系统性漏洞和瞬息万变的威胁环境将毁灭许多当今值得信赖的安全技术
你是否曾有过这样的经历:启动软盘上的写入保护开关,以防止启动病毒和恶意覆写;关闭调制解调器,以防止黑客在晚上打来电话;卸载ansi.sys驱动,以防止恶意文本文件重新排布键盘,让下一次敲击直接格式化你的硬盘;检查autoexec.bat和config.sys文件,以确认没有恶意条目通过插入它们进行自启动。
时过境迁,上述情况如今很难见到了。黑客们取得了进步,技术替代了过时的方式。有的时候,我们这些防御者做得如此之好,让黑客放弃了攻击,转向更有油水的目标。有的时候,某种防御功能会被淘汰,因为我们认为它不能提供足够的保护,或者存在意想不到的弱点。新的技术浪潮不论是大是小,都会带来新的威胁。黑客们迅速替换手中的技术,把去年流行的攻击方式扔进垃圾箱,而安全社区正在疲于奔命。
也许没有什么东西,能够像计算机技术一样变化如此迅速。随着科技前进步步前进,保护它的责任也越变越重。如果你在计算机安全的世界里混迹已久,可能已经见识过很多安全技术的诞生和消亡。有的时候,你就快能够解决一种新的威胁了,而威胁本身却很快过时了。攻击和技术的步伐持续前进,即使是所谓最尖端的防御技术,比如生物认证和高级防火墙,都终将失败并退出局面。下面是那些注定要进入历史教科书的安全防御技术,我们五到十年后再翻开这篇文章,一定会超出你的想像。
No.1:生物认证
在登录安全领域里,生物认证技术是十分诱人的良药。毕竟,你的脸、指纹、DNA或者其它生物标志似乎是完美的登录凭据。但这只是门外汉的见解。对专家而言,生物认证并没有看上去那么安全:如果它失窃,你本人的生物标志却无法改变。
录入你的指纹吧。大多数人只有10个。任何时候你使用指纹作为生物识别凭据进行登录,那些指纹,或者更确切地说,其数字标识,必须被存储在某处以进行比对。不幸的是,这些数字标识损坏或者被盗是太常见的现象。如果坏人偷走了它们,你怎么能分辨出真实指纹凭据和对方手中数字标识的区别?
在这种情况下,唯一的解决办法是告诉世界上的每一个系统,不要继续使用你的指纹,但这几乎不可能做到。这对任何其它生物特征标记而言都是成立的。如果坏人得到了你生物信息的数字版本,要否认自己的DNA、脸、视网膜是很难的。
还有另一种情况,如果你用于登录的那些生物特征,比如说指纹本身被破坏了呢?
加入生物识别的多因素认证是一种击败黑客的方法,比如在生物识别之外加上密码、PIN。但一些使用物理要素的双因素认证也可以很容易地做到这一点,比如智能卡、USB钥匙盘。如果丢失,管理人员可以很快地颁发给你新的物理认证方式,你也可以设置新的PIN或者密码。
尽管生物识别登录正迅速成为时髦的安全功能,它们永远都不会变得无处不在。一旦人们意识到生物识别登录并不是它们看上去的那样,这种方式将失去人气,或者消失。其运用时总是要结合另一个认证要素,或者只是用在那些不需要高安全性的场景下。
No.2:SSL
自1995年发明以来,安全套接层协议(Secure Socket Layer,SSL)存在了很长一段时间。在这二十年里,它为我们提供了充分的服务。但如果你还没有听说过的话,我们需要介绍一下Poodle攻击,它让SSL协议无可挽回地走远了。SSL的替代者传输层安全协议(Transport Layer Security,TLS)则表现稍好。在本文介绍的所有即将被扔进垃圾桶的安全技术中,SSL是最接近于被取代的。人们不应该再使用它了。
问题在哪?成百上千的网站依赖或启用了SSL。如果你禁用所有的SSL,这也是流行浏览器最新版本里的一般默认做法,各种网站都会变得无法连接。也许它们可以连接,但这只是因为浏览器或应用接受对SSL进行降级。此外,因特网上仍旧存在数百万计古老的安全Shell(Secure Shell,SSH)服务器。
OpenSSH最近似乎一直在遭到入侵。尽管大约一半的攻击事件和SSL毫无关系,但另一半都是由于SSL的漏洞引起的。数百万计的SSH/OpenSSH网站仍在使用SSL,尽管他们根本不应该这样做。
更糟糕的是,科技专家们使用的术语也在导致问题。几乎每个计算机安全行业内的人都会将TLS数字证书称为“SSL证书”,但这纯属指鹿为马:这些网站并不使用SSL。这就像是说一瓶可乐是可口可乐一样,尽管这瓶可乐可能是另外一个品牌。如果我们需要加快世界抛弃SSL的速度,就需要开始用本名称呼TLS证书。
不要再使用SSL了,并且将Web服务器证书称为TLS证书。我们越早摆脱“SSL”这个词,它就能越快地被扫进历史的垃圾堆。
No.3:公钥加密
如果量子计算的实现和配套的密码学出现,我们如今使用的大多数公钥加密技术:RSA、迪斐·海尔曼(Diffie-Hellman,DH)等等将很快变成可读状态,这可能会让一些人大吃一惊。很多人长期以来都认为可使用级别的量子计算再过几年就要到来了,但这种估计属于盲目乐观。如果研究人员真的拿出了量子计算技术,大多数已知的公钥加密方式,包括那些流行算法,都会非常容易破解。世界各地的间谍机构经年累月地秘密保存着被锁死的机密文件,等着技术大突破。而且,如果你相信一些流言的话,他们已经解决了这个问题,正在阅读我们的所有秘密。
一些密码学专家,比如布鲁斯·施耐尔(Bruce Schneier),一直以来对量子密码学的前景存有疑问。但批评家无法拒绝这种可能性:一旦它被开发出来,所有使用RSA、DF,甚至椭圆曲线(Elliptic Curve Cryptography,ECC)加密的密文瞬间变成了可读状态。
这并不是说不存在量子级的加密算法。的确有一些,比如基于格(Lattice)方法的加密、超奇异同源密码交换(Supersingular Isogeny Key Exchange)。但如果你使用的公钥不属于这类,一旦量子计算开始普及,你的坏运气就要来了。
No.4:IPsec
如果启用,IPsec会保护两点或多点间数据传输的完整性和隐私性,也即加密。这项技术发明于1993年,在1995年成为开放标准。数以百计的厂商支持IPsec,数百万计的计算机使用它。
不像本文中提到的其它例子,IPsec真的有用,而且效果很好,但它却有着另一方面的问题。
首先,虽然它被广泛使用并部署,但从没达到大而不倒的规模。其次,IPsec十分复杂,并不是所有厂商都支持它。更糟的是,如果通讯双方中的一方支持IPsec,另一方如网关或负载平衡器不支持它,通讯经常会被破解。在许多公司中,IPSec通常作为可选项存在,强制使用它的电脑很少。
IPsec的复杂性也造成了性能问题。除非你在IPsec隧道两侧都部署专门硬件,不然它就会显著减缓所有用到它的网络连接。因此,大型的事务服务器,比如数据库和大多数Web服务器根本无法支持它。而这两类服务器恰恰是存储最重要数据的地方。如果你不能用IPsec保护大部分数据,它又能带来什么好处呢?
另外,尽管它是一个“公共”的开放标准,IPsec的实现却通常无法在各个厂商之间共用,这是另一个减缓乃至阻止IPsec被广泛部署的原因。
但对IPsec而言,真正的丧钟是HTTPS得到了广泛使用。如果你启用了HTTPS,就不再需要IPsec。这是个两者必择其一的选择,世界作出了它的决定。HTTPS赢了。只要你有一份有效的TLS电子证书,一个兼容的客户端,就能使用HTTPS:没有交互问题、复杂度低。存在一些性能影响,但对大多数用户而言微不足道。全球正迅速变成一个默认使用HTTPS的世界。在这个过程中,IPsec将会死亡。
No.5:防火墙
无处不在的HTTPS基本上宣告了传统防火墙的末日。早在三年前就有人写过相关文章,但三年过去,防火墙依旧无处不在。但真实情况呢?它们大多数未经配置,几乎全部都没有配备“最低容许度,默认屏蔽”规则,然而正是这种规则才让防火墙具备了价值。相信不少人都知道大多数防火墙规则过于宽松,甚至“允许所有XXX”这样规则的防火墙也不稀罕.这样配置的防火墙基本上还不如不存在。它啥都没干,只是在拖网速后腿。
不管你怎么定义防火墙,它必须包括一个部分:只允许特定的、预配置的接口,只有这样它才能算是有用。随着这个世界向着HTTPS化迈进,最终,所有防火墙都会只剩下几条规则:HTTP、HTTPS和DNS。其它协议,比如ads DNS、DHCP等等,也会开始使用HTTPS-only。事实上,很难想象一个不是以全民HTTPS化告终的世界。当这一切来临,防火墙何去何从?
防火墙提供的主要防御功能是保护脆弱的服务免遭远程攻击。具有远程脆弱性的服务通常极易破坏,远程利用缓冲区溢出是最常见的攻击方式。看看莫里斯蠕虫( Robert Morris Internet worm )、红色警戒( Code Red )、冲击波( Blaster )和蓝宝石( SQL Slammer )吧。你能回忆起最近一次世界级缓冲区溢出蠕虫攻击出现在哪年吗?应该不会超过本世纪头几年。而这些蠕虫都还远不及上世纪八九十年代那些的威力。基本上,如果你不使用未打补丁、存在漏洞的监听服务,就不需要传统防火墙。你现在就不需要。对,你没听错。你不需要防火墙。
一些防火墙厂商经常鼓吹他们的“高级”防火墙拥有传统产品远不能及的功能。但这种所谓的“高级防火墙”只要它们进行“数据包深度检查”或签名扫描,只会导致两种结果:其一,网速大幅度下降,返回结果充斥着假阳性;其二,只扫描一小部分攻击。大多数“高级”防火墙只会扫描数十到数百种攻击。如今,每天都会 出现超过39万种新型恶意软件 ,这还不包括那些隐藏在合法活动中无法识别的。
即使防火墙真的达到了他们宣称的防护级别,它们也不是真的有效。因为如今企业面临的两种最主要的恶意攻击类型是:未打补丁的软件和社会工程。
这么说吧,是否配备防火墙都一样被黑。也许它们在过去表现太好了,导致黑客转向了别的攻击类型。但不管是什么原因,防火墙如今已经几乎没有用了,从过去十年前这个趋势就开始了。
No.6:反病毒扫描
恶意软件数量目前在数千万到上亿级别,其具体数字取决于你相信谁给出的数据。一个压倒性的事实是,反病毒扫描软件几乎已经没有用了。
但也并不是完全没用,因为它们会阻挡80到99.9%对普通用户的攻击。但普通用户每年都会接触到成百上千的恶意程序。哪怕用户手气再好,坏人也会时不时地赢上那么一两次。如果你的PC一年都没有接触到恶意软件,你一定是做了什么特别的事情。
这并不是说我们不应该为反病毒厂商喝彩。为了对抗天文数字的赔率,他们的工作量巨大。我想不到有任何一个产业能够应对恶意软件数量如此快速的增长,而且使用的还是自上世纪八十年代以来就存在的老技术,在那时候只有几十种病毒需要检测。
真正杀死反病毒扫描软件的不是恶意软件的数量,而是白名单。当今的普通计算机会运行所有你安装的程序。这使得恶意软件到处都是。但电脑和操作系统厂商已经开始改变“见什么运行什么”的模式,以提升用户的安全性。这项运动和杀毒软件是对立的。后者的逻辑是,让一切运行畅通,除了包括那些含有已知的那5亿反病毒签名的软件。“默认运行,例外禁止”正被“默认禁止,例外运行”所代替。
当然,电脑上早就有白名单程序了,也就是应用控制软件。我在2009年回顾了一些受欢迎的此类产品。问题在于:大多数人不使用白名单,即便它是内置的。最大的障碍?用户担心不能再安装所有那些乱七八糟的东西了,而且批准能在用户系统上运行的所有软件也是一项令人头疼的工程。
然而恶意软件和黑客攻击正日益普遍,厂商开始在默认情况下启用白名单。苹果的OS X系统在三年前推出了一项默认白名单功能,被称为Gatekeeper。iOS设备使用白名单机制的历史更长,除非越狱,它们只能运行被批准在App Store上架的应用。苹果漏掉了一些恶意软件,但这项工程对于阻止针对流行操作系统和程序的大量恶意软件功不可没。
微软在更早的时候就通过软件限制策略(Software Restriction Policies)和AppLocker引入了类似机制。Windows10带来的DeviceGuard则有力地推动了这项工程。微软的Windows商店采取了和苹果App Store类似的保护机制。尽管微软不会默认开启DeviceGuard,也不会默认只运行从Windows商店上安装的应用,但白名单功能已经相对健全,也比以前更易用。
一旦白名单变成了多数操作系统上的默认选项,对恶意软件而言就是游戏结束的时间,然后,对反病毒扫描软件而言也是如此。很难说人们会想念两者之中的任何一个。
No.7:反骚扰过滤
骚扰邮件仍旧占全网邮件数的一半。多亏了反骚扰过滤,你可能没有注意到这一点。反骚扰过滤真的实现了那些反病毒厂商声称的精确性,不过它们每天仍旧会漏过数以十亿计的邮件。只有两件东西可以阻止骚扰:通用的、普适的、高安全性的认证和更具结合性的国际法。
垃圾邮件发送者仍旧存在,因为我们很难轻易抓住他们。但随着互联网日益成熟,普适性的匿名将被高可信度的身份所代替。到那时,如果一个人给你发邮件说有一麻袋钱要寄给你,你能够同时确定他是否真的是他。
只有通过对每个用户的登录都采取双因素验证,才能实现高可信度的身份,然后则是高可信度的计算机和网络。发送者和接受者之间的每一个齿轮都会有更高的可靠性。这种可靠性是通过无处不在的HTTPS提供的,但要确认你就是你,还需要加入额外机制。
今天,几乎所有人都可以声称自己是某某,而我们并没有普适性的方式来验证他的说法。这将会改变。几乎每一种我们依赖的关键基础设施:交通、电力等等都需要这样的身份凭据。互联网现在还处在狂野西部的时代,但它作为基础设施的本质日益凸现,几乎必然向身份凭据化的方向发展。
国际边境问题一直在给起诉网络犯罪造成麻烦,它很可能在不久的将来得到解决。目前,许多国家不接受其它国家签发的证据和搜查令,这让逮捕诸如垃圾邮件发送者和存在其它恶意行为的人几近不可能。你可以随便收集证据,但如果攻击者的所在国不执行搜查令,你的案子就完蛋了。
随着互联网日趋成熟,那些不深挖互联网上最大的犯罪集团的国家将被惩罚。这些国家可能被登入黑名单。事实上,有些国家已经在上面了。举个例子,很多公司和网站都会拒绝所有来自中国的流量,不管它是不是合法。如前所述,一旦我们能够辨认出罪犯和他们的所属国家,其所属国家将被迫作出反应,不然就会受到惩罚。
垃圾邮件争先恐后地挤满你邮箱的好日子已经到头了。普适性的身份和国际法的变化将给垃圾邮件盖棺,当然还有那些专门打击它们的安全技术。
No.8:抗DDoS
值得庆幸的是,上述的普适性身份保护也会为拒绝服务攻击和其相关防御技术鸣起丧钟。
如今,任何人都可以使用免费的互联网工具,向任意网站发送数以十亿计的数据包。大多数操作系统都内置有拒绝服务攻击保护,也有几十家厂商能够在你被巨量虚假流量攻击时提供保护。但取消普遍的匿名性将制止所有发送拒绝服务流量的攻击者。一旦我们能够找出他们,就可以逮捕他们。
这样想一想:在上世纪二十年代,美国有很多即猖狂又著名的银行抢劫犯。银行最终加强了他们的防护,警察也能更好地识别和逮捕罪犯。强盗们仍然会袭击银行,但很少抢到钱,而且几乎总能被抓住,特别是当他们坚持要抢更多的银行时。同样的情况也会发生在拒绝服务攻击者身上,只要我们能够快速识别他们,迟早他们会带着那些让人无可奈何、头疼不已的作恶手段消失殆尽。
No.9:大体量事件日志
对计算机安全事件进行检测和警报是困难的。每台电脑每天都会产生数以万计的事件。如果将它们都存储在一个集中的日志数据库,你的存储空间很快就会爆炸。如今的事件日志系统通常以其磁盘存储阵列规模巨大而自居。
唯一的问题:这类事件日志记录没有用。几乎所有收集到的事件包都没有用并保持着未读状态,存储这些毫无用处的未读文件会带来巨大的存储成本,有些东西必须被放弃。很快,管理员就会要求应用和操作系统厂商提供给他们更多的信号和更少的噪声,去除那些没有价值的通常日志。换句话说,事件日志厂商很快就会开始吹嘘他们占用的存储空间有多小,而不是多大。
No.10:匿名工具
最后,任何关于匿名性和隐私的遗迹都将被彻底抹去。我们早就不需要它们了。在这个主题上,推荐一本新书,布鲁斯·施奈尔的《数据与歌利亚》(Data and Goliath)。如果你还没有意识到自己还剩下的隐私和匿名性有多么少,快速阅读它,它可能会吓到你死。
即使那些认为藏在Tor或者其它“暗网”设施中能够给自己带来一点匿名性幻觉的黑客也必须了解到警察逮捕网络犯罪者是多么神速。匿名者的中流砥柱们一个个被逮捕,在法庭上被指证,并被判了真实的刑期,有着真实的服刑代码,和他们的真实身份挂钩在一起。
事实是,匿名工具没有用。很多公司,当然也包括执法部门,已经知道你是谁了。未来唯一不同的是,每个人都会心中有数,停止假装他们能够隐藏自己,在网上保持匿名。
希望政府能够通过一项保障隐私的消费者权利法案,但过去的经验告诉我们,太多的公民愿意放弃隐私权,换取保护,这已经是除了互联网以外所有其它领域的准则。互联网是不是下一个,我们走着瞧~