2019年2月互联网安全趋势与威胁简报
让我们一起来了解一下2019年2月发生的互联网安全的那些事。

TLS&SSL:理解下划线证书的撤销

上个月,CA和浏览器赶上了Internet工程任务组(IETF)的RFC5280,该任务要求2019年1月15日取消使用下划线字符和有效期超过30天的完全限定域名(FQDN)的证书。CA/Browser论坛的投票SC12限制了此类证书的使用,通过更改受影响的FQDN,或者使用通配符证书或私有CA证书,为用户提供了一个从使用包含下划线的FQDN过渡的时间。这些下划线证书在2019年4月1日前仍允许使用,但需注意,此类证书的有效期不得超过30天。从2019年5月1日起DNSName 和 FQDNs 不得包含下划线字符。

TLS 1.3将成为iOS 12.2中的默认设置

苹果公司向IETF宣布,在iOS 12.2中默认启用了TLS 1.3。具体来说,network.framework和nsurlsession API的所有用户将使用TLS 1.3。(当所有主要浏览器都支持TLS 1.3时,IETF针对HTTP/3的RFC很可能会最终确定)鉴于苹果在移动设备领域的突出地位,因此在全球网络连接方面,iOS的移动将增加能够在互联网上使用TLS 1.3的客户的数量,并同样推进到完成HTTP/3 RFC。

Chrome处理混合内容情况

在Chrome浏览器中大家一定注意到了“混合内容”警告,这些警告是在通过HTTPS服务页面时触发的,其中一个或多个页面元素(通常是图像)是没有使用TLS或SSL的。近日,谷歌工程师在Chrome上进行了一项试验,他们配置浏览器,通过动态地将HTTP资源的URL更改为HTTPS,自动将任何混合内容升级为完整的HTTPS。谷歌认为,“在HTTPS站点中通过http交付的大部分内容要么通过HTTPS可用,可以透明升级,要么不影响用户体验”,通过测试可以确定“自动升级全部或部分混合内容是可行的。”

ETSI发布消费者物联网网络安全标准

欧洲电信标准协会(ETSI)发布了物联网的网络安全标准,希望为联网消费品建立安全基线,为未来的物联网认证方法提供基础。

联邦贸易委员会和Facebook就隐私权惩罚达成一致

据报道,美国联邦贸易委员会(FTC)正与Facebook谈判,以确定创纪录的数十亿美元罚款,以解决FTC对Facebook隐私行为的调查。虽然双方尚未就罚款的具体数额达成一致,但看起来这将是自2012年谷歌与美国政府达成保护消费者数据协议以来,联邦贸易委员会对一家科技公司实施的最大一笔罚款。谷歌为此支付了2250万美元的和解费,尽管这是数百万美元的倍数,但与Facebook预计的数十亿美元罚款相比,这显得相形见绌。此外,联邦贸易委员会对Facebook的惩罚可能不仅是金钱上的,它还可能迫使社交网络接受更严格的检查,以确保其遵守和解协议。

黑客入侵的爱尔兰有轨电车系统网站,收取1BTC赎金

都柏林、爱尔兰的Luas有轨电车和轻轨系统的网站遭到黑客攻击,犯罪者留下了一条诽谤信息,要求支付1比特币(BTC)的赎金,以换取超过3000名系统用户的个人数据。LuaS公开承认了这一黑客行为,并澄清说,其通讯的3226个收件人的数据可能被盗,但这不包括他们的财务数据。

NIST列出了PQC标准化过程中的第二轮候选人。

美国国家标准与技术研究所(NIST)宣布,9名候选人将进入第二轮NIST后量子密码数字签名标准化进程。最终入围者中有微软研究公司的Picnic算法,稍后将详细介绍。

ICANN警告不要使用DNSpionage

值得注意的是,在上个月美国政府发出有关DNS攻击的警告之后,从网站到消费者,信任链中的每个人都该警惕起来。并应该认识到站点和服务器验证的重要性:TLS和SSL证书的功能,它们不仅加密流量,而且同样可以证明访问网站的真实性。

苹果撤销了Facebook和google开发者的许可证/隐私侵权证书。

苹果做出了一个大胆的隐私政策指导下的行动,撤销Facebook和谷歌的iOS企业证书,允许内部iOS应用程序部署在许可企业的环境中,而不是通过苹果应用商店。然而,两人都被发现以不同的方式违反了企业开发许可证,先是Facebook被撤销,几天后谷歌也被撤销。Facebook已经向13至35岁的人支付了每月20美元的非应用商店安装费和Facebook Research VPN应用程序的使用费,这使得Facebook几乎可以观察到手机上发生的所有活动。苹果此前曾禁止Research VPN进入应用商店,因为这违反了他们的数据隐私规则。另外,谷歌在应用商店外面部署了一个类似的iOS应用程序,叫做屏幕测光仪。这个应用程序允许谷歌监控用户的手机,并从他们那里收集数据,这些人通过礼品卡得到补偿。不同的是,在苹果吊销证书之前,Facebook并没有停止发行,但谷歌却停止了发行。

Chrome使网站更难防止匿名模式浏览

有些网站不喜欢Chrome的匿名模式,因为他们认为它限制用户访问的内容,比如当报纸或杂志限制你在必须付费访问之前只阅读几篇文章。因此,这些网站利用了一个长期存在的漏洞,这表明用户处于匿名模式,允许他们拒绝对这些用户的内容访问,直到他们关闭模式。这就是它的工作原理:Chrome的文件系统API可以留下可能带来隐私风险的文件,所以Chrome使API在用户以匿名模式浏览时不可用。通过尝试并未能调用API,网站可以快速发现是否正在使用匿名模式。用户的隐私意图是什么,谷歌计划改变文件系统API,使网站不能执行这个漏洞检查。

苹果起诉用户“强迫”2FA

纽约一位名叫Jay Brodsky的居民似乎希望做出这样的选择,但他相信苹果已经为他做出了选择——这个决定是为了安全,而不是为了方便。因此,布罗德斯基先生起诉苹果公司是因为它要求用户使用双因素认证(2FA)来访问某些功能——这样做会导致他生命中2-5分钟的重复损失,从而导致“经济损失”。这起诉讼还指出,苹果公司违反了加利福尼亚州《侵犯隐私法》的刑法条款,另一个被称为《计算机犯罪法》的条款,还有一个被称为《计算机欺诈和滥用法》的条款。据推测,布罗斯基一生中浪费的2-5分钟要比起诉苹果所需的时间长得多。

量子电阻IOT器件证书的成功奠定基础

来自Utimaco、Microsoft Research和Digicert的研究人员宣布,他们成功测试了一种新创建的算法,该算法具有用于加密、认证和为物联网(IOT)设备提供完整性的数字证书。使用微软研究院的量子安全数字签名算法(名为nicken),由Digicert实现并植入证书,使用一个utimaco硬件安全模块,测试的成功是开发保护物联网的安全解决方案的一个基本步骤,保护物联网不受暴力加密方法的影响。

解密器现在可用于Gandcrab 5.1和Aurora勒索软件

Gandcrab解密程序已更新为支持5.1版。作为BitDefender、Europol和罗马尼亚警方之间的持续合作,该工具可免费下载,帮助将近10000名用户支付赎金,总计超过500万美元。此外,开发商Michael Gillespie发布了一个Aurora勒索软件的解密程序。Aurora的传播途径是黑客攻击运行Windows远程桌面服务的计算机,加密文件,然后要求用比特币兑换解密密钥来解锁这些文件(使用.nano扩展名)。Aurora解密器也是免费的,用户可以进一步利用CryptoSearch将所有加密文件移动到一个文件夹中进行存档或删除。