Добро пожаловать в апрельский выпуск SSL.com Roundup, в котором мы оглядываемся на прошедший месяц в области цифровой безопасности. Читайте нашу коллекцию того, что поразило нас за последние четыре недели, и оставайтесь в безопасности!
Покойся с миром, Дэн Камински
SSL.com присоединяется к сообществу кибербезопасности в трауре исследователя Дэн Каминский. Дэн был наиболее известен за свой 2008 год. обнаружение крупного недостатка в системе доменных имен (DNS), которая допускала широкий спектр атак и могла направлять неосведомленных пользователей на злонамеренные сайты-самозванцы. Его исследование также включало обнаружение уязвимостей в аутентификации X.509, основа PKI и цифровые сертификаты. Камински вспоминали в New York Times как «спаситель интернет-безопасности» в трогательном некрологе написанный Николь Перлрот. Она пишет:
«Интернет никогда не создавался для обеспечения безопасности», - вспоминал Каминский в интервью 2016 года. «Интернет был разработан для того, чтобы перемещать фотографии кошек. У нас очень хорошо получается снимать кошек ». Но он добавил: «Мы не думали, что вы потратите на это триллионы долларов. Что мы будем делать? И вот ответ: некоторые из нас должны пойти и исправить это ».
Публичная бета-регистрация eSigner
В новостях из нашего лагеря SSL.com приглашает Подпись кода EV и подписание документа клиентов для участия в публичная бета of Электронная подпись, Новая унифицированная облачная платформа SSL.com для подписи документов и кода.
eSigner включает:
- Электронная подпись Экспресс Веб-приложение с графическим интерфейсом пользователя для подписи документов и подписи кода EV
- API Консорциума облачных подписей (CSC) для подписи документов и подписи кода EV
- CodeSignTool инструмент командной строки для подписи кода EV
Любой SSL.com Подписание документов or Подпись кода EV сертификат может быть зарегистрирован в eSigner, что позволяет подписывать документы и код с любого подключенного к Интернету устройства без USB-токенов, модулей HSM или PKI экспертиза. Организации могут интегрировать eSigner со своими рабочими процессами для подписи документов и кода, включая автоматизацию CI / CD. Издатели программного обеспечения и поставщики услуг могут использовать eSigner, чтобы предлагать своим клиентам возможности цифровой подписи.
После полного запуска eSigner станет услугой на основе подписки. Тем не менее, участники бета-тестирования получат ранний доступ к eSigner Express, CSC API и CodeSignTool без платы за подписку до полного коммерческого выпуска eSigner. Чтобы зарегистрироваться, пожалуйста, заполните Форма регистрации бета-версии eSigner и член команды SSL.com свяжется с вами для уточнения деталей.
IoXT Alliance объявляет о новом стандарте безопасности мобильных приложений
Ассоциация Альянс ioXt (Интернет безопасных вещей), отраслевая группа, разрабатывающая и отстаивающая стандарты безопасности Интернета вещей, объявила что она расширяет свою программу соответствия новым стандартам безопасности для мобильных приложений. В новый профиль мобильного приложения включает требования для приложений виртуальной частной сети (VPN). Вы можете узнать больше о новом стандарте на Блог безопасности Google. Как они это объясняют:
Профиль мобильного приложения ioXt предоставляет минимальный набор лучших коммерческих практик для всех подключенных к облаку приложений, работающих на мобильных устройствах. Этот базовый уровень безопасности помогает противодействовать распространенным угрозам и снижает вероятность серьезных уязвимостей. Профиль использует существующие стандарты и принципы, установленные OWASP MASVS и VPN Trust Initiative, и позволяет разработчикам дифференцировать возможности безопасности в отношении криптографии, аутентификации, сетевой безопасности и качества программ по обнаружению уязвимостей. Профиль также предоставляет основу для оценки конкретных требований категории приложения, которые могут применяться на основе функций, содержащихся в приложении.
С точки зрения инфраструктуры открытых ключей, или PKI, новые стандарты требуют, чтобы весь сетевой трафик был зашифрован и подтвержден TLS используется, когда это возможно. Новая программа также обеспечивает закрепление сертификата x509 для основных служб.
«Огромная» ошибка macOS обходит требования безопасности
Обнаружена уязвимость в операционной системе MacOS от Apple, которая позволяла злоумышленникам устанавливать вредоносное ПО, не вызывая предупреждений системы безопасности. Ошибка позволяла плохим актерам обходить функции безопасности macOS например, Gatekeeper, File Quarantine и App Notarization, чтобы получить контроль над компьютерами. Лоренцо Франчески-Биккьерай прикрыл ошибку для материнской платы Vice Magazine в статье, в которой подчеркивается, насколько опасна уязвимость. Поскольку он обходил предупреждения системы безопасности, двойной щелчок любого пользователя мог ввести вредоносное ПО. И это еще не все:
Что еще хуже, по крайней мере одна группа хакеров использовала эту ошибку для заражения жертв в течение нескольких месяцев, по словам Джарона Брэдли, ведущего отдела обнаружения в компании Jamf Protect, специализирующейся на кибербезопасности Apple… «Одно из наших обнаружений предупредило нас об этом новом варианте, и при более внимательном рассмотрении мы обнаружили, что он использует этот обходной канал, чтобы установить его без запроса конечного пользователя », - сказал Брэдли в онлайн-чате. «Дальнейший анализ приводит нас к выводу, что разработчики вредоносного ПО обнаружили нулевой день и скорректировали свое вредоносное ПО для его использования в начале 2021 года».
Apple выпустила версию macOS 11.3, которую следует загрузить немедленно, так как она содержит заплата за ошибку. Как только об этом позаботятся, вы можете проверить подробное краткое изложение Дэн Гудин в Ars Technica написал о том, как хакеры использовали уязвимость для установки вредоносного ПО.
