時(shí)代在進(jìn)步：十大注定要被淘汰的安全技術(shù)

　　你是否曾有過(guò)這樣的經(jīng)歷：?jiǎn)?dòng)軟盤(pán)上的寫(xiě)入保護開(kāi)關(guān)，以防止啟動(dòng)病毒和惡意覆寫(xiě)；關(guān)閉調制解調器，以防止黑客在晚上打來(lái)電話(huà)；卸載ansi.sys 驅動(dòng)，以防止惡意文本文件重新排布鍵盤(pán)，讓下一次敲擊直接格式化你的硬盤(pán)；檢查autoexec.bat和config.sys文件，以確認沒(méi)有惡意條目通過(guò)插入它們進(jìn)行自啟動(dòng)。

　　時(shí)過(guò)境遷，上述情況如今很難見(jiàn)到了。黑客們取得了進(jìn)步，技術(shù)替代了過(guò)時(shí)的方式。有的時(shí)候，我們這些防御者做得如此之好，讓黑客放棄了攻擊，轉向更有油水的目標。有的時(shí)候，某種防御功能會(huì )被淘汰，因為我們認為它不能提供足夠的保護，或者存在意想不到的弱點(diǎn)。新的技術(shù)浪潮不論是大是小，都會(huì )帶來(lái)新的威脅。黑客們迅速替換手中的技術(shù)，把去年流行的攻擊方式扔進(jìn)垃圾箱，而安全社區正在疲于奔命。

　　也許沒(méi)有什么東西，能夠像計算機技術(shù)一樣變化如此迅速。隨著(zhù)科技前進(jìn)步步前進(jìn)，保護它的責任也越變越重。如果你在計算機安全的世界里混跡已久，可能已經(jīng)見(jiàn)識過(guò)很多安全技術(shù)的誕生和消亡。有的時(shí)候，你就快能夠解決一種新的威脅了，而威脅本身卻很快過(guò)時(shí)了。攻擊和技術(shù)的步伐持續前進(jìn)，即使是所謂最尖端的防御技術(shù)，比如生物認證和高級防火墻，都終將失敗并退出局面。下面是那些注定要進(jìn)入歷史教科書(shū)的安全防御技術(shù)，我們五到十年后再翻開(kāi)這篇文章，一定會(huì )超出你的想像。

　　No.1：生物認證

　　在登錄安全領(lǐng)域里，生物認證技術(shù)是十分誘人的良藥。畢竟，你的臉、指紋、DNA或者其它生物標志似乎是完美的登錄憑據。但這只是門(mén)外漢的見(jiàn)解。對專(zhuān)家而言，生物認證并沒(méi)有看上去那么安全：如果它失竊，你本人的生物標志卻無(wú)法改變。

　　錄入你的指紋吧。大多數人只有10個(gè)。任何時(shí)候你使用指紋作為生物識別憑據進(jìn)行登錄，那些指紋，或者更確切地說(shuō)，其數字標識，必須被存儲在某處以進(jìn)行比對。不幸的是，這些數字標識損壞或者被盜是太常見(jiàn)的現象。如果壞人偷走了它們，你怎么能分辨出真實(shí)指紋憑據和對方手中數字標識的區別？

　　在這種情況下，唯一的解決辦法是告訴世界上的每一個(gè)系統，不要繼續使用你的指紋，但這幾乎不可能做到。這對任何其它生物特征標記而言都是成立的。如果壞人得到了你生物信息的數字版本，要否認自己的DNA、臉、視網(wǎng)膜是很難的。

　　還有另一種情況，如果你用于登錄的那些生物特征，比如說(shuō)指紋本身被破壞了呢？

　　加入生物識別的多因素認證是一種擊敗黑客的方法，比如在生物識別之外加上密碼、PIN。但一些使用物理要素的雙因素認證也可以很容易地做到這一點(diǎn)，比如智能卡、USB鑰匙盤(pán)。如果丟失，管理人員可以很快地頒發(fā)給你新的物理認證方式，你也可以設置新的PIN或者密碼。

　　盡管生物識別登錄正迅速成為時(shí)髦的安全功能，它們永遠都不會(huì )變得無(wú)處不在。一旦人們意識到生物識別登錄并不是它們看上去的那樣，這種方式將失去人氣，或者消失。其運用時(shí)總是要結合另一個(gè)認證要素，或者只是用在那些不需要高安全性的場(chǎng)景下。

　　No.2：SSL

　　自1995年發(fā)明以來(lái)，安全套接層協(xié)議（Secure Socket Layer，SSL）存在了很長(cháng)一段時(shí)間。在這二十年里，它為我們提供了充分的服務(wù)。但如果你還沒(méi)有聽(tīng)說(shuō)過(guò)的話(huà)，我們需要介紹一下Poodle攻擊，它讓 SSL協(xié)議無(wú)可挽回地走遠了。SSL的替代者傳輸層安全協(xié)議（Transport Layer Security，TLS）則表現稍好。在本文介紹的所有即將被扔進(jìn)垃圾桶的安全技術(shù)中，SSL是最接近于被取代的。人們不應該再使用它了。

　　問(wèn)題在哪？成百上千的網(wǎng)站依賴(lài)或啟用了SSL。如果你禁用所有的SSL，這也是流行瀏覽器最新版本里的一般默認做法，各種網(wǎng)站都會(huì )變得無(wú)法連接。也許它們可以連接，但這只是因為瀏覽器或應用接受對SSL進(jìn)行降級。此外，因特網(wǎng)上仍舊存在數百萬(wàn)計古老的安全Shell（Secure Shell，SSH）服務(wù)器。

　　OpenSSH最近似乎一直在遭到入侵。盡管大約一半的攻擊事件和SSL毫無(wú)關(guān)系，但另一半都是由于SSL的漏洞引起的。數百萬(wàn)計的SSH/OpenSSH網(wǎng)站仍在使用SSL，盡管他們根本不應該這樣做。

　　更糟糕的是，科技專(zhuān)家們使用的術(shù)語(yǔ)也在導致問(wèn)題。幾乎每個(gè)計算機安全行業(yè)內的人都會(huì )將TLS數字證書(shū)稱(chēng)為“SSL證書(shū)”，但這純屬指鹿為馬：這些網(wǎng)站并不使用SSL。這就像是說(shuō)一瓶可樂(lè )是可口可樂(lè )一樣，盡管這瓶可樂(lè )可能是另外一個(gè)品牌。如果我們需要加快世界拋棄SSL的速度，就需要開(kāi)始用本名稱(chēng)呼TLS 證書(shū)。

　　不要再使用SSL了，并且將Web服務(wù)器證書(shū)稱(chēng)為T(mén)LS證書(shū)。我們越早擺脫“SSL”這個(gè)詞，它就能越快地被掃進(jìn)歷史的垃圾堆。

　　No.3：公鑰加密

　　如果量子計算的實(shí)現和配套的密碼學(xué)出現，我們如今使用的大多數公鑰加密技術(shù)：RSA、迪斐·海爾曼（Diffie-Hellman，DH）等等將很快變成可讀狀態(tài)，這可能會(huì )讓一些人大吃一驚。很多人長(cháng)期以來(lái)都認為可使用級別的量子計算再過(guò)幾年就要到來(lái)了，但這種估計屬于盲目樂(lè )觀(guān)。如果研究人員真的拿出了量子計算技術(shù)，大多數已知的公鑰加密方式，包括那些流行算法，都會(huì )非常容易破解。世界各地的間諜機構經(jīng)年累月地秘密保存著(zhù)被鎖死的機密文件，等著(zhù)技術(shù)大突破。而且，如果你相信一些流言的話(huà)，他們已經(jīng)解決了這個(gè)問(wèn)題，正在閱讀我們的所有秘密。

　　一些密碼學(xué)專(zhuān)家，比如布魯斯·施耐爾（Bruce Schneier），一直以來(lái)對量子密碼學(xué)的前景存有疑問(wèn)。但批評家無(wú)法拒絕這種可能性：一旦它被開(kāi)發(fā)出來(lái)，所有使用RSA、DF，甚至橢圓曲線(xiàn)（Elliptic Curve Cryptography，ECC）加密的密文瞬間變成了可讀狀態(tài)。

　　這并不是說(shuō)不存在量子級的加密算法。的確有一些，比如基于格（Lattice）方法的加密、超奇異同源密碼交換（Supersingular Isogeny Key Exchange）。但如果你使用的公鑰不屬于這類(lèi)，一旦量子計算開(kāi)始普及，你的壞運氣就要來(lái)了。

　　No.4：IPsec

　　如果啟用，IPsec會(huì )保護兩點(diǎn)或多點(diǎn)間數據傳輸的完整性和隱私性，也即加密。這項技術(shù)發(fā)明于1993年，在1995年成為開(kāi)放標準。數以百計的廠(chǎng)商支持IPsec，數百萬(wàn)計的計算機使用它。

　　不像本文中提到的其它例子，IPsec真的有用，而且效果很好，但它卻有著(zhù)另一方面的問(wèn)題。

　　首先，雖然它被廣泛使用并部署，但從沒(méi)達到大而不倒的規模。其次，IPsec十分復雜，并不是所有廠(chǎng)商都支持它。更糟的是，如果通訊雙方中的一方支持 IPsec，另一方如網(wǎng)關(guān)或負載平衡器不支持它，通訊經(jīng)常會(huì )被破解。在許多公司中，IPSec通常作為可選項存在，強制使用它的電腦很少。

　　IPsec的復雜性也造成了性能問(wèn)題。除非你在IPsec隧道兩側都部署專(zhuān)門(mén)硬件，不然它就會(huì )顯著(zhù)減緩所有用到它的網(wǎng)絡(luò )連接。因此，大型的事務(wù)服務(wù)器，比如數據庫和大多數Web服務(wù)器根本無(wú)法支持它。而這兩類(lèi)服務(wù)器恰恰是存儲最重要數據的地方。如果你不能用IPsec保護大部分數據，它又能帶來(lái)什么好處呢？

　　另外，盡管它是一個(gè)“公共”的開(kāi)放標準，IPsec的實(shí)現卻通常無(wú)法在各個(gè)廠(chǎng)商之間共用，這是另一個(gè)減緩乃至阻止IPsec被廣泛部署的原因。

　　但對IPsec而言，真正的喪鐘是HTTPS得到了廣泛使用。如果你啟用了HTTPS，就不再需要IPsec。這是個(gè)兩者必擇其一的選擇，世界作出了它的決定。HTTPS贏(yíng)了。只要你有一份有效的TLS電子證書(shū)，一個(gè)兼容的客戶(hù)端，就能使用HTTPS：沒(méi)有交互問(wèn)題、復雜度低。存在一些性能影響，但對大多數用戶(hù)而言微不足道。全球正迅速變成一個(gè)默認使用HTTPS的世界。在這個(gè)過(guò)程中，IPsec將會(huì )死亡。

　　No.5：防火墻

　　無(wú)處不在的HTTPS基本上宣告了傳統防火墻的末日。早在三年前就有人寫(xiě)過(guò)相關(guān)文章，但三年過(guò)去，防火墻依舊無(wú)處不在。但真實(shí)情況呢？它們大多數未經(jīng)配置，幾乎全部都沒(méi)有配備“最低容許度，默認屏蔽”規則，然而正是這種規則才讓防火墻具備了價(jià)值。相信不少人都知道大多數防火墻規則過(guò)于寬松，甚至“允許所有XXX”這樣規則的防火墻也不稀罕。這樣配置的防火墻基本上還不如不存在。它啥都沒(méi)干，只是在拖網(wǎng)速后腿。

　　不管你怎么定義防火墻，它必須包括一個(gè)部分：只允許特定的、預配置的接口，只有這樣它才能算是有用。隨著(zhù)這個(gè)世界向著(zhù)HTTPS化邁進(jìn)，最終，所有防火墻都會(huì )只剩下幾條規則：HTTP、HTTPS和DNS。其它協(xié)議，比如ads DNS、DHCP等等，也會(huì )開(kāi)始使用HTTPS-only。事實(shí)上，很難想象一個(gè)不是以全民HTTPS化告終的世界。當這一切來(lái)臨，防火墻何去何從？

　　防火墻提供的主要防御功能是保護脆弱的服務(wù)免遭遠程攻擊。具有遠程脆弱性的服務(wù)通常極易破壞，遠程利用緩沖區溢出是最常見(jiàn)的攻擊方式?？纯茨锼谷湎x(chóng)（Robert Morris Internet worm）、紅色警戒（Code Red）、沖擊波（Blaster）和藍寶石（SQL Slammer）吧。你能回憶起最近一次世界級緩沖區溢出蠕蟲(chóng)攻擊出現在哪年嗎？應該不會(huì )超過(guò)本世紀頭幾年。而這些蠕蟲(chóng)都還遠不及上世紀八九十年代那些的威力?；旧?，如果你不使用未打補丁、存在漏洞的監聽(tīng)服務(wù)，就不需要傳統防火墻。你現在就不需要。對，你沒(méi)聽(tīng)錯。你不需要防火墻。

　　一些防火墻廠(chǎng)商經(jīng)常鼓吹他們的“高級”防火墻擁有傳統產(chǎn)品遠不能及的功能。但這種所謂的“高級防火墻”只要它們進(jìn)行“數據包深度檢查”或簽名掃描，只會(huì )導致兩種結果：其一，網(wǎng)速大幅度下降，返回結果充斥著(zhù)假陽(yáng)性；其二，只掃描一小部分攻擊。大多數“高級”防火墻只會(huì )掃描數十到數百種攻擊。如今，每天都會(huì )出現超過(guò)39萬(wàn)種新型惡意軟件，這還不包括那些隱藏在合法活動(dòng)中無(wú)法識別的。

　　即使防火墻真的達到了他們宣稱(chēng)的防護級別，它們也不是真的有效。因為如今企業(yè)面臨的兩種最主要的惡意攻擊類(lèi)型是：未打補丁的軟件和社會(huì )工程。

　　這么說(shuō)吧，是否配備防火墻都一樣被黑。也許它們在過(guò)去表現太好了，導致黑客轉向了別的攻擊類(lèi)型。但不管是什么原因，防火墻如今已經(jīng)幾乎沒(méi)有用了，從過(guò)去十年前這個(gè)趨勢就開(kāi)始了。

　　No.6：反病毒掃描

　　惡意軟件數量目前在數千萬(wàn)到上億級別，其具體數字取決于你相信誰(shuí)給出的數據。一個(gè)壓倒性的事實(shí)是，反病毒掃描軟件幾乎已經(jīng)沒(méi)有用了。

　　但也并不是完全沒(méi)用，因為它們會(huì )阻擋80到99.9%對普通用戶(hù)的攻擊。但普通用戶(hù)每年都會(huì )接觸到成百上千的惡意程序。哪怕用戶(hù)手氣再好，壞人也會(huì )時(shí)不時(shí)地贏(yíng)上那么一兩次。如果你的PC一年都沒(méi)有接觸到惡意軟件，你一定是做了什么特別的事情。

　　這并不是說(shuō)我們不應該為反病毒廠(chǎng)商喝彩。為了對抗天文數字的賠率，他們的工作量巨大。我想不到有任何一個(gè)產(chǎn)業(yè)能夠應對惡意軟件數量如此快速的增長(cháng)，而且使用的還是自上世紀八十年代以來(lái)就存在的老技術(shù)，在那時(shí)候只有幾十種病毒需要檢測。

　　真正殺死反病毒掃描軟件的不是惡意軟件的數量，而是白名單。當今的普通計算機會(huì )運行所有你安裝的程序。這使得惡意軟件到處都是。但電腦和操作系統廠(chǎng)商已經(jīng)開(kāi)始改變“見(jiàn)什么運行什么”的模式，以提升用戶(hù)的安全性。這項運動(dòng)和殺毒軟件是對立的。后者的邏輯是，讓一切運行暢通，除了包括那些含有已知的那5億反病毒簽名的軟件。“默認運行，例外禁止”正被“默認禁止，例外運行”所代替。

　　當然，電腦上早就有白名單程序了，也就是應用控制軟件。我在2009年回顧了一些受歡迎的此類(lèi)產(chǎn)品。問(wèn)題在于：大多數人不使用白名單，即便它是內置的。最大的障礙？用戶(hù)擔心不能再安裝所有那些亂七八糟的東西了，而且批準能在用戶(hù)系統上運行的所有軟件也是一項令人頭疼的工程。

　　然而惡意軟件和黑客攻擊正日益普遍，廠(chǎng)商開(kāi)始在默認情況下啟用白名單。蘋(píng)果的OS X系統在三年前推出了一項默認白名單功能，被稱(chēng)為Gatekeeper。iOS設備使用白名單機制的歷史更長(cháng)，除非越獄，它們只能運行被批準在A(yíng)pp Store上架的應用。蘋(píng)果漏掉了一些惡意軟件，但這項工程對于阻止針對流行操作系統和程序的大量惡意軟件功不可沒(méi)。

　　微軟在更早的時(shí)候就通過(guò)軟件限制策略（Software Restriction Policies）和AppLocker引入了類(lèi)似機制。Windows10帶來(lái)的DeviceGuard則有力地推動(dòng)了這項工程。微軟的Windows 商店采取了和蘋(píng)果App Store類(lèi)似的保護機制。盡管微軟不會(huì )默認開(kāi)啟DeviceGuard，也不會(huì )默認只運行從Windows商店上安裝的應用，但白名單功能已經(jīng)相對健全，也比以前更易用。

　　一旦白名單變成了多數操作系統上的默認選項，對惡意軟件而言就是游戲結束的時(shí)間，然后，對反病毒掃描軟件而言也是如此。很難說(shuō)人們會(huì )想念兩者之中的任何一個(gè)。

　　No.7：反騷擾過(guò)濾

　　騷擾郵件仍舊占全網(wǎng)郵件數的一半。多虧了反騷擾過(guò)濾，你可能沒(méi)有注意到這一點(diǎn)。反騷擾過(guò)濾真的實(shí)現了那些反病毒廠(chǎng)商聲稱(chēng)的精確性，不過(guò)它們每天仍舊會(huì )漏過(guò)數以十億計的郵件。只有兩件東西可以阻止騷擾：通用的、普適的、高安全性的認證和更具結合性的國際法。

　　垃圾郵件發(fā)送者仍舊存在，因為我們很難輕易抓住他們。但隨著(zhù)互聯(lián)網(wǎng)日益成熟，普適性的匿名將被高可信度的身份所代替。到那時(shí)，如果一個(gè)人給你發(fā)郵件說(shuō)有一麻袋錢(qián)要寄給你，你能夠同時(shí)確定他是否真的是他。

　　只有通過(guò)對每個(gè)用戶(hù)的登錄都采取雙因素驗證，才能實(shí)現高可信度的身份，然后則是高可信度的計算機和網(wǎng)絡(luò )。發(fā)送者和接受者之間的每一個(gè)齒輪都會(huì )有更高的可靠性。這種可靠性是通過(guò)無(wú)處不在的HTTPS提供的，但要確認你就是你，還需要加入額外機制。

　　今天，幾乎所有人都可以聲稱(chēng)自己是某某，而我們并沒(méi)有普適性的方式來(lái)驗證他的說(shuō)法。這將會(huì )改變。幾乎每一種我們依賴(lài)的關(guān)鍵基礎設施：交通、電力等等都需要這樣的身份憑據?；ヂ?lián)網(wǎng)現在還處在狂野西部的時(shí)代，但它作為基礎設施的本質(zhì)日益凸現，幾乎必然向身份憑據化的方向發(fā)展。

　　國際邊境問(wèn)題一直在給起訴網(wǎng)絡(luò )犯罪造成麻煩，它很可能在不久的將來(lái)得到解決。目前，許多國家不接受其它國家簽發(fā)的證據和搜查令，這讓逮捕諸如垃圾郵件發(fā)送者和存在其它惡意行為的人幾近不可能。你可以隨便收集證據，但如果攻擊者的所在國不執行搜查令，你的案子就完蛋了。

　　隨著(zhù)互聯(lián)網(wǎng)日趨成熟，那些不深挖互聯(lián)網(wǎng)上最大的犯罪集團的國家將被懲罰。這些國家可能被登入黑名單。事實(shí)上，有些國家已經(jīng)在上面了。舉個(gè)例子，很多公司和網(wǎng)站都會(huì )拒絕所有來(lái)自中國的流量，不管它是不是合法。如前所述，一旦我們能夠辨認出罪犯和他們的所屬?lài)?，其所屬?lài)覍⒈黄茸鞒龇磻?，不然就?huì )受到懲罰。

　　垃圾郵件爭先恐后地擠滿(mǎn)你郵箱的好日子已經(jīng)到頭了。普適性的身份和國際法的變化將給垃圾郵件蓋棺，當然還有那些專(zhuān)門(mén)打擊它們的安全技術(shù)。

　　No.8：抗DDoS

　　值得慶幸的是，上述的普適性身份保護也會(huì )為拒絕服務(wù)攻擊和其相關(guān)防御技術(shù)鳴起喪鐘。

　　如今，任何人都可以使用免費的互聯(lián)網(wǎng)工具，向任意網(wǎng)站發(fā)送數以十億計的數據包。大多數操作系統都內置有拒絕服務(wù)攻擊保護，也有幾十家廠(chǎng)商能夠在你被巨量虛假流量攻擊時(shí)提供保護。但取消普遍的匿名性將制止所有發(fā)送拒絕服務(wù)流量的攻擊者。一旦我們能夠找出他們，就可以逮捕他們。

　　這樣想一想：在上世紀二十年代，美國有很多即猖狂又著(zhù)名的銀行搶劫犯。銀行最終加強了他們的防護，警察也能更好地識別和逮捕罪犯。強盜們仍然會(huì )襲擊銀行，但很少搶到錢(qián)，而且幾乎總能被抓住，特別是當他們堅持要搶更多的銀行時(shí)。同樣的情況也會(huì )發(fā)生在拒絕服務(wù)攻擊者身上，只要我們能夠快速識別他們，遲早他們會(huì )帶著(zhù)那些讓人無(wú)可奈何、頭疼不已的作惡手段消失殆盡。

　　No.9：大體量事件日志

　　對計算機安全事件進(jìn)行檢測和警報是困難的。每臺電腦每天都會(huì )產(chǎn)生數以萬(wàn)計的事件。如果將它們都存儲在一個(gè)集中的日志數據庫，你的存儲空間很快就會(huì )爆炸。如今的事件日志系統通常以其磁盤(pán)存儲陣列規模巨大而自居。

　　唯一的問(wèn)題：這類(lèi)事件日志記錄沒(méi)有用。幾乎所有收集到的事件包都沒(méi)有用并保持著(zhù)未讀狀態(tài)，存儲這些毫無(wú)用處的未讀文件會(huì )帶來(lái)巨大的存儲成本，有些東西必須被放棄。很快，管理員就會(huì )要求應用和操作系統廠(chǎng)商提供給他們更多的信號和更少的噪聲，去除那些沒(méi)有價(jià)值的通常日志。換句話(huà)說(shuō)，事件日志廠(chǎng)商很快就會(huì )開(kāi)始吹噓他們占用的存儲空間有多小，而不是多大。

　　No.10：匿名工具

　　最后，任何關(guān)于匿名性和隱私的遺跡都將被徹底抹去。我們早就不需要它們了。在這個(gè)主題上，推薦一本新書(shū)，布魯斯·施奈爾的《數據與歌利亞》（Data and Goliath）。如果你還沒(méi)有意識到自己還剩下的隱私和匿名性有多么少，快速閱讀它，它可能會(huì )嚇到你死。

　　即使那些認為藏在Tor或者其它“暗網(wǎng)”設施中能夠給自己帶來(lái)一點(diǎn)匿名性幻覺(jué)的黑客也必須了解到警察逮捕網(wǎng)絡(luò )犯罪者是多么神速。匿名者的中流砥柱們一個(gè)個(gè)被逮捕，在法庭上被指證，并被判了真實(shí)的刑期，有著(zhù)真實(shí)的服刑代碼，和他們的真實(shí)身份掛鉤在一起。

　　事實(shí)是，匿名工具沒(méi)有用。很多公司，當然也包括執法部門(mén)，已經(jīng)知道你是誰(shuí)了。未來(lái)唯一不同的是，每個(gè)人都會(huì )心中有數，停止假裝他們能夠隱藏自己，在網(wǎng)上保持匿名。

　　希望政府能夠通過(guò)一項保障隱私的消費者權利法案，但過(guò)去的經(jīng)驗告訴我們，太多的公民愿意放棄隱私權，換取保護，這已經(jīng)是除了互聯(lián)網(wǎng)以外所有其它領(lǐng)域的準則?；ヂ?lián)網(wǎng)是不是下一個(gè)，我們走著(zhù)瞧~