Leszámol az SSL-lel a PCI DSS
A PCI DSS 3.1 kiadása már nem tolerálja az SSL protokoll használatát, és azt a nem biztonságos elemek közé sorolja. Mindez sok céget fog védelmi lépésekre kényszeríteni.Az SSL protokoll, illetve annak implementációja kapcsán az elmúlt évben sok probléma merült fel. Ezért nem csoda, hogy a különféle biztonsági szabványok, előírások kidolgozói is drasztikus lépésekre szánták el magukat. Elsőként a PCI Security Standards Council jelezte, hogy leszámol az SSL-lel, amelyet a jövőben már nem tekint erős biztonsági protokollnak. Helyette a fejlettebb TLS használatát fogja megkövetelni.
"Az SSL számos hosztolt szolgáltatás, alkalmazás, POS-rendszer, weboldal és terheléselosztó esetében használatos, amelyek mind konfigurációs módosításokat igényelhetnek" - hívta fel a figyelmet a változásokkal járó teendőkre Don Brooks, a Trustwave biztonsági mérnöke. Majd hozzátette, hogy a PCI DSS megfelelőségre kötelezett pénzintézeteknek, cégeknek, kereskedőknek érdemes felvenniük a kapcsolatot az informatikai partnereikkel, hogy időben felkészülhessenek a PCI DSS 3.1-ben megfogalmazott új elvárásokra.
A PCI Security Standards Council a változtatások szükségességét azzal magyarázta, hogy az NIST (National Institute of Standards and Technology) az SSL v3.0-at az abban rejlő gyengeségek miatt nem fogadja el adatvédelmi célokra. Ennek következtében ki kellett jelenteni, hogy az SSL már nem teljesíti az erős kriptográfia feltételeit. A TLS 1.2 az, amely jelenleg megfelel a PCI DSS által definiált erős kriptográfia fogalmának.
Azt a PCI Security Standards Council is elismerte, hogy az ismert SSL-sérülékenységek a bankkártyák elfogadására alkalmas POS-terminálok esetében nehezen kihasználhatók, így e környezetekben alacsonyabb prioritású problémának számítanak, mint például a webszerverek vagy a webböngészők esetében. Emellett hangsúlyozta, hogy az elektronikus kereskedelmi cégeknek is mihamarabb implementálniuk kell az új elvárásoknak megfelelő védelmi intézkedéseket.
-
A Cisco IOS XE-hez több patch vált elérhetővé.
-
A Google ChromeOS két fontos biztonsági javítást kapott.
-
Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.
-
Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.
-
A cURL fejlesztői négy biztonsági hibáról számoltak be.
-
Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.
-
A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.
-
A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.
-
A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.
-
A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.