【51CTO.com快譯自12月29日外電頭條】2009年即將過去，新的一年即將來到。盤點過去更有助于規(guī)劃未來，IT自由撰稿人Chad Perrin分享了他在過去一年中碰到的十大安全誤解。

一、做對某些事情意味著你不會犯錯

 

不要因為做對了某些事情而沾沾自喜。尤其在安全方面更是如此。加固系統(tǒng)安全永遠沒有真正完成的時候，因為安全不是遵循好的防護行為的必然最終結果，提高安全性總有更多的事情可做。安全更像是一個過程而非目標，更像是一個旅程而非終點，更像是一種行為而非產品。

 

同樣，如果你做對了某些事情，并不一定代表你不會犯錯。在選擇安全解決方案時所有人都應該牢記此點。當Coverity公司宣布它將為開源項目提供代碼審核支持時，我們應該為其鼓掌，但同時會問一句，“明天的計劃是什么？”當谷歌在開源許可下提供RatProxy時，我們也為其鼓掌，但也會問它：“為什么你不尊重我們的隱私？”

 

二、匿名與審核無法共存

 

包括所謂安全專家在內的許多人認為，無法做到既對一項事務進行審核同時允許參與方保持匿名。但是，這兩方面并非人們所想的那樣互相排斥。其中一個例子是，使用OTR加密庫可以同時保證安全審核和匿名，它可以讓兩個人進行處于互相驗證狀態(tài)的聯(lián)系，同時無需向任何第三方提供任何身份相關信息。

 

另一個例子是麻省理工學院的選票記錄系統(tǒng)Scantegrity II，它通過使用投票序列號和選舉代碼來允許選民驗證他們的選票是否被正確計數(shù)，同時又讓他們實現(xiàn)了匿名投票。這種選票計數(shù)系統(tǒng)目前已經被成功應用在真實選舉活動中。

 

三、推動項目成功需要GPL

 

開源軟件社區(qū)的許多人堅稱，要想***化實現(xiàn)一個開源項目的成功，GPL（通用公共許可協(xié)議）是必需的。他們認為，如果沒有非盈利版權許可來“迫使”人們開放自己的源代碼，許多重要的軟件改進將無緣公眾，將被閉源企業(yè)反競爭行為世界所獨占。但實際情況是，非盈利版權許可同時也束縛了軟件的發(fā)展，讓某些企業(yè)遠離了非盈利版權代碼，因為擔心它可能會影響公司自己的版權代碼。

 

證明這個觀點錯誤的例子包括網絡服務器Apache的成功，它是迄今為止最成功的開源項目；SQLite被部署的范圍可能比所有其它SQL數(shù)據(jù)庫引擎的總和還要大；OpenSSH不僅是當今部署最廣泛的加密通道軟件，而且是當今最安全的安全通道框架軟件。上述三個成功的軟件都在自由拷貝（copyfree）許可下發(fā)布。因此，當你開發(fā)安全軟件時，這種自由拷貝許可或許是一種更佳選擇。

 

四、Ubuntu Linux是當今最安全的操作系統(tǒng)

 

長期以來許多人一直堅稱Linux是最安全的操作系統(tǒng)，最近幾年這一說法已經具體到Linux的具體版本Ubuntu，這種觀點在2009年似乎變得更加流行。但實際上Linux并非當今最安全的操作系統(tǒng)。實際上，沒有哪一個操作系統(tǒng)是最安全的，因為一個指定操作系統(tǒng)的相對安全性取決于太多因素，其中包括它被如何使用和配置，它面臨的威脅種類等?！?1CTO編者按：很久之前國內有篇很熱的黑客小說，作者為了避免Linux的一些問題使用了OpenBSD。

 

五、安全廠商是專家，我們應該按他們說的做

 

人們經常引用賽門鐵克等安全軟件廠商和思科等網絡硬件廠商發(fā)布的報告和白皮書，作為自己行為的安全準則。但實際上，任何人都可能犯錯；廠商都有自己的利益追求，其觀點需要有保留的接受。

 

實際上，如果我們想盡***努力來加固自己負責系統(tǒng)的安全，就永遠不能以一個安全專家的判斷來完全替代我們自己的判斷。只有我們最了解自己的特定環(huán)境和需求；反病毒廠商的CEO只能站在一個更籠統(tǒng)廣泛的立場上發(fā)表自己的觀點，而且他們往往只是學舌其它人的觀點。

 

六、加密是***的在線安全問題

 

加密是一個非常非常重要的在線安全問題，但是還有一個多數(shù)安全專家不會言及的“秘密”問題，它比存在缺陷或欺騙性的加密危害更嚴重，即加密連接另一端的人。如果連接另一端的人(或企業(yè))把數(shù)據(jù)銷售給合作廠商，或將其發(fā)布在社交網站Facebook上，那再好的加密又有什么用？

 

采取加密是必需的，加密的重要性毋庸置疑，只是你不能總將其稱為最重要的事情。你還要警惕處于連接另一端的家伙。另外，如果你的計算機感染了rootkits和鍵盤記錄器軟件，你的加密軟件可能對你沒有多大幫助。這就是我為什么選擇FreeBSD作為我主要操作系統(tǒng)的原因，微軟Windows、蘋果Mac OS X和其它好多操作系統(tǒng)不值得用戶信賴?！?1CTO王文文：很久之前國內有篇很熱的黑客小說，作者在兩軍對壘時為了避免Linux的一些問題使用了OpenBSD。

 

七、漏洞報告越少意味著越安全

 

一個軟件被公布的安全漏洞少，并不能說明它比其它軟件安全。其中一個例子是火狐瀏覽器，盡管它報告了大量漏洞，但這并不能說明它具有最多漏洞。由于該軟件是開源的，所有漏洞都會被公開，相比之下，Adobe和微軟等專有軟件廠商一般只會對有外部研究人士發(fā)現(xiàn)的漏洞，而不公布內部發(fā)現(xiàn)的漏洞。

 

八、發(fā)現(xiàn)漏洞而不公布是負責任的態(tài)度

 

無論我們怎么解釋“無知并不代表安全”，總有人在這方面有錯誤看法。其中發(fā)生在2009年一個最明顯的例子是，微軟一直試圖懲罰那些警告用戶微軟軟件存在長期漏洞的人，而且他們只是在微軟數(shù)月甚至數(shù)年無視漏洞存在之后，才向用戶告警。

 

微軟認為，安全人士談論軟件漏洞，如果惡意分子知道了相關信息，會置用戶于更大的風險之中，因此我們應該讓廠商秘密工作，直到它們已經準備好部署新安全補丁。當然，它們認為讓用戶等待數(shù)月甚至數(shù)年是可以接受的，認為簡單的不解決安全問題才會真正保護用戶免遭風險。

 

如果安全研究人士閉口不談自己發(fā)現(xiàn)的漏洞，廠商自然可以按照自己的意愿悠閑自得的去慢慢推出安全補?。坏侨绻踩芯咳耸孔尶蛻糁懒寺┒葱畔?，廠商將面臨巨大壓力來解決這些問題。但是問題是，如果安全專家發(fā)現(xiàn)了漏洞所在，惡意分子同樣也可以自己發(fā)現(xiàn)它們。因此，無知并不代表安全。從一個漏洞被公布，到一個補丁推出，微軟最快的響應時間都比Linux內核升級所需的平均時間要長得多。

 

九、微軟是年度安全MVP

 

2009年，媒體對微軟大加贊譽，稱其“從一個安全方面的受嘲笑者變?yōu)橐粋€安全創(chuàng)新者。”誠然，微軟在2009年的確***了一些安全趨勢，其一是成為Conficker蠕蟲病毒的重要角色，另外它提出要懲罰安全研究人士“不負責任的”公布漏洞信息。

 

微軟公關人員可能花了不少心思來說服媒體，微軟已經成為當今最安全的軟件廠商。它本身可能也在改進內部安全開發(fā)策略。但是，它很明顯還有很長的路要走，才能成為真正的安全MVP。

 

十、圣誕老人可能鉆進你的煙囪來給你送禮物

 

一個令人難過的事實是，你必須承認，即使一個營養(yǎng)不良的8歲小孩也鉆不進現(xiàn)在的家庭中的煙囪，更何況圣誕老人。

盡管如此，出于安全考慮，我也不能大開房門或窗戶，或者把鑰匙放在門前地墊下，來讓圣誕老人到我家中送禮物。如果這樣做，惡意分子恐怕也會趁機而來。

【51CTO.com譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】

原文：Major security myths of 2009  作者：Chad Perrin

【編輯推薦】

1. DDoS來襲Amazon圣誕節(jié)遭殃 DNS防護不可回避
2. 微軟IIS互聯(lián)網信息服務發(fā)現(xiàn)嚴重安全漏洞
3. 什么是僵尸網絡
4. SNIFFER透視動態(tài)域名
5. 從服務器滲透到獲取個人信息實戰(zhàn)