Essa proibição remonta aos primeiros dias do crime cibernético organizado e tem como objetivo minimizar o escrutínio e a interferência das autoridades locais.

Aparentemente, na Rússia, as autoridades relutam em iniciar investigação de crime cibernético contra cidadãos russos, a menos que um compatriota apresente a queixa. Esses sistemas de proteção contra falhas, portanto, são uma forma prática de manter o calor desligado.

Conclusão de SSL.com: Instalar um teclado virtual russo em seu sistema é uma panaceia de segurança? Nem um pouco, mas também não vai doer.

Cloudflare quer acabar com captchas

No mês passado, vi uma boa notícia para aqueles que estão cansados ​​de computadores pedindo-lhes para provar que também não são máquinas. Em um apelativo intitulado Postagem do blog Cloudflare, Thibault Meunier declara, “A humanidade desperdiça cerca de 500 anos por dia em CAPTCHAs. É hora de acabar com essa loucura. ” A postagem continua explicando que Cloudflare deseja substituir CAPTCHAs onipresentes e irritantes por um novo método envolvendo chaves de segurança de hardware, como as chaves Yubikey FIPS distribuídas por SSL.com Assinatura de código EV e assinatura de documento certificados em.

Da perspectiva do usuário, um atestado criptográfico de personalidade funciona da seguinte maneira:

  1. O usuário acessa um site protegido por Atestado Criptográfico de Personalidade, como cloudflarechallenge. com.
  2. Cloudflare é um desafio.
  3. O usuário clica em Sou humano (beta) e é solicitado um dispositivo de segurança.
  4. O usuário decide usar uma chave de segurança de hardware.
  5. O usuário conecta o dispositivo ao computador ou toca-o no telefone para assinatura sem fio (usando NFC).
  6. Um atestado criptográfico é enviado para Cloudflare, que permite ao usuário após a verificação do teste de presença do usuário.

Em vez de “500 anos”, a conclusão desse fluxo leva cinco segundos. Mais importante ainda, esse desafio protege a privacidade dos usuários, uma vez que o atestado não está vinculado exclusivamente ao dispositivo do usuário.

Conclusão de SSL.com: Também odiamos CAPTCHAs, mesmo que “Atestado Criptográfico de Personalidade” soe assustador.

Milhares de extensões do Chrome estão adulterando cabeçalhos de segurança

A novo estudo descobriu que muitas extensões do Chrome adulteram os cabeçalhos de segurança do site, colocando os usuários em risco. Como Relatórios Catalin Cimpanu para O recorde, as extensões, todas encontradas na Chrome Web Store, nem todas fazem isso com más intenções: 

O cabeçalho de segurança mais comumente desativado era o CSP, um cabeçalho de segurança desenvolvido para permitir que os proprietários de sites controlem quais recursos da web uma página pode carregar dentro de um navegador e uma defesa típica que pode proteger sites e navegadores contra ataques de injeção de dados e XSS.

De acordo com a equipe de pesquisa, na maioria dos casos que analisaram, as extensões do Chrome desabilitaram o CSP e outros cabeçalhos de segurança “para introduzir funcionalidades adicionais aparentemente benignas na página visitada” e não pareciam ser de natureza maliciosa.

No entanto, mesmo que as extensões quisessem enriquecer a experiência online do usuário, os acadêmicos alemães argumentaram que, ao adulterar os cabeçalhos de segurança, tudo o que as extensões faziam era expor os usuários a ataques de outros scripts e sites executados dentro do navegador e na web.

Takeaway de SSL.com: Compreendemos o desejo dos desenvolvedores de fornecer funcionalidade adicional aos usuários, mas acho que adulterar os recursos de segurança dos sites como este é desaconselhável, para dizer o mínimo.

 

Inscreva-se no boletim informativo de SSL.com

Não perca novos artigos e atualizações de SSL.com

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.