2021年XNUMX月安全摘要

欢迎使用SSL.com的五月版 安全综述,我们回顾了过去一个月的数字安全性。 继续阅读我们收集的过去30天内最重要的内容,并保持在线安全!

用于代码签名证书的新的最小RSA密钥大小

在我们自己的一些新闻中,截至 31 年 2021 月 3072 日,来自 SSL.com 的代码签名和 EV 代码签名证书要求最小 RSA 密钥大小为 XNUMX 位。 在此日期之前颁发的证书不受更改的影响,并且将照常工作,直到到期为止。 我们已经为您准备了一切 博客文章 关于这个话题。

拜登行政命令呼吁“零信任架构”

行政命令 12月XNUMX日签署的美国总统拜登已正式呼吁联邦政府采用“零信任架构”。 这是什么意思? 从本质上讲,该指令试图获得对人员,软件和硬件的错误信任,这是许多使每个人都容易受到攻击的安全漏洞的基础。 饰演Scott Shackelford 的报告 石板, 日益增长的全球威胁 勒索 至少 2,354 次,目标是从地方政府和学校到医疗保健提供者的所有人。 拜登的命令要求这些机构采取更加偏执的立场,并假设每个角落都有危险——甚至在人们旨在保护的房子里。 来自 Slate 报告:

在计算机网络的上下文中,信任是指允许人们或其他计算机访问而几乎不验证他们是谁以及是否有权访问它们的验证的系统。 零信任是一种安全模型,理所当然地认为,威胁在网络内部和外部无处不在。 相反,零信任依赖于来自多个来源的信息的持续验证。 这样做时,这种方法假定了数据泄露的必然性。 零信任安全不是只专注于防止违规,而是确保损害是有限的,并且系统是有弹性的并且可以快速恢复。

一切都非常明智,但是要广泛实施零信任模型仍然存在障碍。 将新模型实施到遗留系统中可能会很困难,即使有可能,它也往往很昂贵。 该模型还与一些广泛使用的系统背道而驰。 但是,仅适用于政府系统的行政命令是朝安全方向迈出的一步,并有望使这些系统整体上更加安全。 

SSL.com的要点: 密码本身已经不够安全了。 除了基于时间的OTP码之类的技术外, 客户证书 是添加可抵抗网络钓鱼和暴力攻击的身份验证因素的好方法。 欲了解更多信息,请阅读 相互验证用户和物联网设备 TLS.

“一个奇怪的把戏”阻止俄罗斯黑客

在技​​术方面, 安全注意事项 在安装了某些虚拟键盘(包括俄语和乌克兰语键盘)的计算机上,不会安装太多恶意软件。 在Twitter讨论中,以及后来在博客中,安全专家解释说,绝大多数勒索软件都具有故障保护功能,以确保恶意软件不会感染自己的恶意软件。 从博客:

DarkSide和其他俄语联盟的赚钱计划长期禁止其犯罪分子在包括乌克兰和俄罗斯在内的东欧许多国家的计算机上安装恶意软件。 这项禁令可以追溯到有组织的网络犯罪的最早时期,旨在最大程度地减少对地方当局的审查和干预。

显然,在俄罗斯,当局不愿对俄罗斯国民发起网络犯罪调查,除非有同胞发起该投诉。 因此,这种故障保险柜是一种有效的散热方法。

SSL.com的要点: 在系统上安装俄语虚拟键盘是否是安全灵丹妙药? 一点也不,但也不会造成伤害。

Cloudflare想要消除验证码

上个月对于那些厌倦了计算机的人来说,这是一个好消息,要求他们证明自己也不是计算机。 在一个引人注目的标题 Cloudflare博客文章,Thibault Meunier宣称:“人类每天在CAPTCHA上浪费约500年。 现在该结束这种疯狂了。” 帖子继续说明Cloudflare希望用一种涉及硬件安全密钥的新方法来替换无处不在的烦人的验证码,例如SSL.com分发的Yubikey FIPS密钥 EV代码签名文件签署 证书上。

从用户的角度来看,人格加密证明的工作方式如下:

  1. 用户访问受人格加密证明保护的网站,例如 cloudflarechallenge.com.
  2. Cloudflare 提供了一个挑战。
  3. 用户单击我是人类(测试版)并提示输入安全设备。
  4. 用户决定使用硬件安全密钥。
  5. 用户将设备插入他们的计算机或将它轻触到他们的手机以进行无线签名(使用 NFC)。
  6. 加密证明被发送到 Cloudflare,它允许用户在验证 用户状态测试.

完成此流程需要花费五秒钟,而不是“ 500年”。 更重要的是,由于认证并非唯一地链接到用户的设备,因此此挑战可保护用户的隐私。

SSL.com的要点: 即使“人格加密证明”令人毛骨悚然,我们也讨厌验证码。

成千上万的Chrome扩展程序正在篡改安全标头

A 新的研究 发现许多Chrome扩展程序会篡改网站安全标头,使用户面临风险。 作为 Catalin Cimpanu报告 对于 记录,这些扩展都可以在Chrome网上应用店中找到,但并非都是出于恶意: 

最常禁用的安全标头是CSP,CSP是一种安全标头,其开发目的是允许站点所有者控制页面允许在浏览器中加载哪些Web资源,以及一种典型的防御措施,可以保护网站和浏览器免受XSS和数据注入攻击。

根据研究团队的说法,在他们分析的大多数情况下,Chrome扩展程序都禁用了CSP和其他安全标头,“以在访问的网页上引入其他看似良性的功能”,并且看上去本质上不是恶意的。

但是,即使这些扩展程序想丰富用户的在线体验,德国学者也认为,通过篡改安全标头,所有扩展程序的作用都是使用户遭受来自浏览器内部和网络上运行的其他脚本和网站的攻击。

SSL.com的外卖:我们理解开发人员希望为用户提供额外功能的愿望,但至少可以说,认为像这样篡改网站的安全功能是不明智的。

 

订阅SSL.com的新闻通讯

不要错过SSL.com上的新文章和更新

我们希望收到您的反馈

参加我们的调查,让我们知道您对最近购买的想法。