互联网是全部包资的。在移动设备和工作计算机之间,我们的生活在它上 - 但我们的在线存在已经受到安全性不足的悲惨。任何确定的黑客都可以窃听我们所说的,冒充我们,并履行各种恶意活动。
显然,需要举行互联网安全性。将安全性和隐私控制在全球通信平台上的改装安全性并不容易,但很少有人争辩说它不是绝对必要的。
为什么要是?互联网建造了糟糕吗?不,但它是为您可以信任人们的乌托邦世界而设计的。当刚才互联网被学术界和研究人员填充了与可信缔约方沟通时,信任关系并不重要或默认情况下不重要。今天它非常重要,到数据违规,身份盗窃和其他妥协已达到危机水平。
为了满足网络犯罪分子互联网的挑战,我们已经应用了一个半措施的牧群。它不起作用。我们真正需要的是新鲜,有效的信任和安全机制。
这里有几个有前途的安全建议,可以在互联网安全方面发挥作用。没有一个是全面的解决方案,但如果它们能获得足够的支持,每一个都能使互联网成为一个更安全的地方。
1.真正了解流量路由
互联网协会是一个专注于互联网标准,教育和政策的国际非营利组织,推出了一项呼吁曼,或相互达成路由安全的准则。
在MANRS下,成员网络运营商 - 主要是互联网服务提供商 - 提交实施安全控制,以确保不正确的路由器信息通过其网络传播。基于现有行业最佳实践的建议包括定义清晰的路由策略,启用源地址验证以及部署抗突擦滤波器。“最佳现行操作实践”文件在作品中。
微焦点公司安全策略高级主管杰夫•韦伯表示:“每一个注册了MANRS的互联网服务提供商都减少了他们在互联网领域的危险。”
它是网络101:数据包必须达到预期目的地,但它也重要数据包所采取的路径。如果加拿大有人试图访问Facebook,他或她的流量在到达Facebook的服务器之前,他或她的流量不应该通过中国。最近,到属于美国海军陆战队的IP地址的流量通过委内瑞拉的ISP暂时转移。如果网站流量没有使用HTTPS保障,则这些绕行会将用户活动的详细介绍给沿着意外路径的任何人。
攻击者还隐藏其始发的IP地址,简单的路由技巧。广泛实现的用户数据报协议(UDP)特别容易受到源地址欺骗的攻击,让攻击者发送似乎源自另一IP地址的数据包。分布式拒绝服务攻击和其他恶意攻击很难追踪,因为攻击者将请求与欺骗地址发送,并且响应转到欺骗地址,而不是实际始发地址。
当攻击对针对基于UDP的服务器,例如DNS,组播DNS,网络时间协议,简单服务器发现协议或简单的网络管理协议时,效果被放大。
许多ISP不了解利用常见路由问题的不同攻击。虽然一些路由问题可以粉笔倒入人为错误,但其他人是直接攻击,但ISP需要了解如何识别潜在问题并采取措施来解决它们。“ISPS必须更负责它们是如何路由流量的负责,”WebB说。“很多人都很容易受到攻击。”
ISOC于2014年推出时,共有9家网络运营商参与了这一志愿项目;现在有40多家。MANRS要想有所作为,就需要扩大规模,以便影响市场。决定不理会安全建议的isp可能会发现他们失去交易,因为客户将与符合manrs的提供商签署协议。或者较小的isp可能会面临来自较大的上游提供商的压力,这些提供商拒绝承载他们的流量,除非他们能证明他们已经实施了适当的安全措施。
如果MANRS成为所有isp和网络提供商的实际标准,那就太好了,但分散的安全社区仍然足够好。韦伯说:“如果你要求每个人都这么做,那是不可能的。”
2.加强数字证书审核和监控
有许多尝试解决SSL问题,这保护了大多数在线通信。SSL有助于确定网站是否是它声称的网站,但如果有人将证书颁发机构(CA)欺骗为欺诈性发出数字证书,则信任系统崩溃。
返回2011年,伊朗攻击者突破了荷兰语CA Diginotar并发布了证书,包括谷歌,微软和Facebook的证书。攻击者能够与这些证书和拦截业务进行中间人攻击。此攻击成功,因为浏览器将浏览证书处理的证书视为有效,尽管该网站已由不同的CA签署证书。
谷歌的证书透明度项目是一个用于监控和审计SSL证书的开放公共框架,是解决中间人问题的最新尝试。
当CA发出证书时,它将记录在公共证书日志中,并且任何人都可以查询加密证明以验证特定的证书。服务器上的监视器定期检查可疑证书的日志,包括对域的非法证书和具有异常证书扩展的人。
监视器类似于信用报告服务,因为他们发送有关恶意证书使用的警报。审核员确保日志正常工作,并验证日志中是否出现特定证书。在日志中找不到的证书是一个清晰的信号,浏览网站存在问题。
通过证书透明度,谷歌希望解决错误颁发的证书、恶意获取的证书、流氓ca和其他威胁。谷歌当然有技术支持,但它必须让用户相信这是正确的方法。
基于dns的命名实体认证(DANE)是解决SSL中间人问题的另一种尝试。DANE协议强调了一个好的技术解决方案不会自动赢得用户的观点。DANE将SSL会话固定在域名系统的安全层DNSSEC上。
虽然Dane成功地阻止了对抗SSL和其他协议的中间人攻击,但它被国家监测的幽灵困扰。丹尼依赖于DNSSEC,自政府通常拥有顶级域名的DNS,担心信任联邦当局运行安全层。采用丹尼意味着政府将有那种获取的访问证明当局掌握 - 这使得用户可以理解不安。
尽管有任何疑虑用户可能对谷歌相提并论,但该公司已向前迈进了证书透明度。它甚至最近推出了一个并行服务,谷歌潜水机关,列出了不再信任的证书机构。
3.一劳永逸地解决恶意软件问题
差不多十年前哈佛大学的伯克曼互联网和社会中心推出了Stopbadware,与谷歌,Mozilla和PayPal等技术公司为试验打击恶意软件的策略。
2010年,哈佛队将项目旋转为独立的非营利组织。STOPBADWARWARY分析了糟糕软件 - 恶意软件和间谍软件 - 提供删除信息并教育用户如何预防常规感染。用户和网站管理员可以查找URL,IP和ASN,以及报告恶意URL。科技公司,独立的安全研究人员和学术研究人员与StopbadWare合作,分享有关不同威胁的数据。
运营非营利组织的高度开销成本造成了损失,该项目根据网络安全和信息保障教授Tandy助理教授Tyler Moore博士的主持,该项目搬到了Tulsa大学。该项目仍然提供独立的测试和审查感染恶意软件的网站,并运行数据共享程序,其中公司在基于Web的恶意软件上贡献和接收实时数据。在一个工具上正在进行发展,以基于他们所经历的妥协的类型为网站管理员提供更具针对性的建议。预计秋季预计β。
但即使项目成功地解决了安全问题,它仍然必须处理如何为其运营提供资金的实际现实。
4.重塑互联网
然后是想法,互联网应该被更好,更安全的替代品替换。
Doug Crockford目前是PayPal的高级JavaScript架构师,也是JSON背后的推动力量之一SEIF.:一个开源项目,可重新互联网的所有方面。他想要重做传输协议,重新设计用户界面,并丢弃密码。简而言之,Crocford希望创建一个以安全为中心的应用程序平台来转换互联网。
SEIF建议用Cryptography键和IP地址替换DNS寻址,HTTP与TCP安全JSON,以及基于Node.js和Qt的基于JavaScript的应用程序传递系统的HTML。CSS和DOM也将在SEIF下消失。JavaScript,它的部分将仍然是构建更简单,更安全的Web应用程序的关键COG。
Crockford还有SSL依赖证书颁发机构的答案:基于公钥加密方案的相互认证方案。细节稀缺,但是这个想法取决于搜索和信任组织的公钥,而不是信任特定的CA来正确发布证书。
Seif将提供基于ECC (elliptic Curve Cryptography) 521、AES (Advanced Encryption Standard) 256和SHA (Secure Hash Algorithm) 3-256的加密服务。ECC 521公钥将提供唯一的标识符。
Seif将通过一个Helper应用程序在浏览器中实现,类似于给老式电视机安装机顶盒,以便观众能够接收高清信号。一旦浏览器厂商集成了Seif,就不再需要Helper应用程序了。
对赛义夫来说,有很多有趣的因素,但仍处于早期阶段。运行Seif会话协议的Node实现目前正在开发中。即使不知道很多细节,很明显,这个雄心勃勃的提议在提交给用户之前需要重量级的推手的支持。
例如,一个主要的浏览器制造商 - 例如,Mozilla - 需要整合帮助应用程序,并且一个主要网站必须要求所有客户使用浏览器。由于竞争压力,其他网站和浏览器将遵循,但问题仍然是任何人都有那种Clout的任何人都会爬上Seif火车。
我们从这里走的地方
WebB说,禁止一切都不会发生,因此唯一的选择是使当前的互联网更难攻击。而不是尝试立即修复一切,而是应该有较小的修复程序来使其更难滥用特定部分。
韦伯说:“当你的房子着火了,你在等着消防车来给房子浇水时,你要尽可能地节约,而不是走开去找新房子。”
没有人能控制整个互联网,更重要的是,它有大量的内置冗余和弹性。修复它不是一个单一实体的任务,而是涉及个人、公司和政府的多利益相关者的方法。isp应该负责修复基础路由问题,但他们不是唯一负责的人。DNS、服务如何部署加密以及用于连接服务的硬件设备等都存在问题。
各国政府一直在努力,特别是最近试图通过安全隐私法。它们中的大多数在回顾中悄然死去,因为它们太复杂或没有足够高的优先级。但立法的缺失并不意味着政府不应该介入。
“你必须解决所有问题,但没有一个人能解决它,”韦伯说。“如果你尽力,我也会尽力。”
安全互联网的道路铺成了许多伟大的想法,这些想法从门口翻开或因缺乏兴趣而彼得出来。盛大的计划总是很有希望,但如果他们没有考虑到技术限制,有关部署的实际现实以及通过的成本,他们不会走得很远。努力部分是鼓励支持,发展势头和引发持续承诺。
韦伯说:“如果真的有人修复了互联网,我的曾曾曾孙会为此感谢他们的。”
这个故事“如何修复互联网安全”最初是由infoworld. 。