信息安全20年停滞不前的元凶——"安全建议"的迷思

本文深入剖析了过去20年间广泛传播的各类安全建议的谬误,包括PDF安全性误解、Java安全神话、密码策略问题等,揭示了这些过度简化的建议如何阻碍了信息安全的实际进展。

Jump ESP, jump!: 信息安全在过去20年停滞不前的一个原因——“安全建议"的迷思

时不时地,我会对投入在保护计算机、网络、手机等方面的巨大努力和资金感到失望,然而到了2016年,防御方面并没有太大改变。我个人认为造成这种情况的原因有很多,其中之一就是这些安全建议。

这些安全建议的目标是,如果普通用户遵循这些易于记忆的规则,他们的计算机就会安全。不幸的是,当人们将这些规则融入日常生活时,这些规则要么已经过时,要么被过度简化以至于从一开始就不正确。其中一些安全建议对当今的信息安全人士来说可能听起来很荒谬,但这正是人们仍然记住的内容,因为我们多年来一直这样告诉他们。

PDF打开是安全的

这是一个老生常谈的问题。我认为这始于宏病毒时代。尽管如此,人们仍然认为从未知来源打开PDF比打开Word文件更安全。关于为什么这不正确的详细信息,请查看:https://www.cvedetails.com/vulnerability-list/vendor_id-53/product_id-497/Adobe-Acrobat-Reader.html

顺便提一下,人们仍然相信PDF具有完整性保护,因为内容无法更改(与Word文档相比)。

图片来自卡巴斯基

Java是安全的

最好的例子之一。Oracle开始将Java宣传为一种安全的语言,缓冲区溢出、格式字符串和基于指针的漏洞都不复存在。不幸的是,他们忘记告诉世界,他们不是在安装"由他人开发的不安全程序”,而是在30亿台设备上安装了自己的不安全程序。

远离恶意网站,你就会安全

这是我经常从普通人那里听到的一个非常普遍的信念。“我只访问一些可信的新闻网站和社交媒体,从不访问那些 shady 网站。“我有一些坏消息。在恶意广告和受感染网站的时代,你不再需要访问那些 shady 网站就能被感染。

不要使用开放WiFi

我有一个很长的解释说明为什么这没有意义,请看这里。实际上,整个建议都没有意义,因为人们会连接公共WiFi,无论我们(信息安全)推荐什么。

密码策略的噩梦

实际上,这个话题我已经在两篇博客文章中讨论过,请看这里和这里。长话短说:尽可能使用密码管理器和双因素认证。让密码管理器为你选择密码。最后但同样重要的是,企业密码策略很糟糕。

带有锁形图标的网站是安全的

我们多年来告诉人们,与HTTPS网站的通信是安全的,你可以通过找到URL旁边随机变化的锁形图标来确认它是HTTPS。人们听到的是带有锁形图标的网站是安全的。不管那意味着什么。WiFi也是如此——带有锁形图标的网络是安全的。

使用Linux,它没有恶意软件

多年来,人们告诉Windows用户,只有使用Linux才不会遇到这么多恶意软件。多亏了Android,现在世界上每个人都可以在他/她的Linux机器上享受恶意软件了。

OSX没有恶意软件

确实,OSX上的恶意软件比Windows少得多,但这是一个"经济"问题而不是"安全"问题。使用OSX的人越多,它就越成为目标。有些人甚至认为他们不会受到网络钓鱼的攻击,因为他们使用的是Mac!

更新的杀毒软件+防火墙让我100%安全

没有100%安全这回事,不幸的是,如今大多数恶意软件都是为了利润而编写的,这意味着它们可以绕过这些基本保护措施数天(或数周、数月、数年)。产品内置的主动保护越多越好!

如何备份数据

尽管这是最重要的安全建议之一,但人们并没有遵循,我在这里的问题不是备份数据的建议,而是我们作为一个社区未能提供易于使用的方法来实现这一点。现在,加密勒索软件对每个Windows(和一些OSX)用户来说都是真正的威胁,即使是那些在NAS上有备份的人也可能发现他们的备份丢失。唯一的希望是至少OSX有Time Machine,目前还没有被针对,这是唯一真正有效的备份解决方案。

最糟糕的是,我们甚至创建了可以通过蠕虫感染的NAS设备……

不使用时断开计算机与互联网的连接

无需评论这一点。任何推荐类似内容的人显然有问题。

使用(免费)VPN保护你的匿名性

首先。没有免费服务这回事。如果它是免费的,你就是服务。另一方面,非免费VPN可能会引入新的漏洞,并且它们不会保护你的匿名性。它只是用一个ISP替换另一个(你的VPN提供商)。即使是TOR本身也不能保证匿名性,而VPN更糟糕。

企业的"安全建议"迷思

“幸运的是"这些有毒的安全建议不仅感染了家庭用户,还感染了企业环境。

使用robots.txt在公共网站上隐藏秘密信息

现在是2016年,不知何故,Web开发人员仍然相信这种无稽之谈。这就是为什么这通常是渗透测试人员或攻击者在网站上首先检查的内容。

我的密码策略比以往任何时候都更安全

如前所述,密码很糟糕。非常糟糕。而且它们将伴随我们数十年……

使用WAF、IDS、IPS、下一代APT检测胡言乱语,你就会安全

公司应该更多地投资于人,而不是神奇的闪烁设备。

与其预装臃肿软件,不如预装漏洞保护软件

教人们如何使用密码保险库

教人们如何使用双因素认证

教人们如何使用常识

结论

计算机安全是复杂、困难的,风险每年都在变化。这是我们的错吗?可能是。但这类的安全建议不会帮助我们拯救世界。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次