2015 年即将过去,在这一年中计算机安全的形势都发生了哪些变化呢?最近 InfoWorld 安全方面的专栏作者 Roger A. Grimes 发表了一篇文章,总结了他在 2015 年看到的一些将会改变计算机安全的趋势。
匿名?实际上几乎没有匿名!
人们在网上冲浪时所信赖的匿名仅仅是一种错觉,是一种欺诈行为,实际上现在几乎没有匿名。例如,人们使用 Tor 很大程度上是因为它能提供匿名保护,但很显然这是一种错误的认识,因为如果有人真的想找到你,那么你无论如何都难以隐藏,即使是学生都能够找到你。
对于黑客也是如此,那些匿名的以及所谓匿名的黑客组织成员经常被逮捕。 Lizard Squad 就是一个例子,该超级黑客组织非常善于隐藏自己的身份,但最终也逃脱不了被逮捕的命运。实际上,有时候黑客所使用的服务器,加密密钥已经完全在政府的控制之下,只是他们浑然不知。黑客尚且如此,何况普通的网民呢?
隐私比以往任何时候都更重要
大型供应商都在尽量地保护用户数据和通信的安全,例如在默认情况下,Apple 会对所有的客户数据进行加密,即使是自己也不能解码,而很多其他的公司也在效仿该做法。同时,很多较大型的公司都有或者正在招募首席隐私官,就连之前对用户隐私并没有表现出足够尊重的公司也是如此,有些公司甚至将政府要求获取用户隐私的行为状告到了最高法院。但对用户而言,大部分人依然在默许自己的隐私被侵犯,并没有表现出足够的关注。
物联网带来了更大的安全挑战
越来越多的设备要获取 IP 地址,就连烤面包机都需要,它们正慢慢变成生活的一部分,但此类设备大部分都存在严重的安全风险,如果不及时处理,很有可能会对人们造成持续性地伤害。随着获取 IP 设备的增多,问题出现的几率也在增大,特别是当网络受到恶意软件或者恶意网络犯罪蹂躏的时候更是如此。
此外,意想不到的 bug 也有可能造成比真正的坏人更严重的伤害。例如,多年以前一个心脏监护病房由于电源中断而导致设备打印了错误的实验结果,并最终导致病人由于错误的诊断和治疗而死亡。
容器时代已经到来,但进一步增加了复杂性
像 10 年前虚拟机的拥护者一样,容器的追捧者也在夸大其自身的安全能力。10 年前,每一个虚拟机供应商都在吹捧自己的产品能够降低安全风险。但实际上非虚拟机系统所面对的安全问题虚拟机也有,时间证明黑客攻击并没有因为虚拟机而减少。对于容器也是这样,虽然其拥护者宣称应用和操作系统的相互分离能增强安全性,但事实并非如此,容器增加了复杂性,有与非容器系统一样的问题。另外,容器还增加了应用层的风险,所以不要听信传言。
每一个漏洞都有卡通符号
每一个漏洞和恶意程序现在都伴随着一个完整的广告活动,它们不仅有自己的名字,还有品牌和 Logo。例如 Google 最近的 FireEye 漏洞被标识为“666”。
TLS 取代了 SSL
SSL 是一个老的、残缺的、脆弱的协议,它最终消亡了,并被TLS 所取代。但是请确保你的网站使用的是最新版本的TLS(写本文时是1.2),因为运行老版本的TLS 和运行众所周知非常脆弱的SSL 一样糟糕。
越来越多的黑客被逮捕
2015 年被逮捕的黑客比起以往要多得多,虽然这也只是其中的一小部分,但有总比没有好,这说明人们对安全越来越重视。
感谢魏星对本文的审校。
给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ , @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群(已满),InfoQ 读者交流群(#2))。
评论