Resumo de segurança de abril de 2021

Bem-vindo à edição de abril do SSL.com Roundup, em que fazemos uma retrospectiva do mês passado em segurança digital. Leia nossa coleção do que nos impressionou nas últimas quatro semanas e fique seguro lá fora! 

Descanse em paz, Dan Kaminsky

Dan Kaminski
Foto: Wikipedia

SSL.com se junta à comunidade de segurança cibernética em luto pesquisador Dan Kaminski. Dan era mais conhecido por seu 2008 descoberta de uma grande falha no Sistema de Nomes de Domínio (DNS), que permitia uma ampla gama de ataques e poderia direcionar usuários desconhecidos a sites fraudulentos. Sua pesquisa também incluiu descobrindo vulnerabilidades na autenticação X.509, uma base de PKI e certificados digitais. Kaminksy foi lembrado no New York Times como um “salvador da segurança da Internet” em um obituário comovente escrito por Nicole Perlroth. Ela escreve:

“A Internet nunca foi projetada para ser segura”, lembra Kaminsky em uma entrevista de 2016. “A internet foi projetada para mover fotos de gatos. Somos muito bons em imagens em movimento de gatos. ” Mas, ele acrescentou: “Não pensamos que você moveria trilhões de dólares para isso. O que nós vamos fazer? E aqui está a resposta: alguns de nós temos que sair e consertar. ”

Registro do eSigner Public Beta 

Beta do eSigner

Em notícias do nosso próprio campo, SSL.com convida Assinatura de código EV e assinatura de documento clientes participem do beta público of Assinatura eletrônica, A nova plataforma em nuvem unificada de SSL.com para assinatura de documentos e códigos.

eSigner inclui:

Qualquer SSL.com Assinatura de documento or Assinatura do código EV certificado pode ser inscrito no eSigner, permitindo que você assine documentos e códigos de qualquer dispositivo conectado à Internet sem tokens USB, HSMs ou PKI perícia. As organizações podem integrar o eSigner com seus fluxos de trabalho de assinatura de documento e código, incluindo automação de CI / CD. Os editores de software e provedores de serviço podem usar o eSigner para oferecer recursos de assinatura digital a seus clientes.

O eSigner será um serviço baseado em assinatura quando totalmente lançado. No entanto, os participantes beta terão acesso antecipado ao eSigner Express, CSC API e CodeSignTool sem encargos de assinatura antes do lançamento comercial completo do eSigner. Para se inscrever, preencha o Formulário de registro beta do eSigner e um membro da equipe SSL.com entrará em contato com você com os detalhes.

IoXT Alliance anuncia novo padrão de segurança para aplicativos móveis

A Aliança ioXt (Internet of Secure Things), um grupo da indústria que desenvolve e defende padrões de segurança de IoT, anunciou que está expandindo seu programa de conformidade com um novo padrão de segurança para aplicativos móveis. O novo perfil de aplicativo móvel inclui requisitos para aplicativos de rede privada virtual (VPN). Você pode ler mais sobre o novo padrão no Blog de segurança do Google. Como eles explicam:

O perfil de aplicativo móvel ioXt fornece um conjunto mínimo de melhores práticas comerciais para todos os aplicativos conectados à nuvem em execução em dispositivos móveis. Essa linha de base de segurança ajuda a mitigar ameaças comuns e reduz a probabilidade de vulnerabilidades significativas. O perfil aproveita os padrões e princípios existentes estabelecidos pelo OWASP MASVS e a VPN Trust Initiative e permite que os desenvolvedores diferenciem os recursos de segurança em criptografia, autenticação, segurança de rede e qualidade do programa de divulgação de vulnerabilidades. O perfil também fornece uma estrutura para avaliar os requisitos específicos da categoria do aplicativo que podem ser aplicados com base nos recursos contidos no aplicativo.

Em termos de infraestrutura de chave pública, ou PKI, os novos padrões exigem que todo o tráfego da rede seja criptografado e verificado TLS é usado quando possível. O novo programa também impõe a fixação de certificado x509 para serviços primários.

Conclusão de SSL.com: Congratulamo-nos com o desenvolvimento de fortes padrões da indústria para a segurança de aplicativos móveis. Você pode ler o padrão completo SUA PARTICIPAÇÃO FAZ A DIFERENÇA.

Bug do macOS 'maciço' contorna os requisitos de segurança

Foi encontrada uma vulnerabilidade no sistema operacional macOS da Apple que permitia que invasores instalassem malware sem disparar avisos de segurança. O bug permitiu que atores mal-intencionados contornassem recursos de segurança do macOS como Gatekeeper, File Quarantine e App Notarization para assumir o controle dos computadores. Lorenzo Franceschi-Bicchierai cobriu o bug para a placa-mãe da Vice Magazine em um artigo que enfatizou o quão perigosa era a vulnerabilidade. Como ele contornou os avisos de segurança, um clique duplo de qualquer usuário pode introduzir malware. E isso não é tudo:

O que é pior, pelo menos um grupo de hackers tem aproveitado esse bug para infectar as vítimas há meses, de acordo com Jaron Bradley, líder de detecções na empresa de segurança cibernética da Apple Jamf Protect ... “Uma de nossas detecções nos alertou para esta nova variante, e após uma inspeção mais detalhada, descobrimos o uso desse bypass para permitir que ele seja instalado sem a solicitação do usuário final ”, disse Bradley em um bate-papo online. “Uma análise mais aprofundada nos leva a acreditar que os desenvolvedores do malware descobriram o dia zero e ajustaram seu malware para usá-lo no início de 2021.”

A Apple lançou a versão 11.3 do macOS, que deve ser baixada imediatamente, pois contém um remendo para o bug. Depois de cuidar disso, você pode verificar o resumo detalhado Dan Goodin em Ars Technica escreveu sobre como os hackers exploraram a vulnerabilidade para instalar malware.

Conclusão de SSL.com: Tornou-se um clichê irritante sorrir maliciosamente quando vulnerabilidades e malware surgem no macOS. Em vez disso, pedimos a todos que atualizem seus MacOS para a versão 11.3 o mais rápido possível.

 

Inscreva-se no boletim informativo de SSL.com

Não perca novos artigos e atualizações de SSL.com

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.