你是否曾有過(guò)這樣的經(jīng)歷：?jiǎn)?dòng)軟盤(pán)上的寫(xiě)入保護(hù)開(kāi)關(guān)，以防止啟動(dòng)病毒和惡意覆寫(xiě)；關(guān)閉調(diào)制解調(diào)器，以防止黑客在晚上打來(lái)電話(huà)；卸載ansi.sys 驅(qū)動(dòng)，以防止惡意文本文件重新排布鍵盤(pán)，讓下一次敲擊直接格式化你的硬盤(pán)；檢查autoexec.bat和config.sys文件，以確認(rèn)沒(méi)有惡意條目通過(guò)插入它們進(jìn)行自啟動(dòng)。

　　時(shí)過(guò)境遷，上述情況如今很難見(jiàn)到了。黑客們?nèi)〉昧诉M(jìn)步，技術(shù)替代了過(guò)時(shí)的方式。有的時(shí)候，我們這些防御者做得如此之好，讓黑客放棄了攻擊，轉(zhuǎn)向更有油水的目標(biāo)。有的時(shí)候，某種防御功能會(huì)被淘汰，因?yàn)槲覀冋J(rèn)為它不能提供足夠的保護(hù)，或者存在意想不到的弱點(diǎn)。新的技術(shù)浪潮不論是大是小，都會(huì)帶來(lái)新的威脅。黑客們迅速替換手中的技術(shù)，把去年流行的攻擊方式扔進(jìn)垃圾箱，而安全社區(qū)正在疲于奔命。

　　也許沒(méi)有什么東西，能夠像計(jì)算機(jī)技術(shù)一樣變化如此迅速。隨著科技前進(jìn)步步前進(jìn)，保護(hù)它的責(zé)任也越變?cè)街?。如果你在?jì)算機(jī)安全的世界里混跡已久，可能已經(jīng)見(jiàn)識(shí)過(guò)很多安全技術(shù)的誕生和消亡。有的時(shí)候，你就快能夠解決一種新的威脅了，而威脅本身卻很快過(guò)時(shí)了。攻擊和技術(shù)的步伐持續(xù)前進(jìn)，即使是所謂最尖端的防御技術(shù)，比如生物認(rèn)證和高級(jí)防火墻，都終將失敗并退出局面。下面是那些注定要進(jìn)入歷史教科書(shū)的安全防御技術(shù)，我們五到十年后再翻開(kāi)這篇文章，一定會(huì)超出你的想像。

　　No.1：生物認(rèn)證

　　在登錄安全領(lǐng)域里，生物認(rèn)證技術(shù)是十分誘人的良藥。畢竟，你的臉、指紋、DNA或者其它生物標(biāo)志似乎是完美的登錄憑據(jù)。但這只是門(mén)外漢的見(jiàn)解。對(duì)專(zhuān)家而言，生物認(rèn)證并沒(méi)有看上去那么安全：如果它失竊，你本人的生物標(biāo)志卻無(wú)法改變。

　　錄入你的指紋吧。大多數(shù)人只有10個(gè)。任何時(shí)候你使用指紋作為生物識(shí)別憑據(jù)進(jìn)行登錄，那些指紋，或者更確切地說(shuō)，其數(shù)字標(biāo)識(shí)，必須被存儲(chǔ)在某處以進(jìn)行比對(duì)。不幸的是，這些數(shù)字標(biāo)識(shí)損壞或者被盜是太常見(jiàn)的現(xiàn)象。如果壞人偷走了它們，你怎么能分辨出真實(shí)指紋憑據(jù)和對(duì)方手中數(shù)字標(biāo)識(shí)的區(qū)別？

　　在這種情況下，唯一的解決辦法是告訴世界上的每一個(gè)系統(tǒng)，不要繼續(xù)使用你的指紋，但這幾乎不可能做到。這對(duì)任何其它生物特征標(biāo)記而言都是成立的。如果壞人得到了你生物信息的數(shù)字版本，要否認(rèn)自己的DNA、臉、視網(wǎng)膜是很難的。

　　還有另一種情況，如果你用于登錄的那些生物特征，比如說(shuō)指紋本身被破壞了呢？

　　加入生物識(shí)別的多因素認(rèn)證是一種擊敗黑客的方法，比如在生物識(shí)別之外加上密碼、PIN。但一些使用物理要素的雙因素認(rèn)證也可以很容易地做到這一點(diǎn)，比如智能卡、USB鑰匙盤(pán)。如果丟失，管理人員可以很快地頒發(fā)給你新的物理認(rèn)證方式，你也可以設(shè)置新的PIN或者密碼。

　　盡管生物識(shí)別登錄正迅速成為時(shí)髦的安全功能，它們永遠(yuǎn)都不會(huì)變得無(wú)處不在。一旦人們意識(shí)到生物識(shí)別登錄并不是它們看上去的那樣，這種方式將失去人氣，或者消失。其運(yùn)用時(shí)總是要結(jié)合另一個(gè)認(rèn)證要素，或者只是用在那些不需要高安全性的場(chǎng)景下。

　　No.2：SSL

　　自1995年發(fā)明以來(lái)，安全套接層協(xié)議（Secure Socket Layer，SSL）存在了很長(zhǎng)一段時(shí)間。在這二十年里，它為我們提供了充分的服務(wù)。但如果你還沒(méi)有聽(tīng)說(shuō)過(guò)的話(huà)，我們需要介紹一下Poodle攻擊，它讓 SSL協(xié)議無(wú)可挽回地走遠(yuǎn)了。SSL的替代者傳輸層安全協(xié)議（Transport Layer Security，TLS）則表現(xiàn)稍好。在本文介紹的所有即將被扔進(jìn)垃圾桶的安全技術(shù)中，SSL是最接近于被取代的。人們不應(yīng)該再使用它了。

　　問(wèn)題在哪？成百上千的網(wǎng)站依賴(lài)或啟用了SSL。如果你禁用所有的SSL，這也是流行瀏覽器最新版本里的一般默認(rèn)做法，各種網(wǎng)站都會(huì)變得無(wú)法連接。也許它們可以連接，但這只是因?yàn)闉g覽器或應(yīng)用接受對(duì)SSL進(jìn)行降級(jí)。此外，因特網(wǎng)上仍舊存在數(shù)百萬(wàn)計(jì)古老的安全Shell（Secure Shell，SSH）服務(wù)器。

　　OpenSSH最近似乎一直在遭到入侵。盡管大約一半的攻擊事件和SSL毫無(wú)關(guān)系，但另一半都是由于SSL的漏洞引起的。數(shù)百萬(wàn)計(jì)的SSH/OpenSSH網(wǎng)站仍在使用SSL，盡管他們根本不應(yīng)該這樣做。

　　更糟糕的是，科技專(zhuān)家們使用的術(shù)語(yǔ)也在導(dǎo)致問(wèn)題。幾乎每個(gè)計(jì)算機(jī)安全行業(yè)內(nèi)的人都會(huì)將TLS數(shù)字證書(shū)稱(chēng)為“SSL證書(shū)”，但這純屬指鹿為馬：這些網(wǎng)站并不使用SSL。這就像是說(shuō)一瓶可樂(lè)是可口可樂(lè)一樣，盡管這瓶可樂(lè)可能是另外一個(gè)品牌。如果我們需要加快世界拋棄SSL的速度，就需要開(kāi)始用本名稱(chēng)呼TLS 證書(shū)。

　　不要再使用SSL了，并且將Web服務(wù)器證書(shū)稱(chēng)為T(mén)LS證書(shū)。我們?cè)皆鐢[脫“SSL”這個(gè)詞，它就能越快地被掃進(jìn)歷史的垃圾堆。

　　No.3：公鑰加密

　　如果量子計(jì)算的實(shí)現(xiàn)和配套的密碼學(xué)出現(xiàn)，我們?nèi)缃袷褂玫拇蠖鄶?shù)公鑰加密技術(shù)：RSA、迪斐·海爾曼（Diffie-Hellman，DH）等等將很快變成可讀狀態(tài)，這可能會(huì)讓一些人大吃一驚。很多人長(zhǎng)期以來(lái)都認(rèn)為可使用級(jí)別的量子計(jì)算再過(guò)幾年就要到來(lái)了，但這種估計(jì)屬于盲目樂(lè)觀。如果研究人員真的拿出了量子計(jì)算技術(shù)，大多數(shù)已知的公鑰加密方式，包括那些流行算法，都會(huì)非常容易破解。世界各地的間諜機(jī)構(gòu)經(jīng)年累月地秘密保存著被鎖死的機(jī)密文件，等著技術(shù)大突破。而且，如果你相信一些流言的話(huà)，他們已經(jīng)解決了這個(gè)問(wèn)題，正在閱讀我們的所有秘密。

　　一些密碼學(xué)專(zhuān)家，比如布魯斯·施耐爾（Bruce Schneier），一直以來(lái)對(duì)量子密碼學(xué)的前景存有疑問(wèn)。但批評(píng)家無(wú)法拒絕這種可能性：一旦它被開(kāi)發(fā)出來(lái)，所有使用RSA、DF，甚至橢圓曲線(xiàn)（Elliptic Curve Cryptography，ECC）加密的密文瞬間變成了可讀狀態(tài)。

　　這并不是說(shuō)不存在量子級(jí)的加密算法。的確有一些，比如基于格（Lattice）方法的加密、超奇異同源密碼交換（Supersingular Isogeny Key Exchange）。但如果你使用的公鑰不屬于這類(lèi)，一旦量子計(jì)算開(kāi)始普及，你的壞運(yùn)氣就要來(lái)了。

　　No.4：IPsec

　　如果啟用，IPsec會(huì)保護(hù)兩點(diǎn)或多點(diǎn)間數(shù)據(jù)傳輸?shù)耐暾院碗[私性，也即加密。這項(xiàng)技術(shù)發(fā)明于1993年，在1995年成為開(kāi)放標(biāo)準(zhǔn)。數(shù)以百計(jì)的廠商支持IPsec，數(shù)百萬(wàn)計(jì)的計(jì)算機(jī)使用它。

　　不像本文中提到的其它例子，IPsec真的有用，而且效果很好，但它卻有著另一方面的問(wèn)題。

　　首先，雖然它被廣泛使用并部署，但從沒(méi)達(dá)到大而不倒的規(guī)模。其次，IPsec十分復(fù)雜，并不是所有廠商都支持它。更糟的是，如果通訊雙方中的一方支持 IPsec，另一方如網(wǎng)關(guān)或負(fù)載平衡器不支持它，通訊經(jīng)常會(huì)被破解。在許多公司中，IPSec通常作為可選項(xiàng)存在，強(qiáng)制使用它的電腦很少。

　　IPsec的復(fù)雜性也造成了性能問(wèn)題。除非你在IPsec隧道兩側(cè)都部署專(zhuān)門(mén)硬件，不然它就會(huì)顯著減緩所有用到它的網(wǎng)絡(luò)連接。因此，大型的事務(wù)服務(wù)器，比如數(shù)據(jù)庫(kù)和大多數(shù)Web服務(wù)器根本無(wú)法支持它。而這兩類(lèi)服務(wù)器恰恰是存儲(chǔ)最重要數(shù)據(jù)的地方。如果你不能用IPsec保護(hù)大部分?jǐn)?shù)據(jù)，它又能帶來(lái)什么好處呢？

　　另外，盡管它是一個(gè)“公共”的開(kāi)放標(biāo)準(zhǔn)，IPsec的實(shí)現(xiàn)卻通常無(wú)法在各個(gè)廠商之間共用，這是另一個(gè)減緩乃至阻止IPsec被廣泛部署的原因。

　　但對(duì)IPsec而言，真正的喪鐘是HTTPS得到了廣泛使用。如果你啟用了HTTPS，就不再需要IPsec。這是個(gè)兩者必?fù)衿湟坏倪x擇，世界作出了它的決定。HTTPS贏了。只要你有一份有效的TLS電子證書(shū)，一個(gè)兼容的客戶(hù)端，就能使用HTTPS：沒(méi)有交互問(wèn)題、復(fù)雜度低。存在一些性能影響，但對(duì)大多數(shù)用戶(hù)而言微不足道。全球正迅速變成一個(gè)默認(rèn)使用HTTPS的世界。在這個(gè)過(guò)程中，IPsec將會(huì)死亡。

　　No.5：防火墻

　　無(wú)處不在的HTTPS基本上宣告了傳統(tǒng)防火墻的末日。早在三年前就有人寫(xiě)過(guò)相關(guān)文章，但三年過(guò)去，防火墻依舊無(wú)處不在。但真實(shí)情況呢？它們大多數(shù)未經(jīng)配置，幾乎全部都沒(méi)有配備“最低容許度，默認(rèn)屏蔽”規(guī)則，然而正是這種規(guī)則才讓防火墻具備了價(jià)值。相信不少人都知道大多數(shù)防火墻規(guī)則過(guò)于寬松，甚至“允許所有XXX”這樣規(guī)則的防火墻也不稀罕。這樣配置的防火墻基本上還不如不存在。它啥都沒(méi)干，只是在拖網(wǎng)速后腿。

　　不管你怎么定義防火墻，它必須包括一個(gè)部分：只允許特定的、預(yù)配置的接口，只有這樣它才能算是有用。隨著這個(gè)世界向著HTTPS化邁進(jìn)，最終，所有防火墻都會(huì)只剩下幾條規(guī)則：HTTP、HTTPS和DNS。其它協(xié)議，比如ads DNS、DHCP等等，也會(huì)開(kāi)始使用HTTPS-only。事實(shí)上，很難想象一個(gè)不是以全民HTTPS化告終的世界。當(dāng)這一切來(lái)臨，防火墻何去何從？

　　防火墻提供的主要防御功能是保護(hù)脆弱的服務(wù)免遭遠(yuǎn)程攻擊。具有遠(yuǎn)程脆弱性的服務(wù)通常極易破壞，遠(yuǎn)程利用緩沖區(qū)溢出是最常見(jiàn)的攻擊方式?？纯茨锼谷湎x(chóng)（Robert Morris Internet worm）、紅色警戒（Code Red）、沖擊波（Blaster）和藍(lán)寶石（SQL Slammer）吧。你能回憶起最近一次世界級(jí)緩沖區(qū)溢出蠕蟲(chóng)攻擊出現(xiàn)在哪年嗎？應(yīng)該不會(huì)超過(guò)本世紀(jì)頭幾年。而這些蠕蟲(chóng)都還遠(yuǎn)不及上世紀(jì)八九十年代那些的威力?；旧?，如果你不使用未打補(bǔ)丁、存在漏洞的監(jiān)聽(tīng)服務(wù)，就不需要傳統(tǒng)防火墻。你現(xiàn)在就不需要。對(duì)，你沒(méi)聽(tīng)錯(cuò)。你不需要防火墻。

　　一些防火墻廠商經(jīng)常鼓吹他們的“高級(jí)”防火墻擁有傳統(tǒng)產(chǎn)品遠(yuǎn)不能及的功能。但這種所謂的“高級(jí)防火墻”只要它們進(jìn)行“數(shù)據(jù)包深度檢查”或簽名掃描，只會(huì)導(dǎo)致兩種結(jié)果：其一，網(wǎng)速大幅度下降，返回結(jié)果充斥著假陽(yáng)性；其二，只掃描一小部分攻擊。大多數(shù)“高級(jí)”防火墻只會(huì)掃描數(shù)十到數(shù)百種攻擊。如今，每天都會(huì)出現(xiàn)超過(guò)39萬(wàn)種新型惡意軟件，這還不包括那些隱藏在合法活動(dòng)中無(wú)法識(shí)別的。

　　即使防火墻真的達(dá)到了他們宣稱(chēng)的防護(hù)級(jí)別，它們也不是真的有效。因?yàn)槿缃衿髽I(yè)面臨的兩種最主要的惡意攻擊類(lèi)型是：未打補(bǔ)丁的軟件和社會(huì)工程。

　　這么說(shuō)吧，是否配備防火墻都一樣被黑。也許它們?cè)谶^(guò)去表現(xiàn)太好了，導(dǎo)致黑客轉(zhuǎn)向了別的攻擊類(lèi)型。但不管是什么原因，防火墻如今已經(jīng)幾乎沒(méi)有用了，從過(guò)去十年前這個(gè)趨勢(shì)就開(kāi)始了。