也许没有什么,甚至没有天气,像计算机技术一样快。随着快步的进步步伐是一个严重的责任:保护它。
无论多么小或深奥,都会带来新的威胁。安全社区奴隶追寻,所有考虑的事情都对黑客迅速转移技术和方法,迅速转移技术和方法,让去年的公认攻击达到垃圾箱。
您最近必须在软盘上启用写保护槽,以防止启动病毒或恶意覆盖吗?你必须关闭你的调制解调器,以防止黑客晚上拨打它吗?您是否必须卸载您的ANSI.SYS驱动程序以防止恶意文本文件重新映射键盘以使您的下一个击键重新格式化您的硬盘驱动器?您是否查看了autoexec.bat和config.sys文件以确保没有将恶意条目插入自动启动恶意软件?
这些日子不是那么多 - 黑客已经搬弄了,而是为了防止像这些这样的旧黑客的技术不再是头脑。有时,我们的辩护者已经做了这么好的,攻击者决定继续前进到更丰富的选择。有时,特定的防御功能被删除,因为良好的家伙确定它并不是在第一个地方保护它或有意想不到的弱点。
如果你像我一样,已经在电脑安全世界已经足够了,你已经看到了很多安全技术来了。它几乎可以开始预测将改进和改进的东西,并且迟早会变得过时。攻击和技术的变化步伐是指即使是所谓的尖端防御,如生物认证和高级防火墙,最终会失败并消失。调查今天的防御技术,这是我认为目的是历史书籍。
在五到十年内检查,看看我的权利。我打赌它比你想象的更多。
注定的安全技术第1号:生物识别认证
生物识别身份验证是诱使Cure-All的用于登录安全性。毕竟,使用您的脸,指纹,DNA或其他一些生物识别标记似乎是完美的登录凭证 - 对于不专注于登录身份验证的人。就这些专家而言,就大多数人认为,生物识别方法很少是准确的。更像是,一旦被盗,你的生物识别标记就无法改变。
拿你的指纹。大多数人只有10.只要你的指纹用作生物识别登录,那些指纹 - 或者更准确地,数字表示这些指纹 - 必须存储以供将来的登录比较。不幸的是,登录凭证经常受到损害或被盗。如果坏人窃取了指纹的数字表示,任何系统如何讲述您真正的指纹和先前接受的数字表示之间的区别?
在这种情况下,唯一的解决方案可能是告诉世界上每个系统可能依赖于您的指纹不是依靠你的指纹,如果甚至可能。对于任何其他生物识别标记也是如此。如果一个糟糕的球员掌握那些生物识别标记的数字表示,你将努力地纠正你的真正的DNA,面部,视网膜扫描等。
这甚至没有考虑到系统周围的问题,如果您使用的话,只允许您登录,例如,当您无法再可靠地使用指纹时,请忘记您的指纹。然后怎样呢?
生物识别标记与秘密一起使用,只有您知道(密码,引脚,等等)是击败具有生物识别登录标记的黑客的一种方式。当然,也可以捕获心理秘密,正如常规的双因素登录凭证一样,如智能卡和USB密钥FOB所致。在这些情况下,管理员可以轻松地向您发出新的物理因素,您可以选择新的PIN或密码。当其中一个因素是你的身体而不是这种情况。
虽然生物识别登录快速成为时尚的安全功能,但有一个原因不是 - 并且不会是 - 无处不在。一旦人们意识到生物识别的登录并不是他们假装的东西,它们就会失去人气,并且消失,始终需要第二种身份验证,或者仅在不需要高保证识别时使用。
注定的安全技术2号:SSL
安全套接字层是由1995年的长消失的Netscape发明的。二十年来,它充分服务于我们。但如果你还没有听到,那就不可撤销地破碎,不可能修复,谢谢贵宾犬攻击。SSL的更换,TLS(传输层安全性)略好。在本文中讨论的所有注定的安全技术中,SSL最接近被替换,因为不再使用它。
问题?数以万计的网站依赖于或允许SSL。如果您禁用所有SSL - 最新版本的流行浏览器中的常见默认值 - 所有各种网站都不工作。或者他们将工作,但仅是因为浏览器或应用程序接受“Downleveling”到SSL。如果它不是网站和浏览器,那么它在那里的数百万旧的SSH服务器。
似乎是openssh这些天不断被黑了。虽然它是真的,大约一半的OpenSsh Hacks与SSL无关,SSL漏洞为另一半帐户。即使他们不应该,数百万的SSH / OpenSsh网站仍然使用SSL。
更糟糕的是,科技专业人员之间的术语是有助于这个问题,因为计算机安全行业的几乎每个人都会调用TLS数字证书“SSL CERTS”,尽管它们不使用SSL。这就像在不是那个品牌时叫复制机器一个Xerox。如果我们要从SSL赶上世界,我们需要开始调用TLS Certs“TLS Certs。
今天发誓:不要使用SSL曾经,并致电Web服务器证书TLS Certs。这就是他们所属或应该是的。我们越早摆脱“SSL”这个词,越早将被降级到历史的垃圾箱。
注定的安全技术第3号:公钥加密
这可能会让一些人感到惊讶,但我们今天使用的大多数公开密钥加密 - RSA,Diffie-Hellman等 - 预计一旦估计量子计算和加密,就预计就可以读取。许多包括这个作者在内的许多人已经长期(和错误地)预测可用量子计算仅仅是几年之少。但是当研究人员最终获得工作时,最着名的公共加密密码,包括流行的密码,将很容易被打破。世界各地的间谍机构一直在拯救加密的秘密,多年来等待大突破 - 或者如果你相信一些谣言,他们已经解决了这个问题并正在阅读所有的秘密。
一些加密专家,就像布鲁斯·施奈尔一样对量子密码学的承诺进行疑虑。但即使是批评者也无法解除一旦它被弄清楚的可能性,由RSA,Diffie-Hellman,甚至ECC加密的任何秘密都会立即可读。
这并不是说没有量子抗性密码算法。有一些,包括基于格子的密码学和超出的是isogeny关键交换。但是,如果您的公共密码不是其中之一,那么如果Quantum Computing变得普遍存在,那么您就逃逸了。
(注意:戴上读者Tony Ropson的帽子,用于教育我的抗量子密码。)
注定的安全技术4号:IPsec
启用后,IPsec允许在两个或多个点之间的所有网络流量在加密的数据包完整性和隐私中加密保护。1995年发明了一个开放标准,IPSec由数百家供应商广泛支持,并用于数百万企业计算机。
与本文中讨论的大多数注定的安全防御不同,IPSec工作和工作很大。但它的问题是两倍。
首先,虽然广泛使用和部署,但它从未达到过长时间保持使用所需的临界质量。此外,IPsec是复杂的,所有供应商都不支持。更糟糕的是,它通常只能在不支持它的源和目的地之间的一个设备击败 - 例如网关或负载均衡器。在许多公司中,获取IPSec异常的计算机数量大于被强制使用它的计算机数量。
IPsec的复杂性也会创造了性能问题。启用后,除非您在隧道的两侧部署专用IPSec的硬件,否则它可以显着减慢每个连接。因此,诸如数据库和大多数Web服务器之类的大批量事务服务器根本无法使用它。并且这两种类型的服务器正是最重要的数据所在的位置。如果您无法保护大多数数据,那么它是什么?
此外,尽管是“常见的”开放标准,但IPSec实现通常不会在供应商之间工作,另一个因素减慢或阻止广泛采用IPSec。
但是IPsec的死亡瘤是HTTPS的无处不在。启用HTTPS时,您不需要IPSec。这是一个/或决定,世界都说。https赢了。只要您拥有有效的TLS数字证书和兼容客户端,它就适用:没有互操作性问题,复杂性低。有一些性能影响,但它对大多数用户来说并不引人注目。世界很快成为HTTPS的默认世界。因为这一进展,IPsec死了。
注定的安全技术第5号:防火墙
HTTPS的无处不在拼写传统防火墙的厄运。一世在2012年写下了这篇文章,创造一个赢得我邀请我在世界各地的会议上发言的迷你火灾。
有些人会说我错了。三年后,防火墙仍然无处不在。TRUE,但大多数都没有配置,几乎所有都没有“最不允许的块默认默认的”规则,使防火墙首先有价值。我遇到的大多数防火墙过于允许规则。我经常看到“允许所有任何任何”规则,这实际上意味着防火墙比无用更糟糕。它无水速度缩小了网络连接。
无论如何,您定义了防火墙,它必须包含一些允许特定的预定义端口的部分才能有用。随着世界移动到HTTPS网络连接,所有防火墙最终都只有几条规则 - HTTP / HTTPS,也许是DNS。其他协议,此类广告DNS,DHCP等,也可能仅使用HTTPS-ops。事实上,我无法想象一个不止于HTTPS的未来。当发生这种情况时,防火墙是什么?
主要保护防火墙优惠是为了防止对弱势服务的远程攻击。远程弱势服务,通常由单触,远程可利用缓冲区溢出,曾经是最常见的攻击。看着那(这罗伯特莫里斯互联网蠕虫那红色代码那窜, 和SQL Slammer.。但是你最后一次听到全球,快速的缓冲区溢出蠕虫的时候?可能不是自2000年代初以来,没有人与20世纪80年代和1990年代的蠕虫一样糟糕。基本上,如果您没有未被划分的弱势聆听服务,那么您不需要传统的防火墙 - 而且现在您没有。是的,你听到了我。你不需要防火墙。
防火墙供应商经常写信告诉我他们的“高级”防火墙具有超越传统防火墙的功能,使他们的值得购买。好吧,我一直在等待超过二十年的“高级防火墙”来拯救这一天。事实证明他们没有。如果他们执行“深度数据包检查”或签名扫描,它会减慢网络流量太大,是具有误报的浪费,或仅用于小的攻击子集。大多数“高级”防火墙扫描几次到几百次攻击。这些日子,每天都有超过390,000个新的恶意软件程序,不包括与合法活动无法区分的所有黑客攻击。
即使防火墙在防止他们所说的完全工作时,他们也没有真正工作,因为他们每天不会阻止两个最大的恶意攻击大多数组织面临的攻击:未被划分的软件和社会工程。
如此:我知道目前运行防火墙的每个客户和人都像没有的人一样被攻击。我没有防火墙。也许他们在黑客转移到其他攻击的那一天中恢复得那么好。无论出于什么原因,今天的防火墙几乎没用,并且在这方面一直趋于十多年。
注定的安全技术6号:防病毒扫描仪
根据您认为谁的统计数据,恶意软件程序目前的数十万到数亿 - 这是一个呈现抗病毒扫描仪几乎无用的压倒事实。
并不完全没用,因为他们停止了80%到99.9%的攻击普通用户。但普通用户每年都会暴露在数百个恶意节目中;即使有了最好的赔率,坏人也偶尔赢了。如果您将PC保留从恶意软件超过一年以上,您就完成了一些特殊的东西。