Mayıs 2021 Güvenlik Toplaması

SSL.com'un Mayıs sayısına hoş geldiniz Güvenlik Toplaması, dijital güvenlikte geçen aya baktığımızda. Son 30 gün içinde en önemli bulduğumuz koleksiyonumuz için okumaya devam edin ve çevrimiçi güvende kalın!

Kod İmzalama Sertifikaları için Yeni Minimum RSA Anahtar Boyutu

31 Mayıs 2021 itibariyle, SSL.com'dan gelen kod imzalama ve EV kod imzalama sertifikaları, minimum 3072 bitlik RSA anahtar boyutu gerektiriyor. Bu tarihten önce verilen sertifikalar değişiklikten etkilenmez ve süresi dolana kadar her zamanki gibi çalışır. Hepsini sizin için bir blog yazısı konuyla ilgili.

Başa gitmek

Biden Yönetim Emri 'Sıfır Güven Mimarisi' Çağrısı

Bir de icra emri 12 Mayıs'ta imzalanan ABD Başkanı Joe Biden, resmi olarak federal hükümeti "sıfır güven mimarisi" benimsemeye çağırdı. Ne anlama geliyor? Esasen, direktif, herkesi saldırıya açık hale getiren güvenlik ihlallerinin çoğunun temeli olan insanlara, yazılıma ve donanıma yanlış yerleştirilmiş güvene ulaşmaya çalışır. Scott Shackelford olarak için raporlar Arduvazbüyüyen küresel tehdit fidye yerel yönetimler ve okullardan sağlık hizmeti sunucularına kadar herkesi hedef alarak en az 2,354 kez vurdu. Biden'ın emri, bu kurumlardan daha paranoyak bir tavır almalarını ve tehlikenin her köşede olduğunu varsaymalarını istiyor - hatta kişinin korumayı amaçladığı evde bile. Slate raporundan:

Bilgisayar ağları bağlamında güven, kişilerin veya diğer bilgisayarların kim olduklarına ve erişim yetkisine sahip olup olmadıklarına dair çok az doğrulama yaparak veya hiç doğrulamadan erişmelerine izin veren sistemleri ifade eder. Sıfır Güven, tehditlerin ağların içinde ve dışında her yerde mevcut olduğunu kabul eden bir güvenlik modelidir. Sıfır güven, bunun yerine birden çok kaynaktan gelen bilgiler yoluyla sürekli doğrulamaya dayanır. Bunu yaparken, bu yaklaşım bir veri ihlalinin kaçınılmaz olduğunu varsayar. Sıfır güven güvenliği, yalnızca ihlalleri önlemeye odaklanmak yerine, hasarın sınırlandırılmasını ve sistemin esnek olmasını ve hızla iyileşmesini sağlar.

Hepsi çok mantıklı, ancak yine de sıfır güven modelini yaygın olarak uygulamanın önünde engeller var. Yeni modeli eski sistemlere uygulamak zor olabilir ve mümkün olduğunda bile genellikle maliyetlidir. Model ayrıca yaygın olarak kullanılan bazı sistemlere karşı da çalışır. Ancak, yalnızca hükümet sistemlerine uygulanan yürütme düzeni, güvenlik yönünde bir adımdır ve bu sistemleri genel olarak daha güvenli hale getirmeyi vaat eder. 

SSL.com'un Çıkarımı: Tek başına parolalar artık yeterince güvenli değil. Zamana dayalı OTP kodları gibi tekniklere ek olarak, istemci sertifikaları kimlik avına ve kaba kuvvet saldırılarına dirençli bir kimlik doğrulama faktörü eklemenin harika bir yoludur. Daha fazla bilgi için lütfen okuyun Kullanıcıları ve IoT Cihazlarını Karşılıklı Olarak Doğrulama TLS.
Başa gitmek

Rus Hacker'ları Engellemek İçin 'Bir Garip Numara'

Bir teknoloji tuhaflığı içinde, Güvenlik notları için Krebs Rusça ve Ukraynaca olanlar da dahil olmak üzere belirli sanal klavyelerin yüklü olduğu bilgisayarlara bu kadar çok kötü amaçlı yazılım yüklenmez. Bir Twitter tartışmasında ve daha sonra bir blog gönderisinde, güvenlik uzmanı, fidye yazılım türlerinin büyük çoğunluğunun, kötü amaçlı yazılımın kendi başına bulaşmamasını sağlamak için başarısız olduğunu açıkladı. Blogdan:

DarkSide ve diğer Rusça bağlantılı para kazanma programları, suç ortaklarının Ukrayna ve Rusya da dahil olmak üzere bir dizi Doğu Avrupa ülkesindeki bilgisayarlara kötü amaçlı yazılım yüklemesini uzun süredir yasakladı. Bu yasak, organize siber suçların ilk günlerine kadar uzanmaktadır ve yerel makamların incelemesini ve müdahalesini en aza indirmeyi amaçlamaktadır.

Görünüşe göre, Rusya'da yetkililer, şikayeti bir vatandaşımız başlatmadıkça Rus vatandaşlarına karşı siber suç soruşturması başlatmak konusunda isteksizler. O halde, bu tür arıza korumaları, ısıyı uzak tutmanın pratik bir yoludur.

SSL.com'un paket servisi: Sisteminize Rusça sanal klavye yüklemek her derde deva bir güvenlik mi? Hiç de değil, ama incitmeyecek.
Başa gitmek

Cloudflare, Captcha'larla Uzaklaşmak İstiyor

Geçen ay bilgisayarlardan bıkanların kendilerinin de makine olmadıklarını kanıtlamalarını istemelerine iyi haberler geldi. İlgi çekici bir başlıklı Cloudflare blog yayını, Thibault Meunier, “İnsanlık CAPTCHA'larla günde yaklaşık 500 yılını boşa harcıyor. Bu çılgınlığa son verme zamanı. " Gönderi, Cloudflare'nin her yerde bulunan, can sıkıcı CAPTCHA'ları, SSL.com'un dağıttığı Yubikey FIPS anahtarları gibi donanım güvenlik anahtarlarını içeren yeni bir yöntemle değiştirmek istediğini açıklıyor. EV kod imzalama ve belge imzalama sertifikalar.

Kullanıcı bakış açısından, Kişiliğin Kriptografik Tasdiki aşağıdaki gibi çalışır:

  1. Kullanıcı, Cryptographic Attestation of Personhood tarafından korunan bir web sitesine erişir, örneğin: bulutflarechallenge.com.
  2. Cloudflare bir meydan okumaya hizmet eder.
  3. Kullanıcı, Ben insanım (beta) seçeneğine tıklar ve bir güvenlik cihazı girmesi istenir.
  4. Kullanıcı bir Donanım Güvenlik Anahtarı kullanmaya karar verir.
  5. Kullanıcı, cihazı bilgisayarına takar veya kablosuz imza için (NFC kullanarak) telefonuna dokundurur.
  6. Cloudflare'ye kriptografik bir onay gönderilir, bu da kullanıcının kullanıcı varlığı testi.

Bu akışı tamamlamak “500 yıl” yerine beş saniye sürüyor. Daha da önemlisi, bu meydan okuma, doğrulama, kullanıcının cihazıyla benzersiz bir şekilde bağlantılı olmadığından, kullanıcıların gizliliğini korur.

SSL.com'un paket servisi: “Kişiliğin Kriptografik Tasviri” tüyler ürpertici bir görünüme sahip olsa bile CAPTCHA'lardan da nefret ediyoruz.
Başa gitmek

Binlerce Chrome uzantısı, güvenlik başlıklarıyla oynanıyor

A Yeni bir çalışma , birçok Chrome uzantısının web sitesi güvenlik başlıklarını kurcalayarak kullanıcıları riske attığını tespit etti. Gibi Catalin Cimpanu raporları için Kayıt, Chrome Web Mağazası'nda bulunan uzantıların hepsi bunu kötü niyetlerle yapmıyor: 

En yaygın olarak devre dışı bırakılan güvenlik başlığı, site sahiplerinin bir sayfanın bir tarayıcıya hangi web kaynaklarını yüklemesine izin verildiğini ve web sitelerini ve tarayıcıları XSS ​​ve veri enjeksiyon saldırılarına karşı koruyabilen tipik bir savunmayı kontrol etmelerine olanak tanıyan bir güvenlik başlığı olan CSP idi.

Araştırma ekibine göre, analiz ettikleri vakaların çoğunda, Chrome uzantıları CSP'yi ve diğer güvenlik başlıklarını "ziyaret edilen web sayfasında ek görünüşte zararsız işlevler sunmak için" devre dışı bıraktı ve doğası gereği kötü niyetli görünmüyordu.

Bununla birlikte, uzantılar bir kullanıcının çevrimiçi deneyimini zenginleştirmek istese bile, Alman akademisyenler, güvenlik başlıklarını kurcalayarak, tüm uzantıların, kullanıcıları tarayıcının içinde ve web'de çalışan diğer komut dosyalarından ve sitelerden gelen saldırılara maruz bırakmak olduğunu savundu.

SSL.com'un paket servisi: Geliştiricilerin kullanıcılara ek işlevsellik sağlama arzusunu anlıyoruz, ancak en azından, web sitelerinin bu gibi güvenlik özelliklerinde değişiklik yapmayı düşünmemiz tavsiye edilmez.

 

Elizabeth Pagano

Tüm Mesajlar

İlgili Blog Yazıları

Tüm Blog Yazılarını Görüntüle
Facebook Linkedin Twitter Youtube Github

SSL nedir /TLS?

Videoyu Oynat

SSL.com'un Bültenine abone olun

SSL.com'dan yeni makaleleri ve güncellemeleri kaçırmayın

Geri bildiriminizi almak isteriz

Anketimize katılın ve son satın alma işleminizle ilgili düşüncelerinizi bize bildirin.

Anketi doldur