HTTPS

وزارت امنیت داخلی آمریکا، آژانس‌های فدرال به استفاده از DMARC و HTTPS را ملزم می‌کند

وزارت امنیت داخلی آمریکا1 (DHS)، دستورالعمل اجرایی الزامی صادر کرده که از همه آژانس‌های فدرال می خواهد، طی چند ماه آینده از فن‌آوری‌های امنیتی رایانامه و وب مانند HTTPS ،DMARC و STATTLS  استفاده کنند.

 

محرمانه اما ناامن: HTTPS جرائم سایبری را پنهان می‌کند

ارتباطات رمزنگاری‌شده پس از نفوذ اسنودن در سال ۲۰۱۳ میلادی به شدت توسعه یافته که به طرز طعنه‌آمیزی راه جدیدی را برای مجرمان سایبری باز کرده است. از آن‌جا که افشاء داده‌های مهم سال‌ها پیش اتفاق افتاده، جهان شاهد افزایش شدید رمزنگاری ترافیک وب بوده است. طبق آمار منتشرشده از سوی مرورگرهای کروم و فایرفاکس، در ابتدای سال جاری نیمی از کل ترافیک جهانی رمزنگاری شده‌اند و در ماه می گذشته بیش از ۶۵ درصد افزایش یافته است.

 

شرکت گوگل در نسخه‌ی بعدی کروم، منابع ارسالی با FTP را ناامن برچسب‌گذاری خواهد کرد

شرکت گوگل روز پنج‌شنبه اعلام کرد در نسخه‌ی بعدی گوگل کروم که منتشر می‌شود، پرونده‌ها و منابعی را که با استفاده از پروتکل انتقال پرونده (FTP) ارسال شده باشند، ناامن برچسب‌گذاری خواهد کرد. این تغییر را قرار است در کروم ۶۳ مشاهده کنیم که برنامه‌ریزی شده تا در دسامبر سال ۲۰۱۷ میلادی منتشر شود. این حرکت در راستای برنامه‌ی طولانی‌مدت گوگل است که سعی دارد به کاربران در مورد ارتباطات ناامن هشدار دهد و مدیران وب‌گاه‌ها را تشویق کند تا از HTTPS استفاده کنند.

 

تروجان بانکی TrickBot از وب‌گاه‌ها و گواهی‌نامه‌های قانونی در حملات فیشینگ استفاده می‌کند

محققان امنیتی هشدار دادند که تروجان بانکی TrickBot از گواهی‌نامه‌های قانونی SSL در وب‌گاه‌های جعلی خود استفاده می‌کند که این مسئله باعث می‌شود تا وب‌گاه مورد نظر بسیار واقعی‌تر به نظر برسد. در طول یک‌سال گذشته، به‌روزرسانی‌های متعددی بر روی این تروجان انجام شده و قابلیت‌های مختلفی نیز به آن افزوده شده است. 

 

ترافیک مخرب SSL، در طول شش ماه 2 برابر شده است

به گفته‌ی Zscaler، حجم محتوای مخرب رمزنگاری‌شده که از SSL/TLS استفاده می‌کند، در طول شش ماه گذشته بیش از دو برابر افزایش یافته است، چرا که مجرمان سایبری به دنبال دور زدن راه‌کارهای امنیتی هستند. این شرکت امنیتی در یافته‌های جدید خود اعلام کرده است که بیش از 60 درصد معاملات در اَبر Zscaler در حال حاضر با SSL/TLS رمزنگاری شده‌اند. با این حال، اغلب به این علت است که نفوذگرهای کلاه سیاه به دنبال پنهان کردن ترافیک مخرب خود هستند.

 

صدور گواهی‌نامه‌های مبهم برای تسهیل در استفاده از گواهی‌نامه‌های دیجیتال و کاهش هزینه‌ها

مرکز صدور گواهی‌نامه با نام Let’s Encrypt این هفته اعلام کرد در سال 2018 میلادی گواهی‌نامه‌های مبهم را صادر خواهد کرد. گواهی‌نامه‌های مبهم همان گواهی‌نامه‌های کلید عمومی هستند که می‌توانند در یک دامنه توسط چندین زیردامنه مورد استفاده قرار بگیرند. این گواهی‌نامه‌ها معمولا دارای هزینه‌ی کمتری بوده و مدیران وب‌گاه‌ها به‌راحتی می‌توانند از آن استفاده کنند. این خبر توسط یکی از مدیران این مرکز روز پنج‌شنبه اطلاع‌‌رسانی شد. 

 

شرکت اپل گواهی‌نامه‌های مورد استفاده توسط بدافزار Dok را باطل کرد

اخیراً بدافزار پیچیده‌ای را گزارش کردیم که سامانه‌های مک را هدف قرار داده و می‌توانست به ارتباطات رمزنگاری‌شده گوش کند. این بدافزار از گواهی‌نامه‌های برخی توسعه‌دهندگان قانونی استفاده می‌کرد که شرکت اپل این گواهی‌نامه‌ها را باطل کرده است. 

 

شرکت گوگل بیش از گذشته در مورد صفحات ناامن HTTP هشدار خواهد داد

تلاش‌های شرکت گوگل برای رمزنگاری ترافیکِ وب‌گاه‌ها همچنان ادامه دارد. از اکتبر سال گذشته گوگل در مرورگر کروم، هشدارهایی را برای ارتباطات HTTP به نمایش می‌گذارد تا به کاربر بگوید که این ارتباطات ناامن هستند. هر زمان که کاربر در یک وب‌گاه HTTP چیزی را بنویسد که قرار باشد تحت این ارتباط ارسال شود، مرورگر کروم در نوار آدرس خود عبارت «ناامن» را نمایش می‌دهد.

حمله‌ی فیشینگی که بر روی مرورگرهای کروم، فایرفاکس و اُپرا قابل تشخیص نیست

یک محقق امنیتی چینی یک حمله‌ی قیشینگ کاملاً غیرقابل شناسایی را کشف کرده که حتی کاربران بسیار محتاط را نیز در سطح اینترنت می‌تواند هدف قرار دهد. این محقق هشدار داد مهاجمان می‌توانند از آسیب‌پذیری‌های شناخته‌شده بر روی مرورگرهای کروم، فایرفاکس و اُپرا استفاده کرده و صفحات جعلی خود را به‌عنوان وب‌گاه قانونی نمایش داده و گواهی‌نامه‌های ورود و داده‌های حساس کاربران را به سرقت ببرند. 

 

هشدار به کاربران هنگام وارد کردن گذرواژه‌ها در صفحات ناامن در فایرفاکس 52

در آخرین نسخه‌ی مرورگر فایرفاکس که این هفته منتشر شد، در صفحات ناامنی که کاربران گذرواژه‌های خود را در آن وارد می‌کنند، هشدار داده خواهد شد. شرکت موزیلا این تغییر را سال قبل معرفی کرده بود و می‌خواست از خطرات وارد کردن اطلاعات حساس در صفحات محافظت‌نشده کاربران را آگاه کند. هشداری که سال قبل منتشر شده بود مخصوص توسعه‌دهندگان بود و اینک آخرین نسخه‌ی این مرورگر تلاش دارد هشدارهایی را به کاربران بدهد.

 

صفحه‌ها