也许什么都没有,甚至没有天气,变化快的计算机技术。随着进步是轻快的步伐来到一个重大的责任:保护它。
新技术的每一个浪潮,不管多么小的或深奥,给它带来了新的威胁。安全社区奴隶跟上,并认为所有的事情,确实防止黑客的攻击,谁转向技术和方法快速,让去年的公认攻击垃圾箱了很好的工作。
最近你是否在你的软盘上启用写保护缺口以防止启动病毒或恶意覆盖?你是否曾经为了防止黑客在晚上拨打调制解调器?你不得不卸下你的ansi吗?系统驱动程序,防止恶意文本文件重新映射您的键盘,使您的下一个击键重新格式化您的硬盘?你检查了你的autoexecute .bat和配置了吗?系统文件,以确保没有恶意条目被插入自动启动恶意软件?
但如今却没有这么多了——黑客已经离开了,防止类似黑客入侵的技术也不再是首要考虑的问题。有时我们的后卫做得很好,以至于攻击者决定转移到更有效的选择。有时候,一个特定的防御功能会被移除,因为那些好人认为它一开始就不能很好地保护自己,或者有一些意想不到的弱点。
如果你和我一样,都已经在计算机安全世界足够长的时间,你已经看到了很多安全技术的来来去去。这是几乎到了你就可以开始预测会有什么坚持和改善什么迟早会被淘汰的地步。在攻击和技术都意味着,即使是所谓的前沿防线,像生物认证和先进的防火墙,变化的速度最终将失败和消失。调查今天的防守技术,这就是我认为的目的地是历史书。
5到10年后再看看我做对了什么。我打赌比你想象的要多。
注定的安全技术1:生物识别认证
生物特征认证诱人解决所有登录安全性。毕竟,用你的脸,指纹,DNA,或其他一些生物识别标记似乎是完美的登录凭据上 - 的人谁不擅长登录身份验证。至于这些专家来说,这与其说是生物识别方法很难准确,因为大多数人都认为,它更是,一旦被盗,你的生物辨识标记不能改变。
把你的指纹。大多数人只10.任何时候你的指纹被用作生物登录,这些指纹 - 或者更准确的说,数字表示这些指纹 - 必须储存未来数上比较。不幸的是,登录凭据被过于频繁受损或被盗。如果坏人偷了你的指纹的数字表示,有哪一个系统告诉你真正的指纹和他们以前接受的数字表示的区别?
在这种情况下,唯一的解决办法可能是告诉每一个系统在世界上可能会指纹靠不依靠你的指纹,如果那是甚至可能。这同样适用于任何其他生物识别标记如此。你将有一个很难否定你真正的DNA,面部,视网膜扫描,等等,如果一个坏球员得到他们的手放在这些生物辨识标记的数字表示。
这还没有考虑到各地的系统帐户问题,只有让你登录,如果你使用,也就是说,您的指纹时,你可以不再可靠地使用你的指纹。然后怎样呢?
与只有您知道的秘密(密码、PIN等)结合使用的生物特征标记是击败拥有您的生物特征登录标记的黑客的一种方法。当然,大脑的秘密也可以被捕获,就像经常发生的非生物特征双因素登录凭证,如智能卡和USB密钥。在这种情况下,管理员可以很容易地向您发送新的物理因素,您可以选择新的PIN或密码。但当其中一个因素是你的身体时,情况就不一样了。
虽然生物识别登录正迅速成为一种流行的安全功能,但它们没有——也永远不会——无处不在是有原因的。一旦人们意识到生物识别登录并不是他们假装的那样,它们就会失去流行,或者消失,总是需要第二种形式的身份验证,或者只在不需要高安全性身份验证时使用。
注定安全技术第2号:SSL
安全套接层是由长了网景于1995年发明了它为我们服务充分的二十年。但是,如果你还没有听说过,这是无可挽回地破裂,不能修复,多亏了贵宾犬的攻击。SSL的替补,TLS(传输层安全),略好。本文中讨论所有注定安全技术的,SSL是要被替换的最接近的,因为它不应该再被使用。
问题?成千上万的网站依赖于或允许SSL。如果禁用所有SSL - 在流行的浏览器的最新版本上常见的默认 - 网站的种种不工作。或者,他们的工作,但只是因为浏览器或应用程序接受“downleveling”以SSL。如果不是网站和浏览器,那么它的数以百万计的老SSH服务器那里。
OpenSSH是看似不断被黑客攻击,这些天。虽然这是事实,大约一半的OpenSSH黑客无关使用SSL,SSL漏洞占了另一半。数以百万计SSH / OpenSSH的网站仍然使用SSL,即使他们不应该。
虽然他们不使用SSL更糟的是,高科技专业人士之间的术语是导致这一问题,如在计算机安全行业的呼叫几乎每个人都TLS数字证书“SSL证书”。这就像调用复印机施乐公司时,它不是那个品牌。如果我们要加快天下客SSL,我们需要开始调用TLS证书“TLS证书。
今天立下誓言:不要使用SSL曾经,并调用Web服务器证书。它们就是这样,或者应该是这样。我们越早摆脱“SSL”这个词,它就会越早被扔进历史的垃圾箱。
注定安全技术第3号:公钥加密
这可能会让一些人,但大多数的公钥加密我们今天使用 - RSA,的Diffie-Hellman,等等 - 预计是可读的,一旦量子计算和密码都想通了。许多人,包括笔者,一直都在长(和不正确地)预测,使用量子计算是仅仅几年的时间。但是,当研究人员终于得到它的工作,大多数已知的公开加密算法,其中包括流行的,将容易被打破。世界各地的间谍机构一直保存加密机密多年等待大的突破 - 或者,如果你相信一些传言,他们已经解决了这个问题,并正在阅读我们所有的秘密。
一些专家加密,如布鲁斯,早已对量子密码学的前景感到怀疑。但即使是批评人士也不能否认,一旦它被发现,任何由RSA、Diffie-Hellman甚至ECC加密的秘密都可以立即读取的可能性。
这并不是说是不防水的量子密码算法。有几个,其中包括基于格的加密和超奇异同源键交换。但是,如果你的公开密码是完全一致的,你的运气了,如果当量子计算成为普遍。
(注:脱帽向读者托尼Ropson为教育我关于性的量子密码。)
命中注定的安全技术4:IPsec
当启用时,IPsec允许两个或更多点之间的所有网络流量都被加密保护,以保证包的完整性和隐私,也就是加密。IPsec诞生于1993年,并于1995年成为开放标准,目前得到了数百家供应商的广泛支持,并在数百万台企业计算机上使用。
与大多数注定安全防御的这篇文章中讨论,IPsec的作品和伟大工程。但它的问题是双重的。
首先,尽管它被广泛使用和部署,但它还没有达到维持更长时间使用所必需的临界量。另外,IPsec很复杂,并不是所有供应商都支持它。更糟糕的是,它常常会被源和目的地之间不支持它的一个设备击败——比如网关或负载均衡器。在许多公司,获得IPsec异常的计算机数量大于强制使用它的计算机数量。
IPsec的复杂性还会带来性能问题。当启用时,它会显著降低使用它的每个连接的速度,除非在隧道的两边都部署了专用的支持ipsec的硬件。因此,数据库等大容量事务服务器和大多数Web服务器根本无法使用它。这两种类型的服务器正是最重要数据所在的位置。如果你不能保护大部分数据,那有什么用呢?
另外,尽管IPsec是一种“通用”的开放标准,但它的实现通常不能在供应商之间工作,这是另一个阻碍IPsec被广泛采用的因素。
但丧钟IPsec是HTTPS的普及。当您启用HTTPS,你并不需要的IPsec。这是一个非此即彼/或决定,和世界说的。HTTPS赢得。只要你有一个有效的TLS数字证书和兼容的客户端,它的工作原理:没有互操作性问题,低复杂度。有一些性能的影响,但它不是明显对大多数用户。世界正在迅速成为HTTPS的默认世界。作为该进展,IPsec的死亡。
注定安全号技术5:防火墙
HTTPS的普及基本上是拼了传统防火墙的厄运。一世他在2012年写过这篇文章,创造了迷你风暴赢得我邀请在会议上世界各地的发言。
有些人会说我错了。三年后,防火墙仍然随处可见。没错,但大多数都没有配置,几乎所有不具备“最宽容的,逐块违约”规则,使一个摆在首位防火墙有价值。我遇到的大多数防火墙都过于宽松的规则。我经常看到“允许所有ANY ANY”规则,这基本上意味着防火墙是有害无益。它做什么,但减缓的网络连接。
无论如何,在定义防火墙时,它必须包含一些只允许特定的、预定义的端口的部分,这样才有用。随着世界转向仅使用HTTP的网络连接,所有的防火墙最终将只有几个规则——HTTP/HTTPS,也许还有DNS。其他协议,如ads DNS、DHCP等等,也可能开始只使用http。事实上,我无法想象未来不会只使用https。当这种情况发生时,防火墙怎么办呢?
主要保护防火墙报价,以确保对在脆弱的服务的远程攻击。远程攻击的服务,通常由一触式远程利用缓冲区溢出,曾经是最常见的攻击中利用。看着那(这罗伯特·莫里斯网络蠕虫,红色代码,冲击波和SQL监狱。但是,当是你听到的最后一次全球性的,速效缓冲区溢出蠕虫病毒的?也许不是2000年代初以来,和这些都不是那么糟糕,因为从上世纪80年代和90年代的蠕虫。从本质上讲,如果你没有一个未打补丁,脆弱的监听服务,那么你并不需要一个传统的防火墙 - 而现在你不知道。是的,你听我的权利。你并不需要一个防火墙。
防火墙厂商经常写信告诉我,他们的“先进”的防火墙已经超越了传统的防火墙,让他们值得购买的功能。嗯,我一直在等待了二十多年的“先进的防火墙”,以扭转败局。原来,他们不这样做。如果他们执行“深度包检测”或特征码扫描,它要么减慢网络流量太多,充斥着假阳性,或只攻击一小部分扫描。最“先进”的防火墙扫描几十到几百的攻击。这些日子,每天都有超过39万个新的恶意软件程序被注册,不包括所有与合法行为没有区别的黑客攻击。
即使防火墙在防止他们说,他们避免做得很完美,他们并不真正的工作,因为他们不停止的两个最大的恶意攻击大多数组织面临每天的基础上:安装补丁的软件和社会工程。
这样说吧:每一位客户的人,我知道当前正在运行的防火墙是黑客攻击的人谁不。我没有过错的防火墙。也许他们的工作这么好,早在天,黑客转移到其他种类的攻击。无论出于何种原因,防火墙是几乎无用今天已经超过十年一直在这个方向的趋势。
注定安全技术第6号:抗病毒扫描仪
根据其统计数据,你相信,恶意程序目前数量在几十到几百的数以百万计 - 这已使抗病毒扫描仪几乎无用压倒性的事实。
并非完全无用,因为它们阻止了针对普通用户的80%到99.9%的攻击。但是平均每个用户每年都会接触到数百个恶意程序;即使有最好的机会,坏家伙偶尔也会赢一次。如果你让你的电脑免于恶意软件超过一年,你已经做了一些特别的事情。