[datensicherheit.de, 26.07.2019] Venafi, gibt die Markteinführung von Next-Gen Code Signing bekannt. Die Lösung zum Schutz von Maschinenidentitäten sichert die Code Signing-Prozesse ab, indem sie einen unternehmensweiten Einblick in alle Code Signing-Vorgänge bietet. Sie bietet eine zentralisierte Speicherung privater Schlüssel, die Durchsetzung von Code Signing-Richtlinien sowie Automatisierung und reduziert gleichzeitig den Aufwand für das Code Signing auf Seite der Softwareentwicklungsteams.

Überprüfung der Integrität von Software

Seit Jahrzehnten wird Code Signing zur Überprüfung der Integrität von Software verwendet, fast jedes Unternehmen verlässt sich darauf, dass sein Code nicht durch Malware beschädigt wurde. Dennoch haben Unternehmen oft Schwierigkeiten, Code Signing-Operationen abzusichern und zu schützen, weil sie keine Lösung haben, die es ihnen ermöglicht, Richtlinien standortübergreifend, werkzeug- und prozessübergreifend durchzusetzen, ohne die Entwicklungsteams aufzuhalten.

Foto: Venafi

Kevin Bocek, Vice President of Security Strategy and Threat Intelligence bei Venafi

„Heute entwickelt jedes Unternehmen Software und damit Anwendungen, Bibliotheken, Container und andere Tools“, sagt Kevin Bocek, Vice President of Security Strategy and Threat Intelligence bei Venafi. „Es kann jedoch sehr schwierig sein, Code Signing-Operationen zu skalieren. Die Sicherheitsverfahren zum Schutz der Codesignatur werden typischerweise als schwerfällig angesehen und Entwickler ignorieren sie oft. Leider lässt dies die Sicherheitsteams im Dunkeln und ist für bösartige Akteure sehr vorteilhaft. Gestohlene Code Signing-Keys sind leistungsstarke Cyberwaffen, die Unternehmen und ihre Kunden gefährden. Von Stuxnet bis hin zu alltäglichen Malware- und Phishing-Kampagnen, Angriffe, die Codesignatur nutzen, entziehen sich der AV-Erkennung der nächsten Generation.“

Verwaltung aller privaten Schlüssel für die Code-Signierung

Neben der Sicherung von Unternehmenscode-Signierungsprozessen automatisiert Next-Gen Code Signing die Verwaltung aller privaten Schlüssel für die Code-Signierung. Private Code-Signaturschlüssel verlassen niemals die vertrauenswürdige Venafi-Speicherplattform oder angeschlossene Hardware-Sicherheitsmodule (HSMs). Diese neue Lösung bietet IT-Sicherheitsabteilungen umfassende Transparenz und detaillierte Informationen über alle Aspekte der Code-Signierungsvorgänge, einschließlich der Frage, wer den Code und mit welchem Zertifikat signiert, und wer die Anfrage genehmigt sowie wann jede Aktion stattgefunden hat. Auf der Grundlage der Erkenntnisse aus Code Signing-Prozessen liefert Next-Gen Code Signing Compliance- und Audit-Berichte über alle Code Signing-Aktivitäten.

Zu den Hauptvorteilen der Code Signing Next-Gen-Technologie gehören nach Unternehmensangaben:

• Skalierbarkeit, die Entwickler an einem Standort unterstützen kann, sowie Zehntausende von Entwicklern, die weltweit verteilt sind, und Millionen von Code Signing-Operationen pro Woche durchführen.
• Automatisierung und Unterstützung für ein breites Spektrum von Softwareentwicklungsprozessen; Entwicklungsteams müssen keine Tools wechseln.
• Ein zentraler, permanenter Speicherort für private Schlüssel, damit sie geschützt bleiben.
• Flexible, anpassbare Richtliniendurchsetzung, die die Anforderungen mehrerer Softwareprojekte unterstützt, einschließlich der Genehmigung von Workflows, Zertifikatstypen, Zertifizierungsstellen, HSMs und Softwareentwicklungs-Tools.
• Ermöglicht es Sicherheitsteams, einen Code Signing-Service bereitzustellen, der Richtlinien durchsetzt und für Entwickler transparent ist.

Bocek schließt: „Next-Gen Code Signing ermöglicht es Softwareentwicklern, die gleichen Code Signing-Tools zu verwenden und erfordert keine Änderungen an ihren Build-Umgebungen. Es bietet eine unsichtbare Technologieebene, die Code-Signaturschlüssel sichert und vor Angreifern schützt. Venafi‘s Next-Gen Code Signing bietet IT-Sicherheitsteams und Entwicklern gleichermaßen eine spannende Möglichkeit, schnell aber auch sicher bei der Code-Signierung zu sein.“

Venafi Next-Gen Code Signing ist ab sofort verfügbar.

Weitere Informationen zum Thema:

datensicherheit.de, 04.07.2019
Smart Home-Systeme gefährdet durch Schwachstellen bei SSH-Maschinenidentitäten

datensicherheit.de, 14.07.2019
Fünf Risiken von Maschinenidentitäten

datensicherheit.de, 07.06.2019
ForgeRock: Datendiebstähle werden für Unternehmen immer kostspieliger

datensicherheit.de, 29.03.2019
Venafi-Studie: Fast zwei Drittel der Unternehmen erlebten im vergangenen Jahr zertifikatsbedingte Ausfälle

datensicherheit.de, 31.08.2018
Venafi-Studie offenbart Nachholbedarf beim Schutz von Maschinenidentitäten

[datensicherheit.de, 14.06.2012] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erneuert seinen Aufruf an alle Internetnutzer, ihre Rechner auf Befall
mit der Schadsoftware „DNS-Changer“ zu überprüfen. Ein solcher Test ist mit Hilfe der Webseite www.dns-ok.de schnell und einfach möglich. Eine Überprüfung des eigenen Rechners ist sinnvoll, da die von der amerikanischen Bundespolizei FBI übernommenen Server der Online-Kriminellen, die für „DNS-Changer“ verantwortlich sind, am 9. Juli 2012 abgeschaltet werden. Bei betroffenen Rechnern ist dann eine Internetnutzung ohne Änderungen der DNS-Einstellungen nicht mehr möglich, da die Nutzer wegen des dann fehlenden Zugriffs auf das „Telefonbuch“ (Domain Name System, DNS) im Internet mit ihrem Computer keine Webseiten mehr aufrufen können. Zudem ist ein Befall mit dem „DNS-Changer“ generell ein Indiz für den unzureichenden Schutz des
Rechners auch vor anderer Schadsoftware.

Deutsche Webseite zur Selbstüberprüfung www.dns-ok.de beispielhaft auch für andere Länder

Zusammen mit dem Bundeskriminalamt, der Deutschen Telekom und Avira hatte das BSI im Januar 2012 die Testseite www.dns-ok.de eingerichtet, mit der Nutzer ihren Rechner selbst und ohne Aufwand überprüfen können. Bisher sind mehr als 21 Millionen Zugriffe auf die Webseite zu verzeichnen. Inwischen haben auch andere Länder wie beispielsweise Australien, Belgien, Finnland, Frankreich, Kanada, Luxemburg, Malaysia, die Niederlande und die USA einen ähnlichen Dienst zur Verfügung gestellt.
Beim Aufruf der Internetadresse www.dns-ok.de erhalten Nutzer, deren Computersystem von dem Schadprogramm manipuliert wurde, eine Warnmeldung mit roter Statusanzeige sowie eine Reihe von Empfehlungen, mit denen die Anwender die korrekten Systemeinstellungen wiederherstellen und die Schadsoftware vom System entfernen können. Ist der Rechner nicht betroffen, erhält der Besitzer eine Meldung mit grüner Statusanzeige, dass sein System korrekt arbeitet.
Mithilfe der Schadsoftware „DNS-Changer“ hatten Internetkriminelle die Netzwerkkonfiguration von PC- und Mac-Systemen sowie Routern durch den Eintrag neuer DNS-Server manipuliert. Das Domain Name System ist einer der wichtigsten Dienste im Internet, welcher für die Umsetzung von Namen (URLs) in IP-Adressen verantwortlich ist. Im Falle einer Infektion mit der
Schadsoftware leitete der Webbrowser die Benutzer bei Abfrage populärer Webseiten unbemerkt auf von Kriminellen definierte Seiten um.

Foto: BfDI

[datensicherheit.de, 10.09.2010] Auch deutsche Sicherheitsbehörden sind nach den Anschlägen vom 11. September 2001 mit zahlreichen neuen Befugnissen ausgestattet worden – viele solcher gesetzlichen Regelungen seien in ihrer Geltung allerdings zeitlich befristet und sollten vor deren Verlängerung einer Evaluierung unterzogen werden, so der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar:
Polizei und Nachrichtendienste sind zunehmend weit im Vorfeld der Gefahrenabwehr tätig und erheben dabei anlasslos – oftmals sogar massenhaft – personenbezogene Daten auch unbescholtener Bürger. Es sei deshalb an der Zeit, die seit 2001 eingeführten Befugnisse einer systematischen, ergebnisoffenen, unabhängigen wissenschaftlichen Überprüfung zu unterziehen, so Schaar. Nur so entstehe eine Bewertungsgrundlage für den Gesetzgeber zur Entscheidung über den Fortbestand bestehender Regelungen.

Weitere Informationen zum Thema:

BfDI, 09.09.2010
Sicherheitsgesetze überprüfen!