Resumo de segurança cibernética para janeiro de 2022

O resumo deste mês discute dois casos que sugerem tendências prováveis ​​que as agências governamentais enfrentarão quando se trata de ataques cibernéticos. Como uma empresa que visa proteger governos e organizações privadas de ataques cibernéticos, fornecemos links para artigos completos que discutem os produtos e serviços que oferecemos para reforçar a segurança cibernética de qualquer organização. Por fim, também discutimos duas atualizações de serviços que oferecemos aos nossos clientes. Leia!

 

Os usuários podem assinar o código com o recurso de assinatura de código de validação estendida do eSigner. Clique abaixo para mais informações.

SAIBA MAIS

Condado do Novo México se torna a primeira vítima de ransomware do governo local em janeiro

Em 5 de janeiro passado, o condado de Bernalillo, o maior condado do Novo México, foi forçado a fechar a maioria de seus prédios governamentais em resposta a um ataque de ransomware. 

Muitos dos sistemas de computador do governo do condado foram desconectados da Internet para proteger registros e outros arquivos confidenciais. Também estavam off-line os sites do condado.  

Até 14 de janeiro, os moradores continuavam a receber não-serviços quando se tratava de processar transações imobiliárias, registro de eleitores ou certidões de casamento. 

De acordo com uma relatório de notícias, “o município também apresentou um aviso de emergência no tribunal federal de que não conseguiu cumprir os termos de um acordo envolvendo condições na prisão do condado porque o ataque de ransomware derrubou o acesso às câmeras de segurança da prisão.” O não cumprimento dos termos colocou a prisão em um status de bloqueio e reduziu bastante certos privilégios dos presos, incluindo o tempo livre passado fora e o acesso ao telefone.

O ataque cibernético também afetou os sistemas judiciais, forçando os funcionários a elaborar planos de backup que poderiam permitir temporariamente processos criminais. 

No final de janeiro, Bernalillo ainda não se recuperou totalmente desse incidente.

A menos que as agências governamentais tomem medidas sérias para melhorar sua segurança cibernética, elas continuarão correndo o risco de ataques debilitantes. Em 2020, 113 ataques de ransomware foram executados contra governos locais. Em 2021, 76 municípios também admitiram ter recebido o mesmo ataque.

Conclusão do SSL.com: as agências governamentais continuarão a ser alvo de cibercriminosos em 2022. Se você faz parte de uma agência governamental, o melhor método para proteger seu site, dados e transações é adquirir PKI serviços de profissionais. Vá para Este artigo para ler como ajudamos os governos a fortalecer sua segurança cibernética por meio de PKI.

Departamento de Defesa chamado para proteger sua Internet of Battlefield Things (IOBT)

O Departamento de Defesa (DOD) vem desenvolvendo continuamente o que é chamado de “Internet das Coisas do Campo de Batalha” (IOBT). São redes de uma ampla gama de equipamentos militares que estão ligados à tecnologia inteligente. Estes incluem sensores de campo de batalha, rádios e armas. 

Embora a IOBT aumente as capacidades dos militares, também os predispõe a muitos problemas de segurança cibernética. À medida que mais dispositivos conectados à Internet são adicionados ao IOBT, os pontos de entrada para hackers comprometerem a rede também aumentam. Quando informações e tecnologias classificadas são roubadas por hackers, isso pode ser uma situação de vida ou morte. Por exemplo, em 2018, foi revelado que rastreadores de fitness usados ​​​​pelos militares poderiam ser penetrados e vazar o movimento das tropas que os usam. 

O Departamento de Defesa respondeu à crescente preocupação com a IOBT criando o sistema Comply to Connect (C2C). Como explicado por Daniel Goure do think tank Lexington Institute, o C2C inclui quatro funções, que são: “1) identificar e validar novos dispositivos que estão conectados a uma rede; 2) avaliar sua conformidade com as políticas de segurança do DoD; 3) realização de monitoramento contínuo desses dispositivos, e; 4) abordar automaticamente os problemas do dispositivo, reduzindo assim a necessidade de manter a higiene cibernética nos administradores de segurança cibernética.”

Aparentemente, o DoD foi duas vezes mandatado pelo Congresso dos EUA para implementar fortemente o C2C. Até agora, apenas a Marinha dos EUA, o Corpo de Fuzileiros Navais dos EUA e vários elementos do DoD cumpriram a ordem, com a maioria das sub-filiais do departamento ficando para trás. 

O crescimento contínuo em Infraestrutura de Chave Pública (PKI) no setor privado apresenta uma oportunidade urgente para o DoD fazer parceria com especialistas do setor quando se trata de garantir seu IOBT. Essa parceria permitirá que o DoD desempenhe suas funções com segurança, ao mesmo tempo em que poderá se adaptar às necessidades militares em evolução.

A lição do SSL.com: O SSL.com é um aliado do governo quando se trata de segurança cibernética. Ler Este artigo para descobrir como ajudamos as agências governamentais a proteger seus sistemas de IoT por meio da infraestrutura de chave pública (PKI) Tecnologia.

SSL.com anuncia suporte para TLS Credenciais delegadas

Nós da SSL.com estamos anunciando que apoiamos o uso de credenciais delegadas para todos os clientes. A emissão de certificados com capacidade de credencial delegada pode ser feita por meio do uso de APIs para automação usando o protocolo ACME. Como SSL.com utiliza ECDSA para implementar o PKI oferecidos aos clientes, as credenciais delegadas emitidas por nossos clientes não são vulneráveis ​​a ataques de falsificação de assinatura.

As credenciais delegadas são estruturas de dados assinadas digitalmente que consistem em duas partes: um intervalo de validade e uma chave pública (junto com seu algoritmo de assinatura associado). Eles servem como um "procuração" para os servidores indicando que eles estão autorizados a encerrar o TLS conexão.

As credenciais delegadas são projetadas com o objetivo de aumentar a segurança. Portanto, eles possuem certas características, conforme definido na minuta do IEFT. Esses traços incluem o seguinte:

  • O período máximo de validade de uma credencial delegada é sete (7) dias para minimizar a exposição se a chave privada for comprometida. 
  • As credenciais delegadas são ligado criptograficamente ao certificado da entidade final. Especificamente, a chave privada do certificado da entidade final é usada para calcular a assinatura do DC por meio de um algoritmo especificado pela credencial.
  • As credenciais delegadas são emitidas pelo cliente, o que é muito mais fácil do que criar um certificado assinado por uma CA. Os certificados emitidos pelo cliente também são úteis para manter o serviço funcionando mesmo que a CA tenha um tempo de inatividade.
  • As credenciais delegadas têm curtos períodos de validade por definição. Ao definir o tempo de vida das credenciais delegadas, os servidores precisam levar em consideração a inclinação do relógio do cliente para evitar a rejeição de certificados.
  • Não há mecanismo de revogação para credenciais delegadas. Eles se tornam inválidos quando o período de validade expira.
  • As credenciais delegadas são projetadas para serem usadas em TLS 1.3 ou mais tarde. Existe uma vulnerabilidade conhecida quando TLS Os servidores 1.2 suportam a troca de chaves RSA, permitindo a falsificação de uma assinatura RSA sobre uma mensagem arbitrária.
  • As organizações podem usar APIs de emissão automatizada existentes, como ACME, para fornecer credenciais delegadas.
  • As credenciais delegadas não podem ser reutilizadas em vários contextos. 

 Leia mais sobre o tema TLS credenciais delegadas clicando neste link ao nosso artigo completo.

SSL.com lança totalmente o eSigner CKA

Em janeiro, SSL.com lançou o eSigner CKA – um plug-in Microsoft Crypto Next Generation (CNG) que permite que ferramentas do Windows, como certutil.exe e signtool.exe, usem o eSigner CSC para operações de assinatura de código. Existem cinco vantagens identificadas para desenvolvedores e editores de software ao usar o eSigner CKA.

  1. Atua como um token USB virtual – Somente certificados digitais confiáveis ​​pelo Windows aparecem no Repositório de Certificados. Porque eSigner CKA é um programa desenvolvido por SSL.com (um PKI empresa reconhecida pelo Windows como uma Autoridade de Certificação), a confiança também é fornecida a ela porque é capaz de carregar com êxito o certificado de Assinatura de Código EV no Armazenamento de Certificados do Usuário sem problemas.  
  2. Pode ser usado diretamente no Windows SignTool – A assinatura de código EV com eSigner CKA é tão conveniente que você literalmente só precisa abrir o SignTool e inserir a linha de comando. Se você estiver mais à vontade para receber senhas de uso único em seu celular e usar um aplicativo autenticador, poderá escolher o modo manual. Se você deseja assinar o código em seu software em um ritmo mais rápido, mas ainda recebe o mesmo alto nível de segurança e se deseja controlar sua chave privada para assinatura, pode optar pelo modo automatizado.
  3. Interface de usuário simples e limpa – A plataforma amigável do eSigner CKA economiza muito tempo precioso das empresas de software e permite que elas se concentrem no trabalho de desenvolvimento real. Instale o programa, selecione seu modo de assinatura, insira suas credenciais de login e assine seu código. Todas essas etapas são apresentadas para você em telas de janela simples. Instalação rápida e execução ainda mais rápida. 
  4. Sem Tokens Perdidos – eSigner CKA resolve a limitação com o uso de tokens físicos no código de assinatura. Com este programa, você não precisa de tokens USB separados para executar com sucesso a assinatura de código EV. eSigner CKA é em si o “token”. Depois de instalá-lo, você só precisa buscar seu certificado de assinatura de código EV no repositório de certificados e está pronto para assinar. Isso significa que você não precisa se preocupar em perder seu token de hardware ou ser bloqueado por esquecer sua senha e consumir suas tentativas restantes de senha de token.   
  5. Suporta assinatura de código EV em ambientes CI/CD – eSigner CKA pode ser usado remotamente em qualquer lugar, a qualquer hora. Este programa aumenta a segurança do pipeline de DevOps, garantindo que os componentes de software compartilhados por engenheiros, que estão trabalhando em horários e locais diferentes, sejam autenticados com um certificado SSL.com EV Code Signing. Os hackers são, portanto, impedidos de comprometer o processo de construção do seu software porque um arquivo malicioso que eles tentam injetar será identificado como não tendo sido assinado com segurança.

Baixe o eSigner CKA clicando aqui: eSigner CKA (Adaptador de chave de nuvem) 

Obtenha seus certificados de assinatura de código EV SSL.com SUA PARTICIPAÇÃO FAZ A DIFERENÇA

E clique neste guia sobre como instalar e usar o eSigner CKA.

Os usuários podem assinar o código com o recurso de assinatura de código de validação estendida do eSigner. Clique abaixo para mais informações.

SAIBA MAIS

Inscreva-se no boletim informativo de SSL.com

Não perca novos artigos e atualizações de SSL.com

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.