April 2021 säkerhetsrundup

Välkommen till aprilutgåvan av SSL.com Roundup, där vi ser tillbaka på den senaste månaden inom digital säkerhet. Läs vidare för vår samling av vad som slog oss under de senaste fyra veckorna, och håll dig säker där ute! 

Vila i fred, Dan Kaminsky

Dan Kaminsky
Foto: wikipedia

SSL.com ansluter sig till cybersäkerhetsgemenskapen i sorgforskare Dan Kaminsky. Dan var mest känd för sitt 2008 upptäckten av en stor brist i Domain Name System (DNS) som tillät ett stort antal attacker och kunde leda okända användare till skadliga bedrägerisidor. Hans forskning inkluderade också avslöja sårbarheter i X.509-autentisering, en grund för PKI och digitala certifikat. Kaminksy kom ihåg i New York Times som en "räddare för internetsäkerhet" i en rörande nekrolog skriven av Nicole Perlroth. Hon skriver:

"Internet var aldrig utformat för att vara säkert", påminde Kaminsky i en intervju 2016. ”Internet var utformat för att flytta bilder av katter. Vi är väldigt bra på att flytta bilder av katter. ” Men han tillade: ”Vi trodde inte att du skulle flytta biljoner dollar till detta. Vad ska vi göra? Och här är svaret: Några av oss måste gå ut och fixa det. ”

eSigner offentlig betaregistrering 

eSigner Beta

I nyheter från vårt eget läger bjuder SSL.com in EV-kodsignering och dokumentsignering kunder att delta i offentlig beta of eSigner, SSL.coms nya enhetliga molnplattform för dokument- och kodsignering.

eSigner inkluderar:

Alla SSL.com Dokumentunderskrift or EV-kodsignering certifikat kan registreras i eSigner, så att du kan underteckna dokument och kod från valfri internetansluten enhet utan USB-tokens, HSM eller PKI expertis. Organisationer kan integrera eSigner med sina arbetsflöden för dokument och kodsignering, inklusive CI / CD-automatisering. Programvaruutgivare och tjänsteleverantörer kan använda eSigner för att erbjuda digitala signeringsfunktioner till sina kunder.

eSigner kommer att vara en prenumerationsbaserad tjänst när den är helt lanserad. Betadeltagare får dock tidig tillgång till eSigner Express, CSC API och CodeSignTool utan prenumerationsavgifter före eSigners fullständiga kommersiella release. För att registrera dig, fyll i eSigner beta-registreringsformulär och en SSL.com-teammedlem kommer att kontakta dig med detaljer.

IoXT Alliance tillkännager ny säkerhetsstandard för mobilappar

Smakämnen ioXt (Internet of Secure Things) Alliance, en branschgrupp som utvecklar och förespråkar IoT-säkerhetsstandarder, har meddelat att det utvidgar sitt efterlevnadsprogram med en ny säkerhetsstandard för mobilappar. De ny mobilapplikationsprofil innehåller krav på virtuella privata nätverksapplikationer (VPN). Du kan läsa mer om den nya standarden på Googles säkerhetsblogg. Som de förklarar det:

IoXt Mobile Application Profile tillhandahåller ett minimum av kommersiella bästa metoder för alla molnanslutna appar som körs på mobila enheter. Denna säkerhetsbaslinje hjälper till att mildra vanliga hot och minskar sannolikheten för betydande sårbarheter. Profilen utnyttjar befintliga standarder och principer som anges av OWASP MASVS och VPN Trust Initiative och gör det möjligt för utvecklare att differentiera säkerhetsfunktioner kring kryptografi, autentisering, nätverkssäkerhet och programkvalitet för sårbarhetsinformation. Profilen ger också ett ramverk för att utvärdera appkategorispecifika krav som kan tillämpas baserat på funktionerna i appen.

När det gäller offentlig nyckelinfrastruktur, eller PKI, de nya standarderna frågar att all nätverkstrafik är krypterad och verifierad TLS används när det är möjligt. Det nya programmet tillämpar också x509-certifikatfästning för primära tjänster.

SSL.com: s takeaway: Vi välkomnar utvecklingen av starka branschstandarder för mobilappsäkerhet. Du kan läsa hela standarden här..

'Massiva' macOS Bug Bypasses Security Requirements

En sårbarhet i Apples macOS-operativsystem som gjorde det möjligt för angripare att installera skadlig kod utan att utlösa säkerhetsvarningar har hittats. Felet tillät dåliga skådespelare att kringgå macOS säkerhetsfunktioner som Gatekeeper, File Quarantine och App Notarization för att ta kontroll över datorer. Lorenzo Franceschi-Bicchierai täckte felet för Vice Magazines moderkort i ett stycke som betonade hur farlig sårbarheten var. Eftersom det kringgick säkerhetsvarningar kan ett dubbelklick från alla användare introducera skadlig kod. Och det är inte allt:

Vad som är värre, åtminstone en grupp hackare har utnyttjat denna bugg för att infektera offer i flera månader, enligt Jaron Bradley, upptäckter leder på Apple-fokuserat cybersäkerhetsföretag Jamf Protect ... ”En av våra upptäckter varnade oss för denna nya variant, och vid närmare granskning upptäckte vi dess användning av denna förbikoppling så att den kan installeras utan en slutanvändarfråga, ”sa Bradley i en onlinechatt. "Ytterligare analys får oss att tro att utvecklarna av skadlig programvara upptäckte nolldagen och justerade sin skadlig kod för att använda den i början av 2021."

Apple har släppt version 11.3 av macOS, som ska laddas ner omedelbart, eftersom den innehåller en plåster för felet. När det väl har tagits om kan du kolla in detaljerad genomgång Dan Goodin över Ars Technica har skrivit om hur hackare utnyttjade sårbarheten för att installera skadlig kod.

SSL.com: s takeaway: Det har blivit en irriterande kliché att smeka när sårbarheter och skadlig kod dyker upp på macOS. Istället ber vi alla att snälla uppdatera sin MacOS till version 11.3 så snart som möjligt.

 

Prenumerera på SSL.coms nyhetsbrev

Missa inte nya artiklar och uppdateringar från SSL.com

Vi vill gärna ha din feedback

Följ vår undersökning och låt oss veta vad du tycker om ditt senaste köp.