【51CTO.com快译自12月29日外电头条】2009年即将过去,新的一年即将来到。盘点过去更有助于规划未来,IT自由撰稿人Chad Perrin分享了他在过去一年中碰到的十大安全误解。
一、做对某些事情意味着你不会犯错
不要因为做对了某些事情而沾沾自喜。尤其在安全方面更是如此。加固系统安全永远没有真正完成的时候,因为安全不是遵循好的防护行为的必然最终结果,提高安全性总有更多的事情可做。安全更像是一个过程而非目标,更像是一个旅程而非终点,更像是一种行为而非产品。
同样,如果你做对了某些事情,并不一定代表你不会犯错。在选择安全解决方案时所有人都应该牢记此点。当Coverity公司宣布它将为开源项目提供代码审核支持时,我们应该为其鼓掌,但同时会问一句,“明天的计划是什么?”当谷歌在开源许可下提供RatProxy时,我们也为其鼓掌,但也会问它:“为什么你不尊重我们的隐私?”
二、匿名与审核无法共存
包括所谓安全专家在内的许多人认为,无法做到既对一项事务进行审核同时允许参与方保持匿名。但是,这两方面并非人们所想的那样互相排斥。其中一个例子是,使用OTR加密库可以同时保证安全审核和匿名,它可以让两个人进行处于互相验证状态的联系,同时无需向任何第三方提供任何身份相关信息。
另一个例子是麻省理工学院的选票记录系统Scantegrity II,它通过使用投票序列号和选举代码来允许选民验证他们的选票是否被正确计数,同时又让他们实现了匿名投票。这种选票计数系统目前已经被成功应用在真实选举活动中。
三、推动项目成功需要GPL
开源软件社区的许多人坚称,要想***化实现一个开源项目的成功,GPL(通用公共许可协议)是必需的。他们认为,如果没有非盈利版权许可来“迫使”人们开放自己的源代码,许多重要的软件改进将无缘公众,将被闭源企业反竞争行为世界所独占。但实际情况是,非盈利版权许可同时也束缚了软件的发展,让某些企业远离了非盈利版权代码,因为担心它可能会影响公司自己的版权代码。
证明这个观点错误的例子包括网络服务器Apache的成功,它是迄今为止最成功的开源项目;SQLite被部署的范围可能比所有其它SQL数据库引擎的总和还要大;OpenSSH不仅是当今部署最广泛的加密通道软件,而且是当今最安全的安全通道框架软件。上述三个成功的软件都在自由拷贝(copyfree)许可下发布。因此,当你开发安全软件时,这种自由拷贝许可或许是一种更佳选择。
四、Ubuntu Linux是当今最安全的操作系统
长期以来许多人一直坚称Linux是最安全的操作系统,最近几年这一说法已经具体到Linux的具体版本Ubuntu,这种观点在2009年似乎变得更加流行。但实际上Linux并非当今最安全的操作系统。实际上,没有哪一个操作系统是最安全的,因为一个指定操作系统的相对安全性取决于太多因素,其中包括它被如何使用和配置,它面临的威胁种类等。——51CTO编者按:很久之前国内有篇很热的黑客小说,作者为了避免Linux的一些问题使用了OpenBSD。
五、安全厂商是专家,我们应该按他们说的做
人们经常引用赛门铁克等安全软件厂商和思科等网络硬件厂商发布的报告和白皮书,作为自己行为的安全准则。但实际上,任何人都可能犯错;厂商都有自己的利益追求,其观点需要有保留的接受。
实际上,如果我们想尽***努力来加固自己负责系统的安全,就永远不能以一个安全专家的判断来完全替代我们自己的判断。只有我们最了解自己的特定环境和需求;反病毒厂商的CEO只能站在一个更笼统广泛的立场上发表自己的观点,而且他们往往只是学舌其它人的观点。
六、加密是***的在线安全问题
加密是一个非常非常重要的在线安全问题,但是还有一个多数安全专家不会言及的“秘密”问题,它比存在缺陷或欺骗性的加密危害更严重,即加密连接另一端的人。如果连接另一端的人(或企业)把数据销售给合作厂商,或将其发布在社交网站Facebook上,那再好的加密又有什么用?
采取加密是必需的,加密的重要性毋庸置疑,只是你不能总将其称为最重要的事情。你还要警惕处于连接另一端的家伙。另外,如果你的计算机感染了rootkits和键盘记录器软件,你的加密软件可能对你没有多大帮助。这就是我为什么选择FreeBSD作为我主要操作系统的原因,微软Windows、苹果Mac OS X和其它好多操作系统不值得用户信赖。——51CTO王文文:很久之前国内有篇很热的黑客小说,作者在两军对垒时为了避免Linux的一些问题使用了OpenBSD。
七、漏洞报告越少意味着越安全
一个软件被公布的安全漏洞少,并不能说明它比其它软件安全。其中一个例子是火狐浏览器,尽管它报告了大量漏洞,但这并不能说明它具有最多漏洞。由于该软件是开源的,所有漏洞都会被公开,相比之下,Adobe和微软等专有软件厂商一般只会对有外部研究人士发现的漏洞,而不公布内部发现的漏洞。
八、发现漏洞而不公布是负责任的态度
无论我们怎么解释“无知并不代表安全”,总有人在这方面有错误看法。其中发生在2009年一个最明显的例子是,微软一直试图惩罚那些警告用户微软软件存在长期漏洞的人,而且他们只是在微软数月甚至数年无视漏洞存在之后,才向用户告警。
微软认为,安全人士谈论软件漏洞,如果恶意分子知道了相关信息,会置用户于更大的风险之中,因此我们应该让厂商秘密工作,直到它们已经准备好部署新安全补丁。当然,它们认为让用户等待数月甚至数年是可以接受的,认为简单的不解决安全问题才会真正保护用户免遭风险。
如果安全研究人士闭口不谈自己发现的漏洞,厂商自然可以按照自己的意愿悠闲自得的去慢慢推出安全补丁;但是如果安全研究人士让客户知道了漏洞信息,厂商将面临巨大压力来解决这些问题。但是问题是,如果安全专家发现了漏洞所在,恶意分子同样也可以自己发现它们。因此,无知并不代表安全。从一个漏洞被公布,到一个补丁推出,微软最快的响应时间都比Linux内核升级所需的平均时间要长得多。
九、微软是年度安全MVP
2009年,媒体对微软大加赞誉,称其“从一个安全方面的受嘲笑者变为一个安全创新者。”诚然,微软在2009年的确***了一些安全趋势,其一是成为Conficker蠕虫病毒的重要角色,另外它提出要惩罚安全研究人士“不负责任的”公布漏洞信息。
微软公关人员可能花了不少心思来说服媒体,微软已经成为当今最安全的软件厂商。它本身可能也在改进内部安全开发策略。但是,它很明显还有很长的路要走,才能成为真正的安全MVP。
十、圣诞老人可能钻进你的烟囱来给你送礼物
一个令人难过的事实是,你必须承认,即使一个营养不良的8岁小孩也钻不进现在的家庭中的烟囱,更何况圣诞老人。
尽管如此,出于安全考虑,我也不能大开房门或窗户,或者把钥匙放在门前地垫下,来让圣诞老人到我家中送礼物。如果这样做,恶意分子恐怕也会趁机而来。
【51CTO.com译稿,合作站点转载请注明原文译者和出处为51CTO.com】
原文:Major security myths of 2009 作者:Chad Perrin
【编辑推荐】
