在这个问题上
落在网络安全桥的问题
2019年9月19日 体积 49 问题 3

了解网络安全框架

周四,2019年9月19日

作者: 大卫·d。克拉克

更好的网络安全是一个令人钦佩的愿望。但愿望,比如,是不是可操作的。呼唤更好的网络安全并没有给出应该采取什么行动,任何暗示,以及由谁,以改善这种状况。

ESTA本文的目标是打破改进网络安全的挑战转化为可操作的部分是潜在,提供一个路线图,以更好的安全性,并说明为什么更好的安全性的挑战是令人烦恼。因为互联网是在网络空间,没有互联网或像有也只是一堆东西断开电脑,我采取安全的网络为中心的视图中ESTA纸心脏。有,当然,其他的意见关于如何构造考虑安全性,但我觉得ESTA该框架可以提供良好的见解哪些演员必须做些什么来改善这种情况。

我认为四种类型的互联网安全挑战:(a)在相互信任的用户试图沟通的第三方的攻击,(b)由另一个用户的攻击,(三)网络本身,以及服务的(d)拒绝对袭击攻击。

在相互信任的用户的第三方攻击

在这种情况下,两个(或更多)用户尝试具有相互所需的通信和敌对第三方攻击它。影响ESTA情况 信息安全, 传统上被形容为三个子组件有:机密性,完整性和可用性。

  • 保密的目的是确保一个敌对的第三方无法观察到的是什么沟通。第三方的动机的范围可以进行有针对性的广告基于内容的审查与国家安全监督人口统计分析。关于保密的强有力的机制将确保这些目标受挫。
  • 完整的目标是,第三方不能修改什么正被通信者发送。
  • 可用性的目标是,通信仍可尽管第三方试图破坏它成功。

对于机密性和完整性,在互联网目前的办法是终端到终端的加密。如果是传输加密,第三方无法观察到它,而加密不能防止修改,修改会一直被检测到,所以结局可能是可用性的故障,但攻击者无法卫生组织修改什么被发送。

作为用于加密工具嵌入在最常见的应用处理程序(如网)的流量的比例是加密的增加迅速增加。 ESTA的结果是多年努力通过以上研究,标准制定者,实施者和的结果。

加密的限制

加密是不是魔术。只是用它不会使所有的问题消失。可能是 - 美丽的ITS数学,但实际的加密被嵌入在一个较大的系统具有管理加密密钥的任务,信息必须共享这其中的当事人,因此加密,可以工作。大部分的薄弱环节是不加密算法方案,但关键是如何管理的。如果攻击者可以窃取密钥(这样会被存储在用户的个人 - 电脑不是最安全的设备在互联网上),或者以其他方式操纵的密钥管理系统,它们可以完全阻止机密性和完整性的目标。

也可用不能使用加密来改善。如果攻击者在a到位置块通信者之间的通信,加密的唯一好处是钝攻击者的工具,如果攻击者不能看到正在发送的内容,阻断无法辨别:它成为一个全有或全无攻击。也有一些情况下,其中的第三方(通常陈述一个演员或互联网服务提供商或ISP,作为国家的代理人)已经封锁了所有加密的流量,试图迫使通信者发送“中明确,”这使第三方可以看到正在发送的。

忽略警告

MOST对于用户来说,恐惧关于实时保密是关于隐私问题包括互联网服务供应商正在观察哪些用户发送和有针对性的广告,出售信息的恐惧。然而,可用性损失也是一个问题,从落实到位的保密性和完整性密钥管理系统通常所产生。

加密密钥分布在通常所谓的证书,签署的证明结合实体特定键的名称。出于安全原因,证书的有效期为在有限的时间,需要通过定期的所有者关键更新。如果车主忽略这样做(或作其他错误),软件(例如,用户的浏览器)将提出警告,都是可怕的,有时甚至掩盖消息,称该用户不应该继续,因为这可能是通信正在攻击。

更糟的是,警告可能不会给用户的备份方法来继续工作,选择的是退出(可用性完全失败),或冒险,然后继续。因为用户需要完成他们的工作,并且这种故障大都恶意没有,用户关闭了商业(正确的,在我看来)这务实的选择是无视错误,这已经解开加密的好处的情况下的效果的实际攻击。在我看来,安全社区的部分有所忽略的可用性目标,在追求机密性和完整性。

对方用户的攻击

在信息安全性,同时通信的用户已经收到了很多的关注,研究界,很多的,这里不适合瘟疫用户的问题。相反,问题一个出现,因为双方沟通的不值得信赖的。

大多数电子邮件用户的理解可能是垃圾邮件,可能包含恶意软件的附件,也可以假装是从较明显的发送者以外的人(所谓的 网络钓鱼 电子邮件属于这一类)。可以理解,一些用户连接到一个网站可以导致下载恶意软件到他们的计算机。其他应用程序不可靠的人的不同后果,包括餐厅虚假评论,网站允许发布侮辱性评论,和假新闻困扰。

当一个用户在另一个攻击可以利用互联网架构的许多方面,我认为最常见的攻击利用垃圾邮件和网络钓鱼应用程序,通过电子邮件,Yelp上虚假的餐厅评论,等等。不幸的是,虽然这将是很好,如果我们能给固定所有这些攻击到一个排序的演员(例如,互联网服务供应商)的工作,我们不能这样做。互联网服务供应商概不负责互联网应用。有攻击被固定在一个时间一个应用程序。

内置的风险

为什么这些应用程序允许不受欢迎的行为?对于电子邮件,在互联网的早期设计的应用程序,设计人员(包括我在内)没有体会到很多方面,它可能会被滥用。对于但最近的应用程序,方式有时风险已经因为它们提供了包括故意强大的功能。在恶意代码的基于Web的攻击被下载这在用户的计算机是不可能的,如果不包括网络协议的能力,下载并在第一时间执行代码。这个功能提出了当,安全专家们在明确的风险;反正加入该功能,因为它的效用。这样使应用程序更安全,面临的挑战是不修正错误,而是变更实施他们的设计。这一挑战是一个大的,因为它可能需要改变高度分布式系统,其中部分是在许多演员的控制。

尽管这些风险,人们继续对互联网的益处使用的应用程序大于风险,而利益是巨大的。对于很多人来说,Web和电子邮件是必不可少的本质。那么我们如何应对这些风险?

在更大的世界,但交互当演员不信任对方,他们依赖于对交互的约束和可信的第三方来提供保护。当我们购买或出售房子,我们依赖的事迹,托管代理人的登记,等等,以确保交易是值得信赖的,即使演员之一是没有的。和信用卡处理器在促进买家和-sellers之间的相互作用(和本质偿付保险欺诈交易)的作用,允许买卖双方没有这方面的互相以可信的方式完成交易的知识。

在另一方面,人们从事可潜在危险的活动和信任,因为他们知道对方(我可能会借钱给朋友,但并不陌生)。人们往往来自陌生人的区别对待朋友。

评估身份

可能是一个应用程序设计如何提供免受攻击强大,但风险模式的两个优点和保护?设计修改应用程序可能是他们的行为,根据信托中的参与者,电子邮件客户端的学位可能允许将附件下载到已知党,而是从一个未知发件人阻止他们。然而,ESTA的方法来工作,这将是必要的应用程序“知道”谁的其他各方都在一定程度上足以确定信任权度。它是没有意义谈论某人是否是值得信赖的,如果你不知道他们是谁。 ESTA:建议推理的一些概念,这条线 身分 需要是互联网安全的一部分。

呼唤更好的身份验证,可以认为是指在互联网上的所有操作都应该来源于已知人。一个“负责任的互联网”电话这似乎几乎总是使用所需要的是相关的通用随着每一个动作强大的身份。我认为这将是一个非常糟糕的主意。一方面,这将排除任何形式的匿名行动,这是希望的频繁,而另一方面,它不会很好地工作。如何有信心,我们应该通过acerca身份凭证随着民族国家利益不利我们的发行?什么样的追索会,如果我们其中的一个演员做了一件不受欢迎?

在我看来,需要进行提示身份为不同的应用设计不同。您的银行确实需要知道你是谁;叫喊没有。一个网站,提供医疗咨询关于提交五月敏感问题 找出你。电子邮件,可能是什么重要的不是收件人是世卫鉴于卫生组织是发送者的证明,但发件人是同一个人在之前的消息。在消息的序列,接收器可以建立无论的模型的发送者是可信的(这个版本标识有时被称为身份连续性)。但这种方法来管理身份再次推动改善安全返回给应用程序层的责任。

权衡?

根据安全威胁的反应可能不同。考虑老式的纸质邮件。大多数人可能会说,他们的邮件不应该由第三方来打开,而它在过境邮箱是私人的。但如果信封中含有炭疽灰尘,如果它是由其他人,适当的培训,并在危险品西装打开会是很不错的。在互联网背景下,它可能是好的,如果看到收到的邮件是否进行了检查它是垃圾邮件或包含-malware,但将是不可能的,这项任务如果电子邮件加密,加密,虽然最好的办法就是保持机密性。

在网络上的攻击

可能的是互联网本身的一个区域被攻击,另一区域或由任一用户。作为马车分组基础设施,互联网是一个全球性的系统,并且它不应该是令人惊讶的是它的一些区域是恶意的或有利益不利对方。通常,攻击的目标是互联网的重要服务;三种最常用的服务是全球路由系统(边界网关协议,BGP),域名系统(DNS)和证书颁发机构(CA)系统。

BGP漏洞

使用BGP,互联网地址告诉其他区域位于该区域的各区域,以便数据包可以这被派往那里。如果恶意区宣布,它是一个很好的途径,以一些地址不属于那它,车流量月该地区相反的合法目的地和信息可以检查,堵塞,或在该地区的恶意操纵。

在BGP的脆弱性(和DNS)所知道了几十年,中的路由协议限制在1982年首次描述。[1] 这些漏洞做,为什么坚持?问题不在于缺乏技术方案。

这是一个问题,有竞争的解决方案,为每个激烈的倡导者。解决方案不同,部分,相对于什么的安全问题正在得到解决,它已经过气很难得到一致的意见的实际风险是什么。安全改进性能昂贵(大多加密的消息都涉及到路由器之中,这增加了性的基本处理消息的开销),所以没有积极性来部署他们很清楚,直到他们是必要的。由于BGP是一个全面的系统,许多演员将不得不同意的解决方案并进行部署。分歧如何提高已经持续多年BGP。那有没有组织充分负责全球互联网,它可以决定一个答案,所以一个可行的解决方案是难以捉摸的。

DNS漏洞

DNS映射到名称(例如,www.example.com)到一个因特网地址。如果DNS被恶意演员颠覆,它可以制成使旨在用于合法流量被发送到目的地而不是攻击者的名称返回错误的地址。与DNS,有较少的讨论或许大概的威胁是什么,但它still've为社会上的解决方案取得进展的沉重。

DNS加密可以帮助减轻问题。如果一个用户的加密密钥是特定于另一种,预期用户,然后流氓克隆到什么不能解密用户发送和恶意拦截失败。 (这是对可用性的攻击成功,但至少不会发生其他危害。)所以,如果攻击者想穿透加密通信,他们不仅要偏转交通流氓点,但也扰乱了密钥管理系统,使用户受到攻击有相应的党的错键(流氓克隆,而不是预期的端点的关键)。

CA系统漏洞

在互联网上,加密密钥由最常用CA系统管理,因此攻击者-motivated攻击ESTA系统。未能证明其具有抗攻击。

要衰减到,交流系统的设计是基于技术上的简化,该假设是有缺陷的。当在现实世界中部署:即 - 服务器组成的AC系统将是值得信赖的。在一个全球性的系统,一个不切实际的假设了。有一些CAS证明腐败,有的已渗透,有的(CAS国家行为具体操作)已经知道伸手假钥匙作为国家资助的行动的一部分。

如果攻击者可以截获流量都和手出假钥匙,他们可以深入到用户连接这个想法是由终端到终端的加密保护。事务的ESTA状态今天成立。

拒绝服务攻击

两次进攻被洪水它有这么多的外来·交通也被挤压出合法的流量禁用主机,应用程序或网络的区域。攻击需要交通的许多同时源等为服务(DDoS)攻击的通常叫做分布式拒绝。

在DDoS攻击的第一步是在网络上的渗透和颠覆许多终端节点,安装恶意软件以后可以吩咐承接各种任务,从发送垃圾邮件到参与DDoS攻击。被感染的计算机的集合被俗称僵尸网络,并控制它的人是僵尸主控机。

有多种方式来应对DDoS攻击(或破坏僵尸网络)。理想情况下,在互联网上的最终节点将是安全的,足以抵抗僵尸主控机收购。事实上,传统的每SONAL计算机的安全性在过去十年中有了很大的提高。然而,新一代的廉价边缘设备来对市场产生的监控摄像机,智能门铃等,其中很多都设计有没有想过安全。所以botmasters有新一代容易的目标开采。

他的僵尸主控机必须检查受感染的机器,这需要某种形式的指挥和控制系统。捍卫者试图破坏该系统,但互联网是一个通用的数据传输网络,所以botmasters创造新的方案,以控制其-botnets如旧的被破坏。

也可以是僵尸网络中断通过复制的潜在目标系统阻止我们,直到有足够的副本,从僵尸网络流量不能在同一时间压倒他们。哈弗服务的100个拷贝散布在互联网和攻击目标的所有的人,那么他的僵尸网络有100倍之大,如果只有一个副本在那里。如果一个攻击者精矿复制,可以将其禁用,但还有99仍在运行。

一些最有效的对策-botnets的都涉及识别botmasters,并带他们到法院。但这种方法往往是通过交叉管辖问题和法律的变化-thwarted。

结论

看似惨淡景象ESTA。但在我所描述的水平,问题是具体的,以至于有行动的机会。和安全确实越来越-更好,攻击者正在变得越来越好,虽然也。

谷歌已制定一项计划,以提高系统的安全CA这并不需要改变CA供应商本身。它被称为反式parency证书,而它也有缺点,它是在正确的方向的路径。其他措施正在兴起,以提高电子邮件发件人的真实性,等等。

一些经验教训,可以得出网络安全的未来:

  • 首先,虽然加密是一个强大的工具,它不是魔术。加密是成功的,它必须被嵌入在系统中可以管理密钥即处理器(如层次CA),和缺陷更容易在系统起来比加密算法本身。
  • 第二,一些攻击是复杂和多级。今天成功的攻击并非来自漏洞的单一开采,但可能需要若干步骤,SVN系统的不止一个。 ESTA现实信号的复杂攻击,同时也挫败的多个阶段的攻击的可能性。
  • 三,完善的安全是不可能的。安全性有时是相互冲突的威胁和响应的多维空间。加密是在特定环境是好还是坏主意,主意?如果一个应用程序,允许或阻止它有风险操作?
  • 四,BGP的案例说明了两个非技术壁垒,更好的安全性:协调问题和负外部性。承诺改善BGP时,超过70,000地区的运营商构成了互联网已经同意做出改变。但他们为什么要?他们承担实施和运行的成本,但不利于自己:这是用户受到损害的时候 - 交通偏向流氓路由。这就是负的外部性,一个球员承担,而另一个好处成本。有在协调问题和负外部性的网络安全空间的例子很多。
  • 最后,没有人负责。到显著的程度,这一事实,是一个优势,而非劣势。因为以协商一致的自下而上的互联网的发展,这是任何单个球员主宰未来的很辛苦。当而是需要集体决定,决策可能是困难的和缓慢的。电力FUL演员处理器(如谷歌,与跨parency证书)正在寻找问题的解决方案,希望他们可以单方面强加。 ESTA可能对安全性非常有利的结果,但是,反映了对较为集中的字符在互联网治理的变化。提高集中(对互联网的许多方面)可能是更好的安全性推的副产品。

确认

我非常感谢玛丽非常周到,细致的批评ELLEN ZURKO,以及卡梅隆·弗莱彻精心努力的出版商。

 


[1]  设计文档描述BGP的前身中,作者指出:“如果任何网关发送NR [网络可达]消息,以虚假信息,自称是一个适当的第一跳的网络,它其实甚至不能达到,交通注定那网络可能永远不会被传递。实施者必须牢记ESTA“(埃里克℃。罗森外部网关协议(EGP),上网征求意见827,1982年10月,可在//tools.ietf.org/html/rfc827,第32页)承担。潜在的漏洞没有被标记为安全风险,但更多的是一个错误,以避免。

关于作者:大卫·克拉克(NAE)是在麻省理工学院计算机科学和人工智能实验室的高级研究科学家。