这种不信任真的有必要吗?

信息安全 风险管理 相信 风险分析
2021-08-27 00:21:05

在 IT 安全和计算机高级用户中,似乎存在过多的不信任。由于这种不信任,他们不做任何事情或使用任何东西,或者使用看似过多的保护措施。

注意:我是从一个生活在美国的人的角度来写这篇文章的。以下假设显然在某些压迫性政府中没有意义

  • 由于 MITM 或一般拦截而对 X 不信任 - MITM 究竟多久发生一次?似乎每次听到“加密,加密,加密!” 它来自一个预计到处都会发生 MITM 攻击的人;就在这个时候,有一个人坐在他们家外面,一根电线挂在某个地方,急切地看着 Wireshark。说真的,这不会经常发生(例如 90% 的人口)
  • 对服务 X 或程序 Y 的不信任,因为您尚未验证其来源 - 我以前见过从http://lastpass.comhttp://random.orghttp://gmail.com的所有内容。我认为这很疯狂,因为您查看代码并不能保证其干净。只需要一条看似无辜的线就可以造成伤害。您应该在 5,000、10,000、20,000 行代码中找到这一行吗?说真的,你很可能不会找到它,因此会带着虚假的安全感使用它,这可能比带着一点不信任使用它更糟糕。
  • 由于窥探的风险而对公共、共享或朋友网络的不信任——我不得不争论这一点,因为大多数人没有数据包记录器或其他拦截流量的方式。我敢肯定 99% 的网络根本不关心这些事情;他们更担心路由和防火墙。
  • 不信任协议 X,因为它以明文形式发送密码——这才是真正让我提出这个问题的原因:人们一直指责 FTP 以明文形式发送密码来说明帐户是如何被盗用的。虽然在那种情况下它是有道理的,但似乎每次妥协时,当其他事情确实是问题时(例如密码在显示器上的便签上),这个借口就会被抛弃。这可以追溯到早些时候,很少(如果有的话)在您的网络、您的 isp 的网络、您的 isp 的 isp 的网络等上存在数据包嗅探器或其他形式的窥探。
  • 不信任任何事情,因为“你怎么知道它没有受到损害?” - 你怎么知道你家下面没有核弹?什么,要挖掘一切只是为了确定?你怎么知道你不会在上班的路上被抢劫?有私人保镖吗?另外,这种情况发生了多少次?每天都有人在房子底下发现核弹吗?过马路时会被抢劫吗?本质上我是说,虽然你不知道,但你已经不知道很多,甚至很薄,发生这种情况的风险很小。

在这些情况和其他情况下,对所有事情的不信任真的有必要吗?偏执狂的程度是否合理?为什么人们会这样做呢?

4个回答

偏执狂、职业怀疑、风险管理……有时这些概念很难分开。此时有人正在阅读我的数据包的可能性相对较低。在过去一年的某个时间点有人嗅探我的互联网流量的可能性......我保证它已经发生了,我去过 DEFCON。

无线网络的出现使 MITM 攻击更加普遍。有线网络不安全,MAC 欺骗很简单。虽然在您的家中发生这种情况的可能性不大,但当您在外面的世界中时就会发生这种情况。咖啡店、飞机(“感谢您支付 24 小时访问费用,我借了你的 MAC,这样我就可以使用它了,哦,那是你的 Facebook 帐户?”),酒店房间......

也许你呆在家里……但你可能会发现你的路由器有缓冲区溢出,现在正在运行嗅探密码的恶意软件。镇上有一个法庭案件,关于一家小型建筑公司由于数据包嗅探而发起的电汇损失了数十万美元。

即使使用 telnet 进行 root 登录在 99% 的情况下都是安全的,但那 1% 的成本可能非常高,而这正是我们要防范的。在国际范围内出现了一些出色的黑客攻击和 MITM 工作(DigiNotar 黑客攻击、GMail / 中国、YouTube 路由通过巴基斯坦),但也有许多小规模的本地攻击。

这种风险与您的需求相权衡——有些人确实必须关心 CPU 芯片的内部设计。人们不擅长衡量不常见的风险。问一个不骑摩托车的人有多安全,然后问一个骑手。询问他们两个摩托车碰撞导致严重伤害的百分比。我打赌你会得到一些非常不同的数字。还要考虑汽车中安全功能的相对成本与其移动您的主要功能的成本相比,包括货币成本和增加的重量。防火墙(字面意思是“阻止火势移动的那种)、防滚架、安全带、在挡泥板中部署时花费 1,000 美元的安全气囊……很少有汽车发生翻车事故或起火;我们真的需要那样吗?偏执狂?

我见过谷歌被黑,通过电缆调制解调器进行 MITM 攻击,未经授权的恶意软件执行数据包捕获,银行账户因密码被嗅探而被清除,以及试图将恶意软件放入 Linux 内核(如果它坐了一段时间,自动 root 访问将是惊人的)年)。我已经看到随机数生成很糟糕(PHP、Netscape、Debian OpenSSL 包),因此可以在很短的时间内远程执行生成的加密身份验证或解密。我见过报纸和政府盗用重要职位官员的手机。

在小范围内,你可能没问题。在大公司范围内,你将面临这些风险,你会看到你的同行输给他们。偏执狂和安全行业的滋生是因为当人们犯了影响大系统的错误时,就会发生真正的经济损失。

这是一个令人惊讶的问题,我发现很难回答。

这种不信任不是来自理论,而是来自经验当我们说“FTP 太危险而无法使用”时,是因为我们在实践中发现它太危险而无法使用。

您似乎认为“数据包记录器”要么难以获得,要么难以使用。两者都不是真的。下载和安装并在几秒钟内开始收集密码或会话需要几秒钟的时间。

安全状态是我可以在几秒钟内走进当地的星巴克并闯入账户,而无需使用任何比 Firesheep 更复杂的东西。

简短的回答:是的,在任何人意识到存在问题之前,计算机可能会出现很多错误,因此“信任”在计算机系统中不起作用。

默认不信任是高性能系统唯一可行的姿态。为了解释原因,我将计算机之间的交互与人类之间的交互进行对比。

在人际交往中,对于小事,默认信任是值得的。如果一个陌生人来找你问路,你可能会停下来花一些时间帮助他们。如果他们问你你母亲的娘家姓,你可能会想一想。如果他们要求你列出你见过的每个人的名单,你可能不会回答。如果一千个陌生人接连出现,每个人都穿着可疑的伪装,每个人都在问一个人,你很快就会停止回答。您之所以能够这样做,是因为您随着时间的推移变得更加怀疑/无聊,并且因为您能够使用人类判断来识别模式。

计算机之所以有价值,正是因为它们可以快速完成重复的、平凡的任务。因为它们的工作速度如此之快,所以可以让计算机连续执行许多小事情的攻击者造成的伤害比与只会感到无聊和/或恼火的人交互时造成的伤害要大得多。

对此的一种解决方案是限制响应或使用配额来防止重复滥用。这种方法与计算机“有价值,因为它们可以快速完成重复的、平凡的任务”直接冲突,因此通常不能在高性能系统中使用。

唯一适用于高性能系统的姿势是信任那些有权请求所需工作的人,而不信任那些没有权限的人。基于授权的信任仅在组件不做出自己的信任决定时才有效——不向轻信的秘书披露公司机密的高管仍然存在风险。

优秀的软件架构师会怀疑他们的依赖关系。计算机程序是从库、协议和硬件系统的混合体中开发出来的。大多数开发人员以这种方式拼凑系统,部分原因是他们不了解各个部分试图解决的整个问题——工程师需要专门构建复杂的系统。攻击者通常只需要了解系统中的缺陷,因为由于违反POLA,攻击者通常可以通过破坏几个有缺陷的部分来破坏整个系统。普遍缺乏有效的防火墙导致优秀的软件架构师只在具有良好记录的组件上构建。

一些系统,如qmail,有效地防火墙组件以更好地接近 POLA。如果您以这种方式构建您的系统,那么您可以在所依赖的方面更加自由。

我可以从个人经验告诉你为什么我会这样做。以下是我在生活中所经历的:

  1. 我的一个朋友不信任她的男朋友,并在她的网络上安装了一个窥探器。这是她刚刚安装在她的 Windows 笔记本电脑上的一些商业产品。当他带着笔记本电脑来到她家时,她能够获得他所有的明文登录信息。当她无法获得他的加密密码时,她购买了一个商业键盘记录器并将其安装在他的机器上,它的一个不错的功能是将他的密码上传到网页上。她没有技术技能(字面意思是接近于零),并保存这些密码多年以窥探他。
  2. 我在大学的 CS 安全课程中,该课程中的一小群人过去常常竞争看谁能在给定的一周内在校园和城镇周围嗅探/破解更多密码。有时他们会得到数百个。我不知道他们是否曾经对他们做过任何事情。
  3. 有很多广为人知的工具,例如 firesheep,非黑客只是为了好玩而使用它们。当您做一些私人事情时,有人可能会使用其中一种的机会是什么?
  4. 包括美国在内的世界各地都有公司通过窥探您的流量来赚钱 - 请参阅http://www.information-age.com/channels/comms-and-networking/news/1306138/isp-traffic-snooping -growth-fast.thtml和 google paxfire(ISP 的利润重定向搜索) - http://www.broadbandreports.com/shownews/115610

我不认为这些风险微不足道和罕见,我认为它们无处不在。

其它你可能感兴趣的问题
上一篇相对安全的 HTTPS 替代方案 下一篇为什么root用户可以删除日志?