现在你可能听说过的一台新电脑虫叫狮子狗。当然,名字是可爱的。(真的是少得多可爱的“Padding Oracle下调遗产加密。”)它被发现两个月前,谷歌研究人员。0b足球,最重要的是,网络安全研究人员已经确定,它严重低于Heartbleed (0b足球从4月)和弹震症/ Bash (从9月)错误。
但“少”是一个相对的概念。需要修复的缺陷。
你能做什么
这是下载如果你愿意得到一点技术。如果web浏览器仍然在你的机器上支持早已弃用安全套接字层(SSL)加密协议3.0,这是为了安全地连接电脑和web服务器,禁用它自己。这是15年过时了。
至于哪个浏览器:如果你使用Google Chrome版本40,你在好shape-SSL 3.0默认情况下是禁用的。Mozilla将禁用默认协议在未来版本的浏览器,Firefox 34,定于本月晚些时候。所有版本的微软的ie浏览器支持SSL 3.0;支持通过选项菜单需要被禁用。至于苹果的Safari, 2014 - 005年公司的安全更新减轻了脆弱性同时仍然允许SSL 3.0。
直到你禁用SSL 3.0中,您可能希望避免连接到公共wi - fi网络。否则复杂的袭击者占领一个特权地位在您的网络可以拦截你的数据,和浏览器cookie窃取你的密码,和冒充你的网站,允许他们劫持你的账户。
“就安全而言,当一个协议成为弃用的时间你说我们需要下车,下车不久,“说维隆田庄,恶意软件高级研究员蓝色外套,一个加州森尼维尔的网络安全公司。0b足球“这意味着一个漏洞和弱点被发现,人们知道它可以攻击。”
世界上的加密,一个新的、更安全的协议,传输层安全(TLS) 1.0,取代了欧宝球网站SSL 1999年的3.0。从那时起,已经有两个updates-TLS 1.1在2008年2006年和TLS 1.2。TLS 1.3,另一个是。
“这几乎是四个版本了,”田庄补充道,“在某种程度上你需要说,我们走了。”
我们将怎样到达那里
一些企业可能不希望退休老协议SSL 3.0,因为他们希望确保他们可以连接与每一个潜在客户。这意味着适应人在八年,没有更新他们的浏览器Internet Explorer 7的时候默认启用TLS 1.0支持。“你真的想要这些家伙还在你的网络吗?”田庄问道,指出他们的机器可能容易受到其他缺陷和添加SSL 3.0事务代表不到百分之一的网络流量。
“如果一台机器是脆弱的,它可能有其他漏洞,因为它是那么老,“田庄说。“这是让你的整个网络面临风险,因为这古老的技术。”
再说,留住老像SSL协议3.0还提供了一个后备的选择浏览器不应该被新协议连接尝试的工作,不管出于什么原因,如果一切都失败了的方法。问题是精明的黑客可以坐在一个网络,通信,和挫折机器尝试连接服务器,它不得不依靠一个过时的协议。黑客延续这种类型的攻击,被称为中间人,可以稳步实现贵宾犬和解密交易敏感信息。
首席安全策略师蓝色外套,休·汤普森表示,公司应该尽快SSL 3.0退休,即使他们不确定旧设备依赖它仍然可能被连接到他们的网络。如果浏览器嵌入到打印机没有更新选项,“可能是时候摆脱打印机,”他说。
被遗忘的,过时的设备一定会有问题,他说。“几乎可以肯定将停止工作。”然而,“你应该反对它,”他说。“这绝对是值得的。”
如何从这一事件
禁用SSL 3.0并不是唯一一个想要教给我们的贵宾犬。考虑更大的图景:在过去的一年里,三个引人注目的虫子已经撼动了商业世界。
今年4月,网络受到Heartbleed,粉丝们普遍加密漏洞。弹震症5个月后我们很震惊,一个稍微不那么令人担忧的bug(因为它带来了更多的技术挑战黑客)然而,孔严重影响(如黑客的能力来接管机)。欧宝球网站现在我们有贵宾和更多的bug注定要表面。欧宝球网站
随着互联网公司开始加密在网络更多的流量,攻击者会发现密码的缺点变得更加感兴趣。欧宝球网站企业必须学会应对,汤普森说。
“如果你觉得Heartbleed陨石击中一个数据中心,”汤普森说,“你会做一切你可以清理的陨石。但你不会设立了一些大的陨石清洗过程。这三个信号,这不是一个罕见的事件。如果是这种情况,需要建立一套能力失败。”
这意味着建立敏捷响应团队,建立网络取证能力和更新新版本的软件和协议及时。重要的是建立正确的流程和实践良好的网络卫生,汤普森说。unaware-especially如果没有借口,最后,似乎你的公司比安全更关心向后兼容性。欧宝球网站
接下来,写道:”家得宝(Home Depot)首席执行官弗兰克布莱克如何阻止他的遗产被攻击”珍妮弗Reingold。
