🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O Google lançou a proteção Device Bound Session Credentials (DBSC) no Chrome 146 para Windows, projetada para bloquear malware que rouba informações ao coletar cookies de sessão.
Os usuários do macOS se beneficiarão desse recurso de segurança em uma versão futura do Chrome que ainda não foi anunciada.
A nova proteção foi anunciada em 2024 e funciona vinculando criptograficamente a sessão de um usuário ao hardware específico, como o chip de segurança de um computador: o Trusted Platform Module (TPM) no Windows e o Secure Enclave no macOS.
Como as chaves públicas/privadas exclusivas para criptografar e descriptografar dados confidenciais são geradas pelo chip de segurança, elas não podem ser exportadas da máquina.
Isso evita que o invasor use dados de sessão roubados porque a chave privada exclusiva que os protege não pode ser exportada da máquina.
“A emissão de novos cookies de sessão de curta duração depende da prova do Chrome de posse da chave privada correspondente ao servidor”, afirma o Google em um anúncio hoje.
Sem essa chave, qualquer cookie de sessão exfiltrado expira e se torna inútil para um invasor quase imediatamente.
Interação navegador-servidor no contexto do protocolo DBSCfonte: Google
Um cookie de sessão atua como um token de autenticação, normalmente com um tempo de validade mais longo, e é criado no servidor com base no seu nome de usuário e senha.
O servidor utiliza o cookie de sessão para identificação e envia-o para o navegador, que o apresenta quando acede ao serviço online.
Como permitem a autenticação em um servidor sem fornecer credenciais, os agentes de ameaças usam malware especializado chamado infostealer para coletar cookies de sessão.
O Google afirma que várias famílias de malware infostealer, como o LummaC2, “tornaram-se cada vez mais sofisticadas na coleta dessas credenciais”, permitindo que hackers obtenham acesso às contas dos usuários.
"Crucialmente, uma vez que um malware sofisticado tenha acesso a uma máquina, ele poderá ler os arquivos locais e a memória onde os navegadores armazenam cookies de autenticação. Como resultado, não há uma maneira confiável de impedir a exfiltração de cookies usando apenas software em qualquer sistema operacional" - Google
O protocolo DBSC foi construído para ser privado por design, com cada sessão sendo apoiada por uma chave distinta. Isso evita que os sites correlacionem a atividade do usuário em várias sessões ou sites no mesmo dispositivo.
Além disso, o protocolo permite a troca mínima de informações que requer apenas a chave pública por sessão necessária para certificar a prova de posse e não vaza identificadores de dispositivos.
Em um ano de testes de uma versão inicial do DBSC em parceria com diversas plataformas web, incluindo a Okta, o Google observou um declínio notável nos eventos de roubo de sessão.
O Google fez parceria com a Microsoft para desenvolver o protocolo DBSC como um padrão web aberto e recebeu contribuições “de muitos profissionais do setor responsáveis pela segurança da web”.
Os sites podem atualizar para sessões mais seguras e vinculadas ao hardware, adicionando um registro dedicado e pontos de extremidade de atualização aos seus back-ends, sem sacrificar a compatibilidade com o front-end existente.
Os desenvolvedores da Web podem consultar o guia do Google para obter detalhes de implementação do DBSC. As especificações estão disponíveis no site do World Wide Web Consortium (W3C), enquanto um explicador pode ser encontrado no GitHub.
Pentesting automatizado cobre apenas 1 de 6 superfícies.
O pentesting automatizado prova que o caminho existe. O BAS prova se seus controles o impedem. A maioria das equipes executa uma sem a outra. Este whitepaper mapeia seis superfícies de validação, mostra onde termina a cobertura e fornece aos profissionais três perguntas de diagnóstico para qualquer avaliação de ferramenta.
Obtenha sua cópia agora
Os usuários do macOS se beneficiarão desse recurso de segurança em uma versão futura do Chrome que ainda não foi anunciada.
A nova proteção foi anunciada em 2024 e funciona vinculando criptograficamente a sessão de um usuário ao hardware específico, como o chip de segurança de um computador: o Trusted Platform Module (TPM) no Windows e o Secure Enclave no macOS.
Como as chaves públicas/privadas exclusivas para criptografar e descriptografar dados confidenciais são geradas pelo chip de segurança, elas não podem ser exportadas da máquina.
Isso evita que o invasor use dados de sessão roubados porque a chave privada exclusiva que os protege não pode ser exportada da máquina.
“A emissão de novos cookies de sessão de curta duração depende da prova do Chrome de posse da chave privada correspondente ao servidor”, afirma o Google em um anúncio hoje.
Sem essa chave, qualquer cookie de sessão exfiltrado expira e se torna inútil para um invasor quase imediatamente.
Interação navegador-servidor no contexto do protocolo DBSCfonte: Google
Um cookie de sessão atua como um token de autenticação, normalmente com um tempo de validade mais longo, e é criado no servidor com base no seu nome de usuário e senha.
O servidor utiliza o cookie de sessão para identificação e envia-o para o navegador, que o apresenta quando acede ao serviço online.
Como permitem a autenticação em um servidor sem fornecer credenciais, os agentes de ameaças usam malware especializado chamado infostealer para coletar cookies de sessão.
O Google afirma que várias famílias de malware infostealer, como o LummaC2, “tornaram-se cada vez mais sofisticadas na coleta dessas credenciais”, permitindo que hackers obtenham acesso às contas dos usuários.
"Crucialmente, uma vez que um malware sofisticado tenha acesso a uma máquina, ele poderá ler os arquivos locais e a memória onde os navegadores armazenam cookies de autenticação. Como resultado, não há uma maneira confiável de impedir a exfiltração de cookies usando apenas software em qualquer sistema operacional" - Google
O protocolo DBSC foi construído para ser privado por design, com cada sessão sendo apoiada por uma chave distinta. Isso evita que os sites correlacionem a atividade do usuário em várias sessões ou sites no mesmo dispositivo.
Além disso, o protocolo permite a troca mínima de informações que requer apenas a chave pública por sessão necessária para certificar a prova de posse e não vaza identificadores de dispositivos.
Em um ano de testes de uma versão inicial do DBSC em parceria com diversas plataformas web, incluindo a Okta, o Google observou um declínio notável nos eventos de roubo de sessão.
O Google fez parceria com a Microsoft para desenvolver o protocolo DBSC como um padrão web aberto e recebeu contribuições “de muitos profissionais do setor responsáveis pela segurança da web”.
Os sites podem atualizar para sessões mais seguras e vinculadas ao hardware, adicionando um registro dedicado e pontos de extremidade de atualização aos seus back-ends, sem sacrificar a compatibilidade com o front-end existente.
Os desenvolvedores da Web podem consultar o guia do Google para obter detalhes de implementação do DBSC. As especificações estão disponíveis no site do World Wide Web Consortium (W3C), enquanto um explicador pode ser encontrado no GitHub.
Pentesting automatizado cobre apenas 1 de 6 superfícies.
O pentesting automatizado prova que o caminho existe. O BAS prova se seus controles o impedem. A maioria das equipes executa uma sem a outra. Este whitepaper mapeia seis superfícies de validação, mostra onde termina a cobertura e fornece aos profissionais três perguntas de diagnóstico para qualquer avaliação de ferramenta.
Obtenha sua cópia agora
#samirnews #samir #news #boletimtec #o #google #chrome #adiciona #proteção #infostealer #contra #roubo #de #cookies #de #sessão
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário