既然SSL已被破解,请当心

今天,组织可以忽略针对SSL的BEAST攻击,但是利用该漏洞的工具只会继续发展

1 2 3 Page 3
第3页,共3页

为什么要完全关心BEAST攻击?有几个原因。随着时间的推移,攻击只会变得更简单,更有效。目前,BEAST攻击工具需要单独的工具或技术来实现前提条件。毫无疑问,只要单击一下按钮,某人就会将其制作为一个程序。某些先决条件将不再需要也是很合理的。没有这些,我们将面临一种明显更轻松的攻击方法。由此产生的攻击可能不会像缓冲区溢出Internet蠕虫那样立即产生大量攻击,但是使用公共网络将使攻击变得更加困难。

更重要的是,这是我们多年来已知的又一个被利用的漏洞,我们只是不在乎修复。好了,修复程序就在那里了,但是我们不在乎只单击一个复选标记即可实现。这就引出了一个更大的问题,即社会为什么不足够重视实施已存在多年的重要修复程序。为什么我们通常在执行之前就等待痛苦?

批评家可能会争辩说,社会正在做出正确的成本效益决策,以进行安全性改进方面的投资,并且在痛苦发生之前实施该决策是没有意义的。但是对于BEAST,阈值是如此之低。我们已经解决了很多年。许多浏览器已经使用较新的协议已有很长时间了,但是供应商根本没有默认启用它们。大多数网站都具有实施更新协议的能力,但其运营商却没有。我们不需要发明任何新东西。在大多数情况下,启用有效的防御需要勾选几个复选标记。

我知道社会上大多数人并不真正关心计算机安全,直到它影响到他们。但是,作为计算机安全专家,我们没有任何借口变得如此轻率,以至于放弃启用一些检查标记来抵抗这种已知的攻击媒介。如果这个行动的门槛(或者我应该说无为而为)太高了,那么在真正的痛苦到来之前,我们将如何主动保护自己?这是BEAST攻击造成的令人沮丧的问题和更大的问题。

这个故事, ”既然SSL已被破解,请当心”,最初发表于 信息世界.com。紧跟最新动态 网络安全 并阅读更多 Roger Grimes的安全顾问博客 在InfoWorld.com。有关最新的业务技术新闻,请关注 Twitter上的InfoWorld.com.

版权© 2011 IDG通讯,Inc.

1 2 3 Page 3
第3页,共3页