AllNews

Apple Ransomware Afslører Cert Problem

Forskere i sidste uge opdagede den første ransomware i naturen med henblik på Apple ‘ s hardware platform. Mens truslen var afdæmpet hurtigt, det er udsat svaghed af digitale certifikater i forbindelse med software til enheder.

Ransomware vist sig som en legitim anvendelse, fordi den indeholdt et digitalt certifikat, der er stjålet fra en bona fide Mac-udvikler i Tyrkiet.

Det certifikat, der blev brugt til at signere en ansøgning af en anden udvikler og efter en ondsindet opdatering på udviklerens hjemmeside.

“Apple har ikke kontrol med, hvad Mac software kan være logget med, hvad certifikat,” bemærkede Ryan Olson, threat intelligence direktør

Enhed 42 i Palo Alto Networks, der opdagede den ransomware.

“Apple blot ønsker at bekræfte, at softwaren er blevet underskrevet med et certifikat,” fortalte han TechNewsWorld. “Denne begrænsning er på plads i iOS App Store.”

En slags Ubrugelig

“Certifikater, der er en slags ubrugelig,” sagde Chet Wisniewski, en sikkerhedsrådgiver på

Sophos.

“Det er en god idé, men problemet med håndtering af back-end-certifikat databasen og sørge for at de onde ikke får dem, er stort set umuligt,” fortalte han TechNewsWorld.

“Vi ser folk stjæler legitime certifikater fra legitime udviklere, der er usikre,” Wisniewski tilføjet.

Tyveri, dog, kan være på den hårde måde, for at få et certifikat til skadelige formål.

“Hvis jeg vil at begynde at sælge og udvikle Mac-software i morgen, det tager hele fem minutter til at bede Apple om et certifikat,” Wisniewski sagde. “Hvordan er Apple ved, hvis jeg er en god fyr eller en skidt fyr?”

Big Deal

Stjålne certifikater har spillet en rolle i nogle høj-profil cyberangreb.

“Nogle af de vigtigste sager i malware historie har beskæftiget sig med stjålne certifikater,” siger Liviu Arsene, en senior trussel, analytiker hos

Bitdefender.

“Stuxnet og mest avancerede vedvarende trusler stole på nogle form af gyldigt certifikat for at få installeret på maskiner,” fortalte han TechNewsWorld.

Certifikater fortælle maskinen, at en ansøgning, der ønsker at køre på, det er legitimt og ikke behøver at blive holdt øje med af ethvert forsvar, der kører på maskinen.

“Det er en big deal,” Arsene bemærkes. “Det er derfor, udviklere opfordres til at sørge for, at de ikke mister dem, og sørg for, at de holder dem sikkert i containere.”

Ikke desto mindre, certifikater, fortsat er et valg, mål for kriminelle og spioner.

“Certifikatet ting er en meget lav barriere, og vi har set det besejrede på hvert niveau,” Wisniewski sagde.

“Det er super nemt for kriminelle at omgå,” tilføjede han.

Multifactor Authentication

En af de største bidragydere til brud på datasikkerheden er kompromitteret legitimationsoplysninger. Der er ingen nemmere måde for en hacker at knække et netværk, end forklædt som en legitim bruger af det pågældende netværk.

Men selv hvis en person er legitimationsoplysninger er blevet kompromitteret, multifactor authentication kan folien en bandit, der forsøger at bruge disse legitimationsoplysninger til at gå på kompromis et netværk.

Denne form for autentificering kombinerer noget, du kender (et brugernavn og en adgangskode, for eksempel) med noget, du har (token, magnetiske kort eller telefon), eller noget, du er (et fingeraftryk, iris-eller stemme).

Så effektiv som multifactor authentication er dog, at det kan skabe friktion for brugere, som har vist sig at være en udfordring for virksomheder.

Cloud-Løsning

“Gennemførelse multifactor authentication i virksomheden har været en kamp op ad bakke,” sagde Chris Webber, en senior product marketing manager hos

Centrify.

Multifactor authentication kan oprette en byrde for DET. En organisation har brug for back-end-struktur til at støtte det. DET skal udstede kuponer til brugerne og skabe et system til at erstatte møntefterligninger, der er blevet tabt, eller ikke er tilgængelig til øjeblikkelig brug.

Hertil kommer, at der er blevet brugeren modstand. “Brugerne er nogle gange ikke er klar til det,” Webber fortalte TechNewsWorld.

“De synes, det er for besværligt. Den CISOs jeg har talt med siger, at deres brugere kun afholdt et oprør, når de forsøgte at gennemføre multifactor authentication for sikkerhed,” sagde han.

“Der er altid et trade-off mellem komfort og sikkerhed, og det kan være alt for besværligt for de menige brugere,” Webber tilføjet.

En måde at gøre multifactor authentication mere spiselig for både IT og brugerne er til at flytte det til skyen. Med en cloud-setup, der er ingen back-end besvær for DET til at beskæftige sig med, og folk kan bruge deres mobiltelefoner som en token.

“Cloud ledighed betyder, at du ikke behøver nogen dedikeret infrastruktur eller servere på dine lokaler, men det betyder også, at det virker for ting, der er i skyen, bag firewall, servere og Infrastruktur som en Tjeneste,” Webber er angivet. “Det er en overalt løsning.”

Overtrædelse Dagbog

  • 6 marts. Krebs på Sikkerhed rapporter Seagate Technology sendt W-2 formularer for alle nuværende og tidligere medarbejdere at en uautoriseret tredjemand, som følge af et phishing-angreb.
  • 7 marts. AMERIKANSKE justitsministerium appel af en afgørelse truffet af en føderal dommer dommer afviser sin anmodning om, at Apple låse en iPhone er forbundet til en narkohandler i New York.
  • 7 marts. Premier Sundhedsydelser af Indiana annoncerer det er at anmelde mere end 200.000 patienter, at deres personlige oplysninger er i fare, efter en bærbar blev stjålet fra sin Bloomington kontor.
  • 7 marts. Ezaki Glico, en Japansk konfekt kaffefaciliteter, annoncerer det er ved at undersøge en rapport fra et kreditkortselskab, at så mange som 83,194 datasæt af personlige oplysninger er blevet stjålet fra sin online-shopping site.
  • 8 marts. Home Depot indvilliger i at betale US$13 millioner til at kompensere forbrugere, der berøres af en 2014 data, brud, hvor mere end 50 millioner betalingskort numre blev stjålet. Virksomheden har også indvilget i at betale $6.5 millioner til 1,5 år for identitetstyveri til ofre for brud.
  • 8 marts. 21st Century Onkologi Bedrifter i Florida advarer cirka 2,2 millioner patienter, at deres personlige oplysninger blev stjålet som følge af en data overtrædelse af edb-systemer i oktober.
  • 8 marts. Rosen Hoteller & Resorts stillinger, der er en advarsel på sin hjemmeside til kunder, der besøgte sin faciliteter mellem Sept. 2, 2014, Feb. 18, 2016, til at være på vagt for falske anklager på deres betalingskort, på grund af et kompromis med sit betalingskort på nettet.
  • 8 marts. Ozaukee Amt i Wisconsin annoncerer så mange som 200 medarbejdere kan have haft personlige oplysninger, der bruges til fil føderale selvangivelser stjålet fra amtets online portal.
  • 8 marts. SevOne, en teknologi virksomhed i Delaware, meddeler, at et ukendt antal medarbejdere, at deres W-2 formularer, der blev sendt til et ikke-godkendt modtager uden for virksomheden. Det gjorde ikke frigive detaljer om bruddet.
  • 8 marts. Sony begynder at sende ud koder for gratis, spil til brugere af PlayStation Network som en del af afviklingen af en class-action retssag som følge af en 2011 bruddet i, hvilke personlige oplysninger på 77 millioner mennesker, der blev stjålet.
  • Marts 10. BRITISKE medier Ofcom indberetninger snesevis af TV-selskaber, at oplysninger, de har gemt er i fare, efter at en tidligere medarbejder har hentet så meget som seks års data fra agenturet og tilbudt det til sin nye arbejdsgiver, en stor tv-station.
  • Marts 10. Sky News rapporterer det har fået titusindvis af dokumenter, der indeholder personlige oplysninger om Islamisk Stat jihadister lækket til nyheder stikkontakt ved en misfornøjet insider.
  • Marts 10. Federal Trade Commission anmodninger ni selskaber, der udfører PCI-audit for at svare inden for 45 dage til en række detaljerede spørgsmål om, hvordan de måler overensstemmelse med PCI Security Standards.
  • Marts 10. Staminus, et selskab med speciale i DDoS beskyttelse-systemer, der er angrebet af hackere, der brød sit netværk rygraden og sendt en database for virksomheden til Internettet.
  • Marts 11. Barbara Ann Karmanos Cancer Institute i Detroit indberetninger 2,808 patienter og familiemedlemmer, at deres personlige oplysninger er i fare på grund af tabet af en ukrypteret flash-drev.

Kommende Begivenheder Sikkerhed

  • Marts 22. Reconceptualizing Retten til at Blive Glemt at Sætte Transatlantiske Data. Middag ET. Harvard Law School, campus, Wasserstein Hall, Milstein Øst C, Værelse 2036 (anden sal). RVSP påkrævet.
  • 24 marts. Massachusetts Attorney General ‘ s Office Forum på Data Privatlivets fred. Ray og Maria Stata Center, Kirsch Auditorium, Værelse 32-123, 32 Vassar St., Cambridge, Massachusetts. RSVP, der kræves.
  • Marts 29. Microsoft Virtual Security Summit. Middag-3 p.m. ET. Online event. Gratis med tilmelding.
  • Marts 29-30. SecureWorld Boston. Hynes Convention Center, Exhibit Hall D. Registrering: konference pass, $325; SecureWorld Plus, $725; udstillinger og åbne sessioner, $30.
  • Marts 30. Get a Grip! Under Kontrol af i Dag ‘ s Identity og Access Management Realiteter. 2 p.m. ET. Webinar ved BrightTalk. Gratis med tilmelding.

    • 31 Marts-1 April. B-Sider Og Austin. Wingate Round Rock, 1209 N. IH 35 Nord (Afkørsel 253 på vej 79), Round Rock, Texas. Gratis.

  • Marts 31. Dekodning af Krypterings-Dilemma: En Samtale på Bagdøre, det bliver Mørkt, og Cybersikkerhed. 9-10:30 a.m. ET. Information Technology and Innovation Foundation, 1101 K St. NW, Suite 610, Washington, D.C. Gratis med registreringen.
  • 31 Marts-1 April. B-Sider Og Austin. Wingate Round Rock, 1209 N. IH 35 Nord (Afkørsel 253 på vej 79), Round Rock, Texas. Gratis.
  • April 8-10. inNOVAtion! Hackathon. Northern Virginia Community College, 2645 College Drive, Woodbridge, Virginia. Gratis med tilmelding.
  • 9 April. B-Sider Og Oklahoma. Hard Rock Cafe, Kasino, 777 West Cherokee St., Catoosa, Oklahoma. Gratis.
  • April 12. 3 Vigtige Overvejelser for at Sikre Dine Data i Skyen. 1 p.m. ET. BrightTalk webinar. Gratis med tilmelding.
  • April 13. En Bedre Måde til Sikkert at Dele Enterprise Apps-Uden at Miste Ydeevne. Klokken 11 ET. BrightTalk webinar. Gratis med tilmelding.
  • April 15-16. B-Sider Og Canberra. ANU Eu-Konference-Center, Canberra, Australien. Gebyr: AU$50.
  • 16 April. B-Sider Og Nashville. Lipscomb University, Nashville, Tennessee. Gebyr: $10.
  • April 20-21. SecureWorld Philadelphia. Sheraton Valley Forge Hotel, 480 N. Guelph Vejen, Konge af Preussen, Pennsylvania. Tilmelding: konference pass, $325; SecureWorld Plus, $725; udstillinger og åbne sessioner, $30.
  • April 26. 3 Vigtige Overvejelser for at Sikre Dine Data i Skyen. 1 p.m. ET. Webinar sponsoreret af BrightTalk. Gratis med tilmelding.
  • 4 maj. SecureWorld Kansas City. Overland Park Convention Center, 6000 College Blvd., Overland Park, Kansas. Tilmelding: konference pass, $195; SecureWorld Plus, $625; udstillinger og åbne sessioner, $30.
  • Maj 11. SecureWorld Houston. Norris Conference Center, 816 By og Land Blvd., Houston, Texas. Tilmelding: konference pass, $195; SecureWorld Plus, $625; udstillinger og åbne sessioner, $30.
  • Kan 18-19. DCOI|INSS USA-Israel Cyber Security Summit. Marvin Center, 800 21 St. NW, Washington, DC Vært ved George Washington University. Gratis.
  • Juni 13-16. Gartner Security & Risk Management Summit. Gaylord National Resort & Convention Center, 201 Waterfront St., National Harbor, Maryland. Tilmelding: indtil April 15, $2,950; efter April 15, $3,150; offentlige sektor, $2,595.
  • 29 juni. UK Cyber Udsigt Topmødet 2016 — SS7 & Rogue Tower Kommunikation Angreb: Indvirkning på den Nationale Sikkerhed. The Shard, 32 London Bridge, St., London. Tilmelding: privat sektor, 320 Pund; den offentlige sektor, 280 Pund, frivillig sektor, 160 Pounds.

John Mello er en freelance skribent og bidragyder til Chief Security Officer magasin. Du kan forbinde med ham på
Google+.

Date:

by

admin