AllNews

Apple Ransomware Avslører Cert Problem

Forskere i forrige uke oppdaget den første ransomware i naturen som tar sikte på Apple ‘ s hardware-plattform. Mens trusselen ble skutt raskt, det synlige svakhet av digitale sertifikater i godkjenning av programvare til enhetene.

Ransomware dukket opp som et legitimt program, fordi den inneholdt et digitalt sertifikat stjålet fra en bona fide Mac developer i Tyrkia.

Sertifikatet som ble brukt til å signere et program av en annen utvikler og legge inn en ondsinnet oppdatering på utviklerens hjemmeside.

“Apple ikke kontrollere hva Mac-programvare kan være signert med hva sertifikat,” bemerket Ryan Olson, trussel intelligence director of

Enhet 42 i Palo Alto Networks, som oppdaget den ransomware.

“Apple ønsker bare å bekrefte at programvaren har blitt signert med et sertifikat,” fortalte han TechNewsWorld. “At begrensningen er på plass i iOS App Store.”

Slags Ubrukelig

“Sertifikater er slags unyttig,” sa Chet Wisniewski, en sikkerhetsrådgiver på

Sophos.

“Det er en fin idé, men problemet med å administrere back-end-sertifikat database og gjør at skurker får ikke dem er ganske mye å si umulig,” sa han TechNewsWorld.

“Vi ser mennesker stjele legitime sertifikater fra legitime utviklere som er usikre,” Wisniewski lagt til.

Tyveri, men kan være vanskelig måte å skaffe seg et sertifikat for skadelige formål.

“Hvis jeg ønsker å begynne å selge og utvikle Mac-programvare i morgen, det tar alt av fem minutter til å be Apple for et sertifikat,” Wisniewski sa. “Hvordan gjør Apple vet om jeg er en good guy eller bad guy?”

Big Deal

Stjålne sertifikater har spilt en rolle i noen høy profil nettangrep.

“Noen av de viktigste sakene i malware historie har jobbet med stjålne sertifikater,” sa Liviu Arsene, en ledende trussel analytiker ved

Bitdefender.

“Stuxnet og mest avanserte vedvarende trusler stole på noen form for gyldig sertifikat for å få installert på maskinene,” fortalte han TechNewsWorld.

Sertifikater forteller maskinen at et program som ønsker å kjøre på det er legitimt og ikke trenger å bli gransket av noe forsvar som kjører på maskinen.

“Det er en big deal,” Arsene bemerket. “Det er derfor utviklere oppfordres til å sørge for at de ikke mister dem og sørge for at de holde dem trygge i containere.”

Likevel, sertifikater forbli et valg mål for kriminelle og spioner.

“Sertifikatet ting er en svært lav barriere, og vi har sett det beseiret på alle nivå,” Wisniewski sa.

“Det er super enkelt for kriminelle å omgå,” la han til.

Multifaktor Autentisering

En av de største bidragsyterne til data brudd er kompromittert legitimasjon. Det er ingen enklere måte for en hacker å knekke et nettverk enn maskert som en legitim bruker på nettverket.

Imidlertid, selv om en person legitimasjonen har blitt kompromittert, multifaktor autentisering kan stanse en banditt som prøver å bruke legitimasjonen til å invadere et nettverk.

Den formen for godkjenning kombinerer noe du vet (et brukernavn og et passord, for eksempel), med noe du har (en token, magnetkort eller telefon) eller noe du er (med et fingeravtrykk, iris eller tale).

Så effektiv som multifaktor autentisering er, skjønt, det kan skape friksjon for brukere, noe som har vist seg å være en utfordring for bedrifter.

Cloud-Løsning

“Å implementere multifaktor autentisering i enterprise har blitt en oppoverbakke kamp,” sa Chris Webber, en senior product marketing manager hos

Centrify.

Multifaktor autentisering kan opprette en byrde for DET. En organisasjon trenger back-end-struktur for å støtte det. DET er behov for å utstede polletter til brukere og opprette et system for å erstatte symboler som er gått tapt eller ikke er tilgjengelig for umiddelbar bruk.

I tillegg er det blitt brukeren motstand. “Brukerne er ofte ikke klar for det,” Webber fortalte TechNewsWorld.

“De synes det er for tungvint. Den CISOs jeg har snakket med sier at deres brukere bare iscenesatt et opprør når de prøvde å gjennomføre multifaktor autentisering for sikkerhet,” sa han.

“Det er alltid en avveining mellom brukervennlighet og sikkerhet, og det kan være for upraktisk for verdi-og-filen brukere,” Webber lagt til.

En måte å gjøre multifaktor autentisering mer spiselig for både DET og brukere er for å flytte det til skyen. Med en sky oppsett, det er ingen back-end stresset for DET å håndtere, og folk kan bruke sine mobiltelefoner som et tegn.

“Cloud tilgjengelighet betyr at du ikke trenger noen dedikert infrastruktur eller servere på dine lokaler, men det betyr også at det fungerer for ting som er i skyen, bak en brannmur, på servere og Infrastruktur som en Tjeneste,” Webber er angitt. “Det er en overalt løsning.”

Brudd Dagbok

  • Mars 6. Krebs på Sikkerhet rapporter Seagate Technology sendt W-2 skjemaer for alle nåværende og tidligere ansatte til en uautorisert tredjepart som følge av et phishing-svindel.
  • Mars 7. AMERIKANSKE Justisdepartementet anker en avgjørelse av en føderal lagmannen dømer avvise sin anmodning om at Apple låse opp en iPhone som er knyttet til en narkolanger i New York.
  • Mars 7. Premier Healthcare av Indiana annonserer det er varslet mer enn 200 000 pasienter at deres personlige informasjon er i fare etter en bærbar pc ble stjålet fra sin Bloomington office.
  • Mars 7. Ezaki Glico, en Japansk konfekt maker, annonserer det er etterforske en rapport fra et kredittkort selskapet at så mange som 83,194 datasett av personlig informasjon kan ha blitt stjålet fra sin online shopping nettstedet.
  • Mars 8. Home Depot samtykker i å betale US$13 millioner kroner for å kompensere forbrukerne påvirket av 2014 data brudd i mer enn 50 millioner betalingskortnummer ble stjålet. Selskapet har også gått med på å betale $6,5 millioner for 1,5 år for identitetstyveri tjenester for ofre for brudd.
  • Mars 8. 21. Århundre Onkologi Eierandeler i Florida advarer rundt 2.2 millioner pasienter at deres personlige informasjon ble stjålet som et resultat av data brudd på sine pc-systemer i oktober.
  • Mars 8. Rosen Hotels & Resorts har lagt ut en advarsel til sine nettsider for kunder som besøkte sin fasiliteter mellom Sept. 2, 2014, og Februar. 18, 2016, til å være på vakt for falske anklager på sin betalingskort på grunn av et kompromiss av sitt betalingskort nettverk.
  • Mars 8. Ozaukee County i Wisconsin kunngjør så mange som 200 ansatte kan ha hatt personlig informasjon som brukes til fil føderale selvangivelse stjålet fra fylkets online portal.
  • Mars 8. SevOne, en teknologi selskap i Delaware, varsler et ukjent antall ansatte at deres W-2 skjemaer ble sendt til en ikke-autorisert mottaker utenfor selskapet. Det gjorde ikke gi detaljer om brudd.
  • Mars 8. Sony begynner å sende ut koder for gratis spill til brukere av PlayStation Network-som en del av forliket i en class-action søksmål som følge av 2011-data brudd på som personlig informasjon på 77 millioner mennesker ble stjålet.
  • Mars 10. BRITISKE medier regulator Ofcom varsler dusinvis av TV-selskapene at informasjonen de er arkivert i fare etter at en tidligere ansatt lastet ned så mye som seks år av data fra byrået og ga den til sin nye arbeidsgiver, en stor kringkaster.
  • Mars 10. Sky News rapporterer at det har fått tusenvis av dokumenter som inneholder personlig informasjon om Islamsk Stat jihadis lekket til nyhetskanalen av en misfornøyd insider.
  • Mars 10. The Federal Trade Commission forespørsler ni bedrifter utføre PCI revisjoner å svare innen 45 dager til et sett av detaljerte spørsmål om hvordan de måler samsvar med PCI Security Standards.
  • Mars 10. Staminus, et selskap som spesialiserer seg i DDoS-beskyttelse systemer, er angrepet av hackere som brøt sitt nettverk ryggraden og lagt ut en database for selskapet til Internett.
  • Mars 11. Den Barbara Ann Karmanos Cancer Institute i Detroit varsler 2,808 pasienter og familiemedlemmer at deres personlige informasjon er i fare ved tap av en ukryptert minnepinne.

Kommende Sikkerhetshendelser

  • 22. mars. Reconceptualizing Retten til å Bli Glemt å Aktivere Transatlantiske Data. Noon ET. Harvard Law School campus, Wasserstein Hall, Milstein Øst-C, Rom 2036 (andre etasje). RVSP nødvendig.
  • Mars 24. Advokat Massachusetts General ‘ s Office Forum på Data Personvernet. Ray og Maria Stata Center, Kirsch Auditorium, Rom 32-123, 32 Vassar St., Cambridge, Massachusetts. RSVP er nødvendig.
  • Mars 29. Microsoft Virtual Security Summit. Noon-3 pm ET. Online event. Gratis registrering.
  • Mars 29-30. SecureWorld Boston. Hynes Convention Center, Utstilling Hall D. Registrering: konferanse pass, $325; SecureWorld Plus, $725; utstillinger og åpne økter, $30.
  • 30 mars. Få et Grep! Ta Kontroll over Dagens Identity and Access Management Realiteter. 2 pm ET. Webinar av BrightTalk. Gratis registrering.

    • 31. Mars-1. April. B-Sider Austin. Microtel inn & suites Round Rock, 1209 N. IH 35 Nord (Avslutt 253 på Motorveien 79), Round Rock, Texas. Gratis.

  • Mars 31. Dekoding Kryptering Dilemma: En Samtale på Bakdører, å bli Mørkt, og Cybersecurity. 9-10:30 am CET. Informasjon Teknologi og Innovasjon Foundation, 1101 K St. NW, Suite 610, Washington, D.C. Gratis med registrering.
  • 31. Mars-1. April. B-Sider Austin. Microtel inn & suites Round Rock, 1209 N. IH 35 Nord (Avslutt 253 på Motorveien 79), Round Rock, Texas. Gratis.
  • April 8-10. innovasjon! Hackathon. Northern Virginia Community College, 2645 College Drive, Woodbridge, Virginia. Gratis registrering.
  • 9 April. B-Sider Oklahoma. Hard Rock Cafe Casino, 777 Vest Cherokee St., Catoosa, Oklahoma. Gratis.
  • April 12. 3 Viktige Hensyn for å Sikre Dine Data i Skyen. 1 pm ET. BrightTalk webinar. Gratis registrering.
  • April 13. En Bedre Måte å Sikkert Dele Enterprise Applikasjoner Uten å Miste Ytelse. 11 am CET. BrightTalk webinar. Gratis registrering.
  • April 15-16. B-Sider Canberra. ANU Union Conference Centre, Canberra, Australia. Avgift: AU$50.
  • April 16. B-Sider Nashville. Lipscomb University, Nashville, Tennessee. Fee: $10.
  • 20-21 April. SecureWorld Philadelphia. Dette hotellet, Sheraton Valley Forge Hotel, 480 N. Guelph Road King of Prussia, Pennsylvania. Registrering: konferanse pass, $325; SecureWorld Plus, $725; utstillinger og åpne økter, $30.
  • April 26. 3 Viktige Hensyn for å Sikre Dine Data i Skyen. 1 pm ET. Webinar sponset av BrightTalk. Gratis registrering.
  • 4 mai. SecureWorld Kansas City. Overland Park Convention Center, 6000 College Blvd., I Overland Park, Kansas. Registrering: konferanse pass, $195; SecureWorld Plus, $625; utstillinger og åpne økter, $30.
  • 11. mai. SecureWorld Houston. Norris konferansesentre, 816 By og Land Blvd., Houston, Texas. Registrering: konferanse pass, $195; SecureWorld Plus, $625; utstillinger og åpne økter, $30.
  • Kan 18-19. DCOI|INSS, USA-Israel Cyber Security Summit. Den Marvin Sentrum, 800 21. St. NW, Washington, D.C. Arrangert av George Washington-Universitetet. Gratis.
  • Juni 13-16. Gartner Sikkerhet Og Risikostyring Toppmøtet. Gaylord National Resort & Convention Center, 201 Waterfront St., National Harbor, Maryland. Påmelding: til April 15, $2,950; etter April 15, $3,150; offentlig sektor, $2,595.
  • 29 juni. STORBRITANNIA Cyber Vise Toppmøtet i 2016 — SS7 & Rogue Tower Kommunikasjon Angrep: Innvirkning på Nasjonal Sikkerhet. The Shard, 32 London Bridge St., London. Registrering: privat sektor, Pounds 320; offentlig sektor, Pounds 280; frivillig sektor, 160 Pounds.

John Mello er en freelance teknologi forfatter og bidragsyter til Chief Security Officer magazine. Du kan få kontakt med ham på
Google+.

Date:

by

admin