對(duì)互聯(lián)網(wǎng)來(lái)說(shuō),最大的威脅就是它從來(lái)都不是認(rèn)認(rèn)真真設(shè)計(jì)出來(lái)的,而是拼湊出來(lái)的。它的進(jìn)化也不是連續(xù)的,而是斷斷續(xù)續(xù)、間歇式的。所以,它的各種協(xié)議也只是為了滿足各種一時(shí)之需而倉(cāng)促設(shè)計(jì)的。在設(shè)計(jì)這些協(xié)議時(shí),很少有人會(huì)去考慮安全性問(wèn)題。如果硬要說(shuō)這些協(xié)議具有一些安全功能的話,那也只是防君子不防小人的。
結(jié)果就是一大堆已經(jīng)陳舊的協(xié)議在支撐著漏洞百出的互聯(lián)網(wǎng)。有不少攻擊就是沖著這些協(xié)議而來(lái)的,盡管情況因?yàn)樾扪a(bǔ)漏洞而多少得到了緩解,但是很顯然的是,這些協(xié)議本身需要用更健壯的協(xié)議來(lái)替代才行。本篇Slideshow所列出的這6個(gè)互聯(lián)網(wǎng)協(xié)議,就是需要替換的,而且是宜早不宜遲的。
BGP:邊界網(wǎng)關(guān)協(xié)議
BGP主要用于互聯(lián)網(wǎng)路由器,將變化的路由信息交換給互聯(lián)網(wǎng)的網(wǎng)絡(luò)拓?fù)洌@個(gè)協(xié)議可以說(shuō)是最古老,也是最重要的互聯(lián)網(wǎng)協(xié)議之一。由于它是在人們彼此還相互信任的時(shí)代所建立的互聯(lián)網(wǎng)對(duì)等協(xié)議,所以它也是最容易從根本上被攻破的協(xié)議。無(wú)須費(fèi)什么力氣,你就可以偽造互聯(lián)網(wǎng)的路由信息,這叫BGP詐騙。
此類(lèi)詐騙已經(jīng)發(fā)生過(guò)很多次。所導(dǎo)致的災(zāi)難后果通常都很明顯,盡管BGP協(xié)議很快便可以檢測(cè)到并可予以糾正,但它也為攻擊者提供了一個(gè)充足的時(shí)間窗口,足以造成災(zāi)難性的傷害。最糟糕的是,這一問(wèn)題按照該協(xié)議目前的狀況是根本無(wú)法修復(fù)的。恰如安全專(zhuān)家所言,沒(méi)有一個(gè)統(tǒng)一的權(quán)威機(jī)構(gòu)可以確認(rèn)某個(gè)特定地址是否屬于某個(gè)特定的網(wǎng)絡(luò)。由于BGP是如此重要的一個(gè)基礎(chǔ)性協(xié)議,所以短期看還沒(méi)有替代它的可能。但最起碼,應(yīng)該在Linux基金會(huì)的 Core Infrastructure Initiative項(xiàng)目中將“修復(fù)BGP”納入其待辦事項(xiàng)列表中。
SMTP:簡(jiǎn)單郵件傳輸協(xié)議
盡管多年來(lái)涌現(xiàn)出各種各樣的替代方案試圖取消電郵,但電郵仍然在廣泛使用,當(dāng)然還有它的底層協(xié)議SMTP。SMTP的最大問(wèn)題在于,由于它是在那個(gè)人們還很淳樸的年代產(chǎn)生的,所以它從未考慮過(guò)安全問(wèn)題。
隨著時(shí)間推移,SMTP也開(kāi)發(fā)了不少?gòu)?qiáng)化自身安全的各種附加功能(例如反向DNS檢驗(yàn)),但協(xié)議本身并不會(huì)強(qiáng)制執(zhí)行這樣的安全,因此令人困惑的就是由誰(shuí)來(lái)實(shí)施安全。這一切都是因?yàn)猷]件網(wǎng)關(guān)不會(huì)去盡職職責(zé)地檢查每一封進(jìn)來(lái)的郵件。盡管收件箱有可能顯示出一條走出郵件迷宮的道路,但是絕不可對(duì)此期望過(guò)高。
DNS:域名系統(tǒng)
因?yàn)檫@個(gè)互聯(lián)網(wǎng)協(xié)議要將IP地址翻譯成域名,所以對(duì)互聯(lián)網(wǎng)的正常運(yùn)行來(lái)說(shuō)是最基本的一個(gè)協(xié)議,但它也因?yàn)楸旧淼穆┒春桶踩毕荩闪嗽獾狡毡楣舻哪繕?biāo)。例如伊朗的網(wǎng)軍就曾徹底控制過(guò)Twitter域名的DNS服務(wù)器,敘利亞的電子軍隊(duì)也曾劫持過(guò)《紐約時(shí)報(bào)》的域名登錄賬戶。
對(duì)DNS安全敲響的第一聲警鐘出現(xiàn)在2008年,安全專(zhuān)家Dan Kaminsky當(dāng)時(shí)披露了該協(xié)議在設(shè)計(jì)上的一個(gè)大漏洞。此舉促成了DNS的安全版本DNSSEC的誕生,以防范偽造的數(shù)據(jù)進(jìn)入DNS服務(wù)器。但DNSSEC必須從頭開(kāi)始實(shí)施,更糟的是,在負(fù)載較重時(shí)它可能會(huì)影響DNS服務(wù)器的性能,甚至可能被用來(lái)發(fā)動(dòng)DoS映射攻擊。這種矯正或許不像治病那么困難,但很顯然需要不斷地努力才行。
NTP:網(wǎng)絡(luò)時(shí)間協(xié)議
NTP最主要的目的就是保持全球所有計(jì)算機(jī)的時(shí)鐘同步。然而它同樣是出自一個(gè)對(duì)安全不那么重視的時(shí)代。這就使得犯罪分子有可能利用該協(xié)議的機(jī)制(+本站微信networkworldweixin),再加上眾多受控“肉雞”的配合,發(fā)起DoS攻擊。
幸運(yùn)的是,針對(duì)這種惡意利用而修復(fù)NTP服務(wù)器的努力正在進(jìn)行之中,而且正確的設(shè)置也能避免此類(lèi)攻擊的發(fā)生。但這并不等于說(shuō)未來(lái)就不存在惡意利用NTP的可能性了,因?yàn)檫^(guò)去從未對(duì)該協(xié)議及其實(shí)施做過(guò)很仔細(xì)的檢查。
IPv4
盡管·人們很巧妙地一直在規(guī)避IPv4地址耗盡的問(wèn)題,但也沒(méi)人否認(rèn)IPv4地址的耗盡終有盡頭,而且這一盡頭會(huì)很快到來(lái)。唯一可行的長(zhǎng)期解決方案也早已存在了多年,那就是向IPv6遷移。
IPv6在一些新技術(shù)市場(chǎng)正在取得良好的進(jìn)展,例如移動(dòng)領(lǐng)域就廣泛使用IPv6用于構(gòu)建4G網(wǎng)絡(luò)。但對(duì)其他領(lǐng)域來(lái)說(shuō),向IPv6遷移的障礙似乎無(wú)處不在。簡(jiǎn)而言之,就是慣性巨大:很多人不愿意升級(jí),除非被形勢(shì)倒逼。加州IPv6工作組聯(lián)合主席Ed Horley說(shuō),合格的IPv6人才依然緊缺。而NIST則擔(dān)憂攻擊者們還有充裕的時(shí)間可以在這一遷移過(guò)程中興風(fēng)作浪。這里,再一次出現(xiàn)了這樣的狀況:無(wú)人敢說(shuō)改變互聯(lián)網(wǎng)最根本的基礎(chǔ)設(shè)施是很容易的。
SSL:安全套接層
有一條經(jīng)驗(yàn)法則告訴我們:協(xié)議越陳舊,就越有可能以某種方式被攻破——尤其當(dāng)它迫切需要被新的協(xié)議所替換之際。安全套接層(SSL)雖然早就有了替代方案,但只有現(xiàn)在,主要是因?yàn)闉?zāi)難的不斷侵襲,拋棄SSL的呼聲才越來(lái)越高。
SSL主要是為應(yīng)用連接,如HTTP等提供密碼保護(hù),但其上一個(gè)公開(kāi)版本發(fā)表于1996年。而其替換協(xié)議——傳輸層安全協(xié)議(TLS)3年后才發(fā)表,該協(xié)議被廣泛使用的1.2版2008年才出現(xiàn)。而SSL仍在使用,主要是為了進(jìn)行后向兼容測(cè)試。結(jié)果是,所有主要的瀏覽器不得不繼續(xù)支持SSL,盡管它所引導(dǎo)的流量?jī)H占0.3%。
如今,我們有了一個(gè)更好的丟棄SSL的動(dòng)機(jī):因?yàn)槌裘阎腜OODLE攻擊,唯有拋棄SSL才是最好的緩解手段。Mozilla和谷歌已經(jīng)在這么做了,這意味著任何還在以這樣那樣的理由使用SSL的企業(yè)也需要盡快棄用這一協(xié)議。或許后向兼容性并沒(méi)有人們所吹噓的那么嚴(yán)重。