Maj 2021 säkerhetsrundup

Välkommen till majutgåvan av SSL.com Säkerhet Roundup, där vi ser tillbaka på den senaste månaden inom digital säkerhet. Läs vidare för vår samling av vad vi tyckte viktigast under de senaste 30 dagarna, och håll dig säker online!

Ny minsta RSA-nyckelstorlek för kodsigneringscertifikat

I våra egna nyheter kräver den 31 maj 2021 certifikat för kodsignering och EV-kodsignering från SSL.com en minsta RSA-nyckelstorlek på 3072 bitar. Certifikat som utfärdats före detta datum påverkas inte av ändringen och fungerar som vanligt fram till utgången. Vi har lagt allt för dig i en blogginlägg om ämnet.

Biden Executive Order kräver 'Zero Trust Architecture'

I ett verkställande order undertecknat den 12 maj har USA: s president Joe Biden officiellt uppmanat den federala regeringen att anta en "zero trust architecture". Vad betyder det här? I huvudsak försöker direktivet att få till förtroligt förtroende för människor, programvara och hårdvara som är grunden för många av säkerhetsöverträdelserna som har gjort alla utsatta för attacker. Som Scott Shackelford rapporter för Slate, det växande globala hotet om Ransomware har slagit minst 2,354 XNUMX gånger och riktat sig till alla från lokala myndigheter och skolor till vårdgivare. Bidens order ber dessa institutioner att ta en mer paranoid hållning och anta att faran ligger runt varje hörn - och även i huset siktar man på att skydda. Från skifferrapporten:

Förtroende för datanätverk hänför sig till system som tillåter människor eller andra datorer åtkomst med liten eller ingen verifiering av vem de är och om de är behöriga att ha åtkomst. Zero Trust är en säkerhetsmodell som tar för givet att hot är allestädes närvarande i och utanför nätverk. Noll förtroende förlitar sig istället på kontinuerlig verifiering via information från flera källor. Genom att göra detta förutsätter detta tillvägagångssätt att det är oundvikligt att ett dataintrång. Istället för att enbart fokusera på att förhindra överträdelser säkerställer zero-trust-säkerhet istället att skadorna är begränsade och att systemet är motståndskraftigt och snabbt kan återhämta sig.

Allt är mycket förnuftigt, och ändå finns det hinder för att implementera en nollförtroende-modell i stor utsträckning. Det kan vara svårt att implementera den nya modellen i äldre system och även om det är möjligt är det ofta dyrt. Modellen strider också mot vissa system som används i stor utsträckning. Emellertid är den verkställande ordern - som endast gäller för statliga system - ett steg i riktning mot säkerhet och lovar att göra dessa system säkrare överlag. 

SSL.coms avhämtning: Lösenord ensamma är inte tillräckligt säkra längre. Förutom tekniker som tidsbaserade OTP-koder, kundcertifikat är ett utmärkt sätt att lägga till en autentiseringsfaktor som är motståndskraftig mot nätfiske och brute force-attacker. För mer information, vänligen läs Autentisering av användare och IoT-enheter med ömsesidigt TLS.

"Ett konstigt knep" för att folja ryska hackare

I en karaktär av teknik, Krebs om säkerhetsanmärkningar att mycket skadlig kod inte kommer att installeras på datorer som har vissa virtuella tangentbord installerade, inklusive ryska och ukrainska. I en Twitter-diskussion och senare ett blogginlägg förklarade säkerhetsexperten att de allra flesta ransomware-stammar har felsäkerhet för att säkerställa att skadlig kod inte infekterar sin egen. Från bloggen:

DarkSide och andra ryskspråkiga dotterbolagsprogram har länge hindrat sina kriminella medarbetare från att installera skadlig programvara på datorer i en mängd östeuropeiska länder, inklusive Ukraina och Ryssland. Detta förbud går tillbaka till de tidigaste dagarna av organiserad it-brottslighet, och det är avsett att minimera granskning och störningar från lokala myndigheter.

Uppenbarligen är myndigheterna i Ryssland ovilliga att inleda cyberbrottsutredning mot ryska medborgare såvida inte en landsmän inleder klagomålet. Sådana felsäkringar är alltså ett praktiskt sätt att hålla värmen av.

SSL.com: s takeaway: Är det ett säkerhetsmedel att installera ett ryskt virtuellt tangentbord på ditt system? Inte alls, men det skadar inte heller.

Cloudflare vill göra bort med Captchas

Förra månaden såg goda nyheter för dem som är trötta på datorer som ber dem bevisa att de inte också är maskiner. I en övertygande titel Cloudflare blogginlägg, Förklarar Thibault Meunier, ”Mänskligheten slösar bort cirka 500 år per dag på CAPTCHA. Det är dags att avsluta denna galenskap. ” Inlägget fortsätter med att förklara att Cloudflare vill ersätta allestädes närvarande, irriterande CAPTCHAs med en ny metod som involverar hårdvarusäkerhetsnycklar, till exempel Yubikey FIPS-nycklar som SSL.com distribuerar EV-kodsignering och dokumentsignering certifikat på.

Ur ett användarperspektiv fungerar ett kryptografiskt intyg om personlighet enligt följande:

  1. Användaren öppnar en webbplats som skyddas av Cryptographic Attestation of Personhood, såsom cloudflarechallenge.com.
  2. Cloudflare serverar en utmaning.
  3. Användaren klickar på Jag är människa (beta) och blir ombedd att ange en säkerhetsenhet.
  4. Användaren bestämmer sig för att använda en hårdvarusäkerhetsnyckel.
  5. Användaren ansluter enheten till sin dator eller knackar den på sin telefon för trådlös signatur (med NFC).
  6. Ett kryptografiskt intyg skickas till Cloudflare, vilket gör att användaren kan komma in vid verifiering av test av användarnärvaro.

Istället för "500 år" tar det fem sekunder att slutföra detta flöde. Ännu viktigare är att denna utmaning skyddar användarnas integritet eftersom intyget inte är unikt kopplat till användarens enhet.

SSL.com: s takeaway: Vi hatar också CAPTCHA, även om "Cryptographic Attestation of Personhood" har en läskig ring.

Tusentals Chrome-tillägg manipulerar med säkerhetsrubriker

A ny studie har upptäckt att många Chrome-tillägg manipulerar med säkerhetsrubriker på webbplatser, vilket riskerar användarna. Som Catalin Cimpanu rapporterar för Skivan, tilläggen, som alla finns i Chrome Web Store, gör inte alla med onda avsikter: 

Det vanligaste inaktiverade säkerhetshuvudet var CSP, ett säkerhetshuvud som utvecklades för att låta webbplatsägare kontrollera vilka webbresurser en sida får ladda i en webbläsare och ett typiskt försvar som kan skydda webbplatser och webbläsare mot XSS och datainjektionsattacker.

Enligt forskargruppen inaktiverade Chrome-tilläggen CSP och andra säkerhetsrubriker "för att införa ytterligare till synes godartade funktioner på den besökta webbsidan" i de flesta fall de analyserade och såg inte ut att vara skadlig.

Men även om tilläggen ville berika en användares upplevelse online hävdade de tyska akademikerna att genom att manipulera säkerhetsrubriker var allt tillägget att utsätta användare för attacker från andra skript och webbplatser som körs i webbläsaren och på webben.

SSL.coms borttagning: Vi förstår utvecklarnas önskan att tillhandahålla ytterligare funktioner till användarna, men tycker att det är minst sagt att rekommendera att manipulera webbplatsers säkerhetsfunktioner som denna.

 

Prenumerera på SSL.coms nyhetsbrev

Missa inte nya artiklar och uppdateringar från SSL.com

Vi vill gärna ha din feedback

Följ vår undersökning och låt oss veta vad du tycker om ditt senaste köp.