互联网包罗万象,从移动设备到办公电脑,到电子购物,到预定各种活动,沟通交流。很难想像离了互联网,我们将会怎样?但我们的网上生活很悲剧地被漏洞百出的安全性打败了。只要想干,黑客总能窃听到我们的交谈,冒充我们的身份,进行各种各样的恶意活动。
很明显,我们需要重新思考互联网安全。对全球性通信平台进行安全和隐私控制翻新不是件容易的事,但没人会否认这么做的绝对必要性。
为什么呢?是因为互联网设计不好?非也。但它设计之初确实只是给人人互信的乌托邦世界使用的。互联网雏形在只与可信团体通信的学术界流行的时候,信任关系实现不好,或者通信默认不安全并不是什么重要的事。而在数据泄露、身份盗窃和其他攻击事件到达危机水平的今天,信任关系和通信安全就不可忽视了。
为应对互联网被网络罪犯充斥的挑战,我们采用了很多折衷办法的大杂烩。但这没用。我们真正需要的,是全新的、有效的信任和安全机制。
以下便给出几个前景光明的安全提案,或许能为互联网安全带来一阵清风。它们不是什么全盘适用的解决方案,但如果能获得支持,每一个都能让互联网更安全一点。
1. 真正了解流量路由
互联网社会( Internet Society ),一个专注于互联网标准、教育和策略的国际性非盈利组织,发起了一项名为路由安全互商规范(MANRS)的倡议。
该规范下,主要由互联网服务提供商(ISP)组成的成员网络运营者,承诺实现安全控制,以确保不当路由信息不会通过他们的网络传播。这些基于业界现有最佳实践的提议,包括了定义清晰的路由策略、具备原地址验证能力、部署反欺骗过滤器等。还有一个“最佳当前操作实践”文档正在筹备中。
英国Micro Focus科技公司安全战略高级总监吉奥夫·韦伯说:“每个签署了MANRS规范的ISP都在各自的范围内减小危险。”
这就是网络准则:数据包必须到达既定的目的地,但经由的路线一样重要。如果身处加拿大的某人试图访问Facebook,他/她的流量就不应该在到达Facebook服务器之前经过中国。最近,有通往美国海军陆战队IP地址的流量被临时改道通过了委内瑞拉的ISP。如果网站流量不是经HTTPS保护的,这些改道终会暴露流经其上的用户行为。
攻击者还会利用简单的路由花招,隐藏他们的原始IP地址。广泛使用的用户数据报协议(UDP)就对原地址欺骗束手无措,攻击者可以用它发送看起来好似来自另一个IP的数据包。分布式拒绝服务(DDoS)攻击和其他恶意攻击难以追踪,因为攻击者会用伪造的地址发送请求,而响应也就发回到了伪装地址而非真正的原始地址。
一旦这些攻击是针对基于UDP的服务器,比如域名服务器(DNS)、多播DNS、网络时间协议(NTP)、简单服务器发现协议(SSDP),或者简单网络管理协议(SNMP),效果还会倍增。
很多ISP都会忽略掉利用常见路由问题的各种攻击。尽管有些路由问题可归咎于人为失误,其他的却是直接攻击,而ISP需要学会怎样识别潜在问题并采取措施修复它们。ISP们必须对自身路由方式更负责一点,他们太容易遭到攻击了。
国际互联网协会(ISOC)在2014年启动这一志愿项目之时有9家网络运营商参与其中,现在,参与者扩大到了40多家。MANRS想要具备市场影响力,就必须扩大参与范围。选择不去遵从该安全建议的ISP可能会发现自己的业务正在萎缩——因为客户更愿意与遵从MANRS的提供商签单。小型ISP则可能会面临上游大型提供商的压力,除非他们展示出已经实现了合适的安全措施,否则大型提供商将会拒绝负载他们的流量。
MANRS若能成为所有ISP和网络提供商的实际标准,那是件好事,但零散的安全社区也未必不够好。强拧的瓜不甜,强求所有人都按一个标准来,这个标准必然不能成立。
2. 加强数字证书审计和监控
在线通信的主体基本是由SSL保护的,解决SSL问题的尝试也层出不穷。SSL能帮助鉴别网站真伪,但若证书颁发机构(CA)被骗,误向假网站颁发了数字证书,那信任系统就被打破了。
2011年,一名伊朗攻击者摸进了荷兰证书颁发机构DigiNotar的系统,签发了包括谷歌、微软、Facebook在内的诸多证书。利用这些证书,攻击者可以进行中间人攻击,拦截这些网站的流量。由于浏览器不检查网站证书的签发机构是否一致,攻击者即使用的是DigiNotar签发的证书,浏览器也认为是有效证书而使得攻击大获成功。
谷歌的证书透明( Certificate Transparency )计划——一个开源SSL证书监测和审计框架,是最新的中间人问题解决尝试。
CA颁发证书时,公开证书日志里会记下颁发动作,任何人都可以查询加密证明来核实某个证书。服务器上的监测程序会周期性检查日志,查看是否有错误颁发给某个域的非法证书,或者带有不常见证书扩展名的可疑证书。
监测程序与信用报告服务类似,都是针对恶意证书使用/信用记录发送警告。审计程序确保日志正常工作,验证特定证书是否记录在案。没在日志中找到的证书,对浏览器而言,无异于该网站上飘着明晃晃“我有问题”标志。
谷歌推行证书透明计划的目的,是为了解决错误颁发的证书、恶意获取的证书、骗子CA等问题。谷歌无疑手握技术,但说服用户这是正确的解决之道也是他们不得不做的事。
基于DNS的命名实体认证(DANE),是解决SSL中间人问题的另一尝试。DANE协议再次证明:正确的技术解决方案不能自动赢取用户。DANE将SSL会话与域名系统的DNSSEC安全层相关联。
尽管DANE能成功阻止SSL和其他协议上的中间人攻击,却笼上了国家监视的疑云。DANE依赖于DNSSEC,由于顶级域名的DNS通常都掌握在各个政府手里,采纳DANE,意味着政府拥有与CA同样的访问权,因此,用户对政府机构运营安全层有担忧也就很正常了。
不过,虽然用户在信任谷歌上有疑虑,该公司依然推进了证书透明计划,最近甚至还发布了一项平行服务——谷歌潜水员( Google Submariner ),列出不再被信任的证书颁发机构。
3. 彻底解决恶意软件问题
大约10年前,哈佛大学伯克曼互联网与社会中心( Berkman Center for Internet &Society )启动了“阻止坏软件(StopBadware)”项目,联合谷歌、Mozilla、贝宝等科技公司,尝试对抗恶意软件的策略。
2010年,哈佛将该项目作为独立非盈利项目剥离。StopBadware分析坏软件——恶意软件和间谍软件之类的,提供删除信息,教育用户怎样防止再次感染。用户和网站管理员可以查询URL、IP和自治系统号(ASN),也可以报告恶意URL。科技公司、独立安全研究员和学术研究员携手StopBadware,共享威胁数据。
运营非盈利项目的开销难以负担,该项目被交到了美国塔尔萨大学坦迪计算机科学学院网络安全与信息保障助理教授泰勒·莫尔的手上。StopBadware项目依然提供对恶意软件感染网站的独立测试和审查,也运营有数据共享项目供公司提交和接收Web恶意软件的实时数据。一款特别针对网站管理员的攻击类型分析工具也在开发中,今年初秋应该能出β版。
但是,即便某个项目能完美解决安全问题,怎样资助其运营依然是摆在面前的实际问题。
4. 重造互联网
于是,互联网应被更好更安全的方案替代的想法就出炉了。
道格·克罗福德,贝宝JavaScript高级架构师,JSON驱动力量之一,提出了Seif:重塑互联网各方各面的开源项目。他想要重做传输协议,重设计用户界面,扔掉密码。简言之,创建专注安全的应用平台来转型互联网。
Seif打算用密钥+IP地址替代DNS寻址,用TCP上的安全JSON代替HTTP,用基于 Node.js 和 Qt. CSS 的JavaScript应用交付系统代替HTML,而且DOMs在Seif里也将消失无踪。就其本身而言,JavaScript依然是打造更简单更安全Web应用的关键一环。
克罗福德对SSL的证书机构依赖问题也有自己的答案:基于公钥加密框架的双向认证方案。具体细节尚未透露,但该想法建立在用查找和信任某实体的公钥来代替信任具体CA会正确颁发证书上。
Seif将主打基于ECC(椭圆曲线加密)521、AES(高级加密标准)256和SHA(安全散列算法)3-256的加密服务。ECC 521公钥将提供唯一标识符。
类似于安置机顶盒接收高清信号兼容老款电视机,Seif将以浏览器辅助应用的形式实现。一旦浏览器厂商集成了Seif,辅助应用也就不必要了。
Seif有趣的元素很多,但它尚在早期阶段。运行Seif会话协议的Node实现目前处于开发过程中。不过,即使缺乏很多细节上的认知,Seif明显是个极具野心的提案,在面试之前必然需要很多重量级大佬的支持。
比如说,某家主流浏览器厂商集成进辅助应用,某家主流网站要求所有客户使用这款浏览器。这样,迫于竞争压力,其他网站和浏览器也会跟进。不过,重压之下他们会不会登上Seif列车依然存疑。
迈向何方
把一切推倒重来显然不现实,如此,唯一选项就是让现有互联网更难以被攻击。与其妄图一口气修复全部,不如让一点点的小改良渐渐堵住各个漏洞。
房子着火等消防队赶来的时候,你是抢救能抢救的东西,还是直接转身去找新房子?正常人都知道该怎么选。
没人能完全掌控整个互联网,更重要的是,内置冗余和弹性也不少。互联网修复不是哪个单独实体的任务,而是个人、公司和政府等多种利益相关方的责任。ISP应担负起修复基础路由问题的责任,但他们不是唯一有此责任的。DNS、服务加密问题、硬件设备与服务的连接问题等等,都是事儿。
各方政府一直在尝试通过安全隐私法案,尤其是最近几年。由于太过复杂,或者不够紧急,这些法案中的大多数都在审核时被毙掉了。但立法的缺失,不意味着政府就不应参与。
全面修复是应该的,但单独某一方无法做到这一点。众志成城,每个人都做到自己的最好,结果自然是好的。
通往安全互联网之路铺满了半路扑街的天才想法。伟大宏图固然听起来前途无量,但若缺了技术限制、部署实际、采用成本的考量,再大的蓝图也成不了真。最难的部分,在于寻求支持、发展势头、引发持续性承诺。
如果真的修复了互联网,功在千秋,利在万代。
本文转自d1net(转载)