文章內(nèi)容

盤點：十大將要被淘汰的安全技術(shù)

發(fā)布時間: 2015/8/22 15:05:04

No.1：生物認(rèn)證

在登錄安全領(lǐng)域里，生物認(rèn)證技術(shù)是十分誘人的良藥。畢竟，你的臉、指紋、DNA或者其它生物標(biāo)志似乎是完美的登錄憑據(jù)。但這只是門外漢的見解。對專家而言，生物認(rèn)證并沒有看上去那么安全：如果它失竊，你本人的生物標(biāo)志卻無法改變。

錄入你的指紋吧。大多數(shù)人只有10個。任何時候你使用指紋作為生物識別憑據(jù)進行登錄，那些指紋，或者更確切地說，其數(shù)字標(biāo)識，必須被存儲在某處以進行比對。不幸的是，這些數(shù)字標(biāo)識損壞或者被盜是太常見的現(xiàn)象。如果壞人偷走了它們，你怎么能分辨出真實指紋憑據(jù)和對方手中數(shù)字標(biāo)識的區(qū)別?

在這種情況下，唯一的解決辦法是告訴世界上的每一個系統(tǒng)，不要繼續(xù)使用你的指紋，但這幾乎不可能做到。這對任何其它生物特征標(biāo)記而言都是成立的。如果壞人得到了你生物信息的數(shù)字版本，要否認(rèn)自己的DNA、臉、視網(wǎng)膜是很難的。

還有另一種情況，如果你用于登錄的那些生物特征，比如說指紋本身被破壞了呢?

加入生物識別的多因素認(rèn)證是一種擊敗黑客的方法，比如在生物識別之外加上密碼、PIN。但一些使用物理要素的雙因素認(rèn)證也可以很容易地做到這一點，比如智能卡、USB鑰匙盤。如果丟失，管理人員可以很快地頒發(fā)給你新的物理認(rèn)證方式，你也可以設(shè)置新的PIN或者密碼。

盡管生物識別登錄正迅速成為時髦的安全功能，它們永遠(yuǎn)都不會變得無處不在。一旦人們意識到生物識別登錄并不是它們看上去的那樣，這種方式將失去人氣，或者消失。其運用時總是要結(jié)合另一個認(rèn)證要素，或者只是用在那些不需要高安全性的場景下。

No.2：公鑰加密

如果量子計算的實現(xiàn)和配套的密碼學(xué)出現(xiàn)，我們?nèi)缃袷褂玫拇蠖鄶?shù)公鑰加密技術(shù)：RSA、迪斐·海爾曼(Diffie-Hellman，DH)等等將很快變成可讀狀態(tài)，這可能會讓一些人大吃一驚。很多人長期以來都認(rèn)為可使用級別的量子計算再過幾年就要到來了，但這種估計屬于盲目樂觀。如果研究人員真的拿出了量子計算技術(shù)，大多數(shù)已知的公鑰加密方式，包括那些流行算法，都會非常容易破解。世界各地的間諜機構(gòu)經(jīng)年累月地秘密保存著被鎖死的機密文件，等著技術(shù)大突破。而且，如果你相信一些流言的話，他們已經(jīng)解決了這個問題，正在閱讀我們的所有秘密。

一些密碼學(xué)專家，比如布魯斯·施耐爾(BruceSchneier)，一直以來對量子密碼學(xué)的前景存有疑問。但批評家無法拒絕這種可能性：一旦它被開發(fā)出來，所有使用RSA、DF，甚至橢圓曲線(EllipticCurveCryptography，ECC)加密的密文瞬間變成了可讀狀態(tài)。

這并不是說不存在量子級的加密算法。的確有一些，比如基于格(Lattice)方法的加密、超奇異同源密碼交換(SupersingularIsogenyKeyExchange)。但如果你使用的公鑰不屬于這類，一旦量子計算開始普及，你的壞運氣就要來了。

No.3：SSL

自1995年發(fā)明以來，安全套接層協(xié)議(SecureSocketLayer，SSL)存在了很長一段時間。在這二十年里，它為我們提供了充分的服務(wù)。但如果你還沒有聽說過的話，我們需要介紹一下Poodle攻擊，它讓SSL協(xié)議無可挽回地走遠(yuǎn)了。SSL的替代者傳輸層安全協(xié)議(TransportLayerSecurity，TLS)則表現(xiàn)稍好。在本文介紹的所有即將被扔進垃圾桶的安全技術(shù)中，SSL是最接近于被取代的。人們不應(yīng)該再使用它了。

問題在哪?成百上千的網(wǎng)站依賴或啟用了SSL。如果你禁用所有的SSL，這也是流行瀏覽器最新版本里的一般默認(rèn)做法，各種網(wǎng)站都會變得無法連接。也許它們可以連接，但這只是因為瀏覽器或應(yīng)用接受對SSL進行降級。此外，因特網(wǎng)上仍舊存在數(shù)百萬計古老的安全Shell(SecureShell，SSH)服務(wù)器。

OpenSSH最近似乎一直在遭到入侵。盡管大約一半的攻擊事件和SSL毫無關(guān)系，但另一半都是由于SSL的漏洞引起的。數(shù)百萬計的SSH/OpenSSH網(wǎng)站仍在使用SSL，盡管他們根本不應(yīng)該這樣做。

更糟糕的是，科技專家們使用的術(shù)語也在導(dǎo)致問題。幾乎每個計算機安全行業(yè)內(nèi)的人都會將TLS數(shù)字證書稱為“SSL證書”，但這純屬指鹿為馬：這些網(wǎng)站并不使用SSL。這就像是說一瓶可樂是可口可樂一樣，盡管這瓶可樂可能是另外一個品牌。如果我們需要加快世界拋棄SSL的速度，就需要開始用本名稱呼TLS證書。

不要再使用SSL了，并且將Web服務(wù)器證書稱為TLS證書。我們越早擺脫“SSL”這個詞，它就能越快地被掃進歷史的垃圾堆。

No.4：IPSec

如果啟用，IPsec會保護兩點或多點間數(shù)據(jù)傳輸?shù)耐暾院碗[私性，也即加密。這項技術(shù)發(fā)明于1993年，在1995年成為開放標(biāo)準(zhǔn)。數(shù)以百計的廠商支持IPsec，數(shù)百萬計的計算機使用它。

不像本文中提到的其它例子，IPsec真的有用，而且效果很好，但它卻有著另一方面的問題。

首先，雖然它被廣泛使用并部署，但從沒達到大而不倒的規(guī)模。其次，IPsec十分復(fù)雜，并不是所有廠商都支持它。更糟的是，如果通訊雙方中的一方支持IPsec，另一方如網(wǎng)關(guān)或負(fù)載平衡器不支持它，通訊經(jīng)常會被破解。在許多公司中，IPSec通常作為可選項存在，強制使用它的電腦很少。

IPsec的復(fù)雜性也造成了性能問題。除非你在IPsec隧道兩側(cè)都部署專門硬件，不然它就會顯著減緩所有用到它的網(wǎng)絡(luò)連接。因此，大型的事務(wù)服務(wù)器，比如數(shù)據(jù)庫和大多數(shù)Web服務(wù)器根本無法支持它。而這兩類服務(wù)器恰恰是存儲最重要數(shù)據(jù)的地方。如果你不能用IPsec保護大部分?jǐn)?shù)據(jù)，它又能帶來什么好處呢?

另外，盡管它是一個“公共”的開放標(biāo)準(zhǔn)，IPsec的實現(xiàn)卻通常無法在各個廠商之間共用，這是另一個減緩乃至阻止IPsec被廣泛部署的原因。

但對IPsec而言，真正的喪鐘是HTTPS得到了廣泛使用。如果你啟用了HTTPS，就不再需要IPsec。這是個兩者必?fù)衿湟坏倪x擇，世界作出了它的決定。HTTPS贏了。只要你有一份有效的TLS電子證書，一個兼容的客戶端，就能使用HTTPS：沒有交互問題、復(fù)雜度低。存在一些性能影響，但對大多數(shù)用戶而言微不足道。全球正迅速變成一個默認(rèn)使用HTTPS的世界。在這個過程中，IPsec將會死亡。

No.5：反病毒掃描

惡意軟件數(shù)量目前在數(shù)千萬到上億級別，其具體數(shù)字取決于你相信誰給出的數(shù)據(jù)。一個壓倒性的事實是，反病毒掃描軟件幾乎已經(jīng)沒有用了。

但也并不是完全沒用，因為它們會阻擋80到99.9%對普通用戶的攻擊。但普通用戶每年都會接觸到成百上千的惡意程序。哪怕用戶手氣再好，壞人也會時不時地贏上那么一兩次。如果你的PC一年都沒有接觸到惡意軟件，你一定是做了什么特別的事情。

這并不是說我們不應(yīng)該為反病毒廠商喝彩。為了對抗天文數(shù)字的賠率，他們的工作量巨大。我想不到有任何一個產(chǎn)業(yè)能夠應(yīng)對惡意軟件數(shù)量如此快速的增長，而且使用的還是自上世紀(jì)八十年代以來就存在的老技術(shù)，在那時候只有幾十種病毒需要檢測。

真正殺死反病毒掃描軟件的不是惡意軟件的數(shù)量，而是白名單。當(dāng)今的普通計算機會運行所有你安裝的程序。這使得惡意軟件到處都是。但電腦和操作系統(tǒng)廠商已經(jīng)開始改變“見什么運行什么”的模式，以提升用戶的安全性。這項運動和殺毒軟件是對立的。后者的邏輯是，讓一切運行暢通，除了包括那些含有已知的那5億反病毒簽名的軟件。“默認(rèn)運行，例外禁止”正被“默認(rèn)禁止，例外運行”所代替。

當(dāng)然，電腦上早就有白名單程序了，也就是應(yīng)用控制軟件。我在2009年回顧了一些受歡迎的此類產(chǎn)品。問題在于：大多數(shù)人不使用白名單，即便它是內(nèi)置的。最大的障礙?用戶擔(dān)心不能再安裝所有那些亂七八糟的東西了，而且批準(zhǔn)能在用戶系統(tǒng)上運行的所有軟件也是一項令人頭疼的工程。

然而惡意軟件和黑客攻擊正日益普遍，廠商開始在默認(rèn)情況下啟用白名單。蘋果的OSX系統(tǒng)在三年前推出了一項默認(rèn)白名單功能，被稱為Gatekeeper。iOS設(shè)備使用白名單機制的歷史更長，除非越獄，它們只能運行被批準(zhǔn)在AppStore上架的應(yīng)用。蘋果漏掉了一些惡意軟件，但這項工程對于阻止針對流行操作系統(tǒng)和程序的大量惡意軟件功不可沒。

微軟在更早的時候就通過軟件限制策略(SoftwareRestrictionPolicies)和AppLocker引入了類似機制。Windows10帶來的DeviceGuard則有力地推動了這項工程。微軟的Windows商店采取了和蘋果AppStore類似的保護機制。盡管微軟不會默認(rèn)開啟DeviceGuard，也不會默認(rèn)只運行從Windows商店上安裝的應(yīng)用，但白名單功能已經(jīng)相對健全，也比以前更易用。

一旦白名單變成了多數(shù)操作系統(tǒng)上的默認(rèn)選項，對惡意軟件而言就是游戲結(jié)束的時間，然后，對反病毒掃描軟件而言也是如此。很難說人們會想念兩者之中的任何一個。

No.6：反騷擾過濾

騷擾郵件仍舊占全網(wǎng)郵件數(shù)的一半。多虧了反騷擾過濾，你可能沒有注意到這一點。反騷擾過濾真的實現(xiàn)了那些反病毒廠商聲稱的精確性，不過它們每天仍舊會漏過數(shù)以十億計的郵件。只有兩件東西可以阻止騷擾：通用的、普適的、高安全性的認(rèn)證和更具結(jié)合性的國際法。

垃圾郵件發(fā)送者仍舊存在，因為我們很難輕易抓住他們。但隨著互聯(lián)網(wǎng)日益成熟，普適性的匿名將被高可信度的身份所代替。到那時，如果一個人給你發(fā)郵件說有一麻袋錢要寄給你，你能夠同時確定他是否真的是他。

只有通過對每個用戶的登錄都采取雙因素驗證，才能實現(xiàn)高可信度的身份，然后則是高可信度的計算機和網(wǎng)絡(luò)。發(fā)送者和接受者之間的每一個齒輪都會有更高的可靠性。這種可靠性是通過無處不在的HTTPS提供的，但要確認(rèn)你就是你，還需要加入額外機制。

今天，幾乎所有人都可以聲稱自己是某某，而我們并沒有普適性的方式來驗證他的說法。這將會改變。幾乎每一種我們依賴的關(guān)鍵基礎(chǔ)設(shè)施：交通、電力等等都需要這樣的身份憑據(jù)�；ヂ�(lián)網(wǎng)現(xiàn)在還處在狂野西部的時代，但它作為基礎(chǔ)設(shè)施的本質(zhì)日益凸現(xiàn)，幾乎必然向身份憑據(jù)化的方向發(fā)展。

國際邊境問題一直在給起訴網(wǎng)絡(luò)犯罪造成麻煩，它很可能在不久的將來得到解決。目前，許多國家不接受其它國家簽發(fā)的證據(jù)和搜查令，這讓逮捕諸如垃圾郵件發(fā)送者和存在其它惡意行為的人幾近不可能。你可以隨便收集證據(jù)，但如果攻擊者的所在國不執(zhí)行搜查令，你的案子就完蛋了。

隨著互聯(lián)網(wǎng)日趨成熟，那些不深挖互聯(lián)網(wǎng)上最大的犯罪集團的國家將被懲罰。這些國家可能被登入黑名單。事實上，有些國家已經(jīng)在上面了。舉個例子，很多公司和網(wǎng)站都會拒絕所有來自中國的流量，不管它是不是合法。如前所述，一旦我們能夠辨認(rèn)出罪犯和他們的所屬國家，其所屬國家將被迫作出反應(yīng)，不然就會受到懲罰。

垃圾郵件爭先恐后地擠滿你郵箱的好日子已經(jīng)到頭了。普適性的身份和國際法的變化將給垃圾郵件蓋棺，當(dāng)然還有那些專門打擊它們的安全技術(shù)。

No.7：抗DDoS

值得慶幸的是，上述的普適性身份保護也會為拒絕服務(wù)攻擊和其相關(guān)防御技術(shù)鳴起喪鐘。

如今，任何人都可以使用免費的互聯(lián)網(wǎng)工具，向任意網(wǎng)站發(fā)送數(shù)以十億計的數(shù)據(jù)包。大多數(shù)操作系統(tǒng)都內(nèi)置有拒絕服務(wù)攻擊保護，也有幾十家廠商能夠在你被巨量虛假流量攻擊時提供保護。但取消普遍的匿名性將制止所有發(fā)送拒絕服務(wù)流量的攻擊者。一旦我們能夠找出他們，就可以逮捕他們。

這樣想一想：在上世紀(jì)二十年代，美國有很多即猖狂又著名的銀行搶劫犯。銀行最終加強了他們的防護，警察也能更好地識別和逮捕罪犯。強盜們?nèi)匀粫u擊銀行，但很少搶到錢，而且?guī)缀蹩偰鼙蛔プ�，特別是當(dāng)他們堅持要搶更多的銀行時。同樣的情況也會發(fā)生在拒絕服務(wù)攻擊者身上，只要我們能夠快速識別他們，遲早他們會帶著那些讓人無可奈何、頭疼不已的作惡手段消失殆盡。

No.8：大體量事件日志

對計算機安全事件進行檢測和警報是困難的。每臺電腦每天都會產(chǎn)生數(shù)以萬計的事件。如果將它們都存儲在一個集中的日志數(shù)據(jù)庫，你的存儲空間很快就會爆炸。如今的事件日志系統(tǒng)通常以其磁盤存儲陣列規(guī)模巨大而自居。

唯一的問題：這類事件日志記錄沒有用。幾乎所有收集到的事件包都沒有用并保持著未讀狀態(tài)，存儲這些毫無用處的未讀文件會帶來巨大的存儲成本，有些東西必須被放棄。很快，管理員就會要求應(yīng)用和操作系統(tǒng)廠商提供給他們更多的信號和更少的噪聲，去除那些沒有價值的通常日志。換句話說，事件日志廠商很快就會開始吹噓他們占用的存儲空間有多小，而不是多大。

No.9：防火墻

無處不在的HTTPS基本上宣告了傳統(tǒng)防火墻的末日。早在三年前就有人寫過相關(guān)文章，但三年過去，防火墻依舊無處不在。但真實情況呢?它們大多數(shù)未經(jīng)配置，幾乎全部都沒有配備“最低容許度，默認(rèn)屏蔽”規(guī)則，然而正是這種規(guī)則才讓防火墻具備了價值。相信不少人都知道大多數(shù)防火墻規(guī)則過于寬松，甚至“允許所有XXX”這樣規(guī)則的防火墻也不稀罕.這樣配置的防火墻基本上還不如不存在。它啥都沒干，只是在拖網(wǎng)速后腿。

不管你怎么定義防火墻，它必須包括一個部分：只允許特定的、預(yù)配置的接口，只有這樣它才能算是有用。隨著這個世界向著HTTPS化邁進，最終，所有防火墻都會只剩下幾條規(guī)則：HTTP、HTTPS和DNS。其它協(xié)議，比如adsDNS、DHCP等等，也會開始使用HTTPS-only。事實上，很難想象一個不是以全民HTTPS化告終的世界。當(dāng)這一切來臨，防火墻何去何從?

防火墻提供的主要防御功能是保護脆弱的服務(wù)免遭遠(yuǎn)程攻擊。具有遠(yuǎn)程脆弱性的服務(wù)通常極易破壞，遠(yuǎn)程利用緩沖區(qū)溢出是最常見的攻擊方式。看看莫里斯蠕蟲(RobertMorrisInternetworm)、紅色警戒(CodeRed)、沖擊波(Blaster)和藍寶石(SQLSlammer)吧。你能回憶起最近一次世界級緩沖區(qū)溢出蠕蟲攻擊出現(xiàn)在哪年嗎?應(yīng)該不會超過本世紀(jì)頭幾年。而這些蠕蟲都還遠(yuǎn)不及上世紀(jì)八九十年代那些的威力�；旧�，如果你不使用未打補丁、存在漏洞的監(jiān)聽服務(wù)，就不需要傳統(tǒng)防火墻。你現(xiàn)在就不需要。對，你沒聽錯。你不需要防火墻。

一些防火墻廠商經(jīng)常鼓吹他們的“高級”防火墻擁有傳統(tǒng)產(chǎn)品遠(yuǎn)不能及的功能。但這種所謂的“高級防火墻”只要它們進行“數(shù)據(jù)包深度檢查”或簽名掃描，只會導(dǎo)致兩種結(jié)果：其一，網(wǎng)速大幅度下降，返回結(jié)果充斥著假陽性;其二，只掃描一小部分攻擊。大多數(shù)“高級”防火墻只會掃描數(shù)十到數(shù)百種攻擊。如今，每天都會出現(xiàn)超過39萬種新型惡意軟件，這還不包括那些隱藏在合法活動中無法識別的。

即使防火墻真的達到了他們宣稱的防護級別，它們也不是真的有效。因為如今企業(yè)面臨的兩種最主要的惡意攻擊類型是：未打補丁的軟件和社會工程。

這么說吧，是否配備防火墻都一樣被黑。也許它們在過去表現(xiàn)太好了，導(dǎo)致黑客轉(zhuǎn)向了別的攻擊類型。但不管是什么原因，防火墻如今已經(jīng)幾乎沒有用了，從過去十年前這個趨勢就開始了。

No.10：匿名工具

最后，任何關(guān)于匿名性和隱私的遺跡都將被徹底抹去。我們早就不需要它們了。在這個主題上，推薦一本新書，布魯斯·施奈爾的《數(shù)據(jù)與歌利亞》(DataandGoliath)。如果你還沒有意識到自己還剩下的隱私和匿名性有多么少，快速閱讀它，它可能會嚇到你死。

即使那些認(rèn)為藏在Tor或者其它“暗網(wǎng)”設(shè)施中能夠給自己帶來一點匿名性幻覺的黑客也必須了解到警察逮捕網(wǎng)絡(luò)犯罪者是多么神速。匿名者的中流砥柱們一個個被逮捕，在法庭上被指證，并被判了真實的刑期，有著真實的服刑代碼，和他們的真實身份掛鉤在一起。

事實是，匿名工具沒有用。很多公司，當(dāng)然也包括執(zhí)法部門，已經(jīng)知道你是誰了。未來唯一不同的是，每個人都會心中有數(shù)，停止假裝他們能夠隱藏自己，在網(wǎng)上保持匿名。

希望政府能夠通過一項保障隱私的消費者權(quán)利法案，但過去的經(jīng)驗告訴我們，太多的公民愿意放棄隱私權(quán)，換取保護，這已經(jīng)是除了互聯(lián)網(wǎng)以外所有其它領(lǐng)域的準(zhǔn)則。互聯(lián)網(wǎng)是不是下一個，我們走著瞧~

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]