Добро пожаловать в майский выпуск SSL.com Обзор безопасности, в котором мы оглядываемся на прошедший месяц в области цифровой безопасности. Читайте нашу подборку того, что мы нашли наиболее важным за последние 30 дней, и оставайтесь в безопасности в Интернете!
Новый минимальный размер ключа RSA для сертификатов подписи кода
В наших собственных новостях по состоянию на 31 мая 2021 года для сертификатов подписи кода и подписи кода EV от SSL.com требуется минимальный размер ключа RSA в 3072 бит. На сертификаты, выпущенные до этой даты, изменение не распространяется, и они будут работать в обычном режиме до истечения срока их действия. Мы выложили все это для вас в блоге на эту тему.
Указ Байдена призывает к «архитектуре нулевого доверия»
В одном из распоряжение подписанный 12 мая, президент США Джо Байден официально призвал федеральное правительство принять «архитектуру нулевого доверия». Что это значит? По сути, директива пытается завоевать неуместное доверие к людям, программному обеспечению и оборудованию, которое является основой многих нарушений безопасности, сделавших всех уязвимыми для атак. В роли Скотта Шакелфорда отчеты для Шифер, растущая глобальная угроза вымогателей поразил как минимум 2,354 раза, охватив всех, от местных органов власти и школ до поставщиков медицинских услуг. Приказ Байдена просит эти учреждения занять более параноидальную позицию и предположить, что опасность подстерегает за каждым углом - и даже в доме, который нужно защищать. Из отчета Slate:
Доверие в контексте компьютерных сетей относится к системам, которые позволяют людям или другим компьютерам получать доступ с минимальной проверкой личности или без проверки того, кто они и имеют ли они право доступа. Zero Trust - это модель безопасности, которая считает само собой разумеющимся, что угрозы вездесущи как внутри, так и за пределами сетей. Вместо этого нулевое доверие основывается на непрерывной проверке информации из нескольких источников. При этом этот подход предполагает неизбежность утечки данных. Вместо того, чтобы сосредоточиться исключительно на предотвращении нарушений, безопасность с нулевым доверием гарантирует, что ущерб ограничен, а система устойчива и может быстро восстанавливаться.
Все это очень разумно, но все же существуют препятствия для широкого внедрения модели нулевого доверия. Внедрить новую модель в унаследованные системы может быть сложно, и даже когда это возможно, это часто требует больших затрат. Модель также противоречит некоторым широко используемым системам. Тем не менее, указ, который применяется только к правительственным системам, является шагом в направлении безопасности и обещает сделать эти системы более безопасными в целом.
Одна странная уловка, чтобы помешать российским хакерам
По причуде технологии, Кребс о заметках по безопасности такое количество вредоносных программ не будет установлено на компьютеры, на которых установлены определенные виртуальные клавиатуры, в том числе русские и украинские. В ходе обсуждения в Твиттере, а затем и в блоге, эксперт по безопасности объяснил, что подавляющее большинство штаммов вымогателей имеют отказоустойчивый режим, гарантирующий, что вредоносное ПО не заразит самих себя. Из блога:
DarkSide и другие русскоязычные партнерские программы для зарабатывания денег уже давно запрещают своим криминальным сообщникам устанавливать вредоносные программы на компьютеры во многих странах Восточной Европы, включая Украину и Россию. Этот запрет восходит к самым ранним дням организованной киберпреступности и призван свести к минимуму контроль и вмешательство со стороны местных властей.
Судя по всему, в России власти неохотно начинают расследование киберпреступлений в отношении российских граждан, если жалоба не инициирована соотечественником. Таким образом, такие аварийные сейфы - это практичный способ сохранить тепло.
Cloudflare хочет избавиться от капчи
В прошлом месяце появились хорошие новости для тех, кто устал от компьютеров, прося их доказать, что они тоже не машины. В убедительно названном Сообщение в блоге Cloudflare, Тибо Менье заявляет: «Человечество тратит около 500 лет в день на CAPTCHA. Пора положить конец этому безумию ». Далее в сообщении объясняется, что Cloudflare хочет заменить вездесущие, надоедливые CAPTCHA новым методом, включающим аппаратные ключи безопасности, такие как ключи FIPS Yubikey, которые распространяет SSL.com. Подпись кода EV и подписание документа сертификаты на.
С точки зрения пользователя криптографическая аттестация личности работает следующим образом:
- Пользователь получает доступ к веб-сайту, защищенному криптографической аттестацией личности, например Cloudflarechallenge.com.
- Cloudflare бросает вызов.
- Пользователь нажимает «Я человек» (бета) и получает запрос на устройство безопасности.
- Пользователь решает использовать аппаратный ключ безопасности.
- Пользователь подключает устройство к своему компьютеру или прикладывает его к своему телефону для беспроводной подписи (с помощью NFC).
- Криптографическое подтверждение отправляется в Cloudflare, что позволяет пользователю войти после проверки тест присутствия пользователя.
Вместо «500 лет» выполнение этого потока занимает пять секунд. Что еще более важно, эта задача защищает конфиденциальность пользователей, поскольку аттестация не связана однозначно с устройством пользователя.
Тысячи расширений Chrome подделывают заголовки безопасности
A Новое исследование обнаружил, что многие расширения Chrome вмешиваются в заголовки безопасности веб-сайтов, подвергая пользователей риску. В виде Каталин Чимпану сообщает для The Record, расширения, которые можно найти в Интернет-магазине Chrome, не все делают это со злыми намерениями:
Наиболее часто отключаемым заголовком безопасности был CSP, заголовок безопасности, который был разработан, чтобы позволить владельцам сайтов контролировать, какие веб-ресурсы разрешено загружать странице в браузере, и типичная защита, которая может защитить веб-сайты и браузеры от атак XSS и внедрения данных.
По словам исследовательской группы, в большинстве проанализированных ими случаев расширения Chrome отключили CSP и другие заголовки безопасности, «чтобы ввести дополнительные, казалось бы, безопасные функции на посещаемой веб-странице» и не выглядели вредоносными по своей природе.
Однако, даже если расширения хотели обогатить возможности пользователя в сети, немецкие ученые утверждали, что, вмешиваясь в заголовки безопасности, все расширения делали, чтобы подвергать пользователей атакам со стороны других скриптов и сайтов, работающих внутри браузера и в Интернете.
