Chào mừng bạn đến với ấn bản tháng XNUMX của SSL.com Roundup, trong đó chúng tôi nhìn lại tháng vừa qua về bảo mật kỹ thuật số. Đọc tiếp bộ sưu tập của chúng tôi về những gì đã xảy ra với chúng tôi trong bốn tuần qua và giữ an toàn ở ngoài đó!
Hãy yên nghỉ, Dan Kaminsky
SSL.com tham gia cộng đồng an ninh mạng trong nhà nghiên cứu tang Dan Kaminsky. Dan được biết đến nhiều nhất vào năm 2008 phát hiện ra một lỗ hổng lớn trong Hệ thống tên miền (DNS) đã cho phép một loạt các cuộc tấn công và có thể hướng người dùng không quen biết đến các trang web giả mạo độc hại. Nghiên cứu của anh ấy cũng bao gồm phát hiện ra các lỗ hổng trong xác thực X.509, nền tảng của PKI và chứng chỉ số. Kaminksy được ghi nhớ trong Bán Chạy Nhất của Báo New York Times như một “vị cứu tinh bảo mật internet” trong một cáo phó cảm động được viết bởi Nicole Perlroth. Cô ấy viết:
“Internet không bao giờ được thiết kế để an toàn,” ông Kaminsky nhớ lại trong một cuộc phỏng vấn năm 2016. “Internet được thiết kế để di chuyển hình ảnh của mèo. Chúng tôi rất giỏi trong việc di chuyển những bức ảnh về mèo ”. Tuy nhiên, anh ấy nói thêm: “Chúng tôi không nghĩ rằng bạn sẽ chuyển hàng nghìn tỷ đô la vào việc này. Chúng ta sẽ làm gì? Và đây là câu trả lời: Một số người trong chúng tôi phải đi ra ngoài và sửa chữa nó. "
Đăng ký eSigner Public Beta
Trong tin tức từ trại riêng của chúng tôi, SSL.com mời Ký mã EV và ký văn bản khách hàng tham gia vào beta công khai of người ký điện tử, Nền tảng đám mây thống nhất mới của SSL.com để ký tài liệu và mã.
eSigner bao gồm:
- eSigner Express Ứng dụng web GUI để ký tài liệu và ký mã EV
- API Cloud Signature Consortium (CSC) để ký tài liệu và ký mã EV
- MãDấu HiệuCông Cụ công cụ dòng lệnh để ký mã EV
Bất kỳ SSL.com Ký văn bản or Ký mã EV chứng chỉ có thể được đăng ký trong eSigner, cho phép bạn ký tài liệu và mã từ bất kỳ thiết bị được kết nối internet nào mà không cần mã thông báo USB, HSM hoặc PKI chuyên môn. Các tổ chức có thể tích hợp eSigner với quy trình làm việc ký mã và tài liệu của họ, bao gồm cả tự động hóa CI / CD. Các nhà xuất bản phần mềm và nhà cung cấp dịch vụ có thể sử dụng eSigner để cung cấp khả năng ký kỹ thuật số cho khách hàng của họ.
eSigner sẽ là một dịch vụ dựa trên đăng ký khi được khởi chạy hoàn toàn. Tuy nhiên, những người tham gia phiên bản beta sẽ có quyền truy cập sớm vào eSigner Express, CSC API và CodeSignTool mà không phải trả phí đăng ký trước khi eSigner phát hành thương mại đầy đủ. Để đăng ký, vui lòng điền vào biểu mẫu đăng ký eSigner beta và một thành viên trong nhóm SSL.com sẽ liên hệ với bạn để cung cấp thông tin chi tiết.
IoXT Alliance công bố tiêu chuẩn bảo mật ứng dụng di động mới
Sản phẩm Liên minh ioXt (Internet of Secure Things), một nhóm ngành đang phát triển và ủng hộ các tiêu chuẩn bảo mật IoT, đã công bố rằng họ đang mở rộng chương trình tuân thủ của mình với một tiêu chuẩn bảo mật mới cho các ứng dụng dành cho thiết bị di động. Các hồ sơ ứng dụng di động mới bao gồm các yêu cầu đối với các ứng dụng mạng riêng ảo (VPN). Bạn có thể đọc thêm về tiêu chuẩn mới trên Blog bảo mật của Google. Khi họ giải thích nó:
Hồ sơ ứng dụng di động ioXt cung cấp tập hợp tối thiểu các phương pháp thương mại tốt nhất cho tất cả các ứng dụng được kết nối đám mây chạy trên thiết bị di động. Đường cơ sở bảo mật này giúp giảm thiểu các mối đe dọa phổ biến và giảm khả năng xuất hiện các lỗ hổng bảo mật đáng kể. Hồ sơ này tận dụng các tiêu chuẩn và nguyên tắc hiện có do OWASP MASVS và Sáng kiến Tin cậy VPN đưa ra, đồng thời cho phép các nhà phát triển phân biệt các khả năng bảo mật xung quanh chất lượng chương trình mật mã, xác thực, bảo mật mạng và tiết lộ lỗ hổng bảo mật. Hồ sơ cũng cung cấp một khuôn khổ để đánh giá các yêu cầu cụ thể của danh mục ứng dụng có thể được áp dụng dựa trên các tính năng có trong ứng dụng.
Về cơ sở hạ tầng khóa công khai, hoặc PKI, các tiêu chuẩn mới yêu cầu tất cả lưu lượng mạng phải được mã hóa và điều đó đã được xác minh TLS được sử dụng khi có thể.
Lỗi macOS 'khủng' vượt qua yêu cầu bảo mật
Một lỗ hổng trong hệ điều hành macOS của Apple cho phép kẻ tấn công cài đặt phần mềm độc hại mà không kích hoạt cảnh báo bảo mật đã được tìm thấy. Lỗi cho phép những kẻ xấu bỏ qua các tính năng bảo mật macOS như Gatekeeper, File Quarantine và App Notation để kiểm soát máy tính. Lorenzo Franceschi-Bicchierai che đi lỗi cho Bo mạch chủ của Tạp chí Vice trong một bài viết nhấn mạnh mức độ nguy hiểm của lỗ hổng bảo mật. Bởi vì nó đã vượt qua các cảnh báo bảo mật, một cú nhấp đúp của bất kỳ người dùng nào cũng có thể tạo ra phần mềm độc hại. Và đó không phải là tất cả:
Điều tồi tệ hơn, ít nhất một nhóm tin tặc đã lợi dụng lỗi này để lây nhiễm cho nạn nhân trong nhiều tháng, theo Jaron Bradley, giám đốc điều hành tại công ty an ninh mạng Jamf Protect tập trung vào Apple… “Một trong những phát hiện của chúng tôi đã cảnh báo chúng tôi về biến thể mới này, và khi kiểm tra kỹ hơn, chúng tôi đã phát hiện ra việc nó sử dụng cách bỏ qua này để cho phép nó được cài đặt mà không cần người dùng cuối nhắc nhở, ”Bradley cho biết trong một cuộc trò chuyện trực tuyến. “Phân tích sâu hơn khiến chúng tôi tin rằng các nhà phát triển phần mềm độc hại đã phát hiện ra ngày 2021 và điều chỉnh phần mềm độc hại của họ để sử dụng vào đầu năm XNUMX.”
Apple đã phát hành phiên bản 11.3 của macOS, phiên bản này sẽ được tải xuống ngay lập tức, vì nó chứa bản vá cho lỗi. Sau khi điều đó được quan tâm, bạn có thể muốn xem tóm tắt chi tiết Dan Goodin kết thúc tại Ars Technica đã viết về cách tin tặc khai thác lỗ hổng để cài đặt phần mềm độc hại.
