【51CTO.com快譯自12月29日外電頭條】2009年即將過(guò)去，新的一年即將來(lái)到。盤(pán)點(diǎn)過(guò)去更有助于規(guī)劃未來(lái)，IT自由撰稿人Chad Perrin分享了他在過(guò)去一年中碰到的十大安全誤解。

一、做對(duì)某些事情意味著你不會(huì)犯錯(cuò)

不要因?yàn)樽鰧?duì)了某些事情而沾沾自喜。尤其在安全方面更是如此。加固系統(tǒng)安全永遠(yuǎn)沒(méi)有真正完成的時(shí)候，因?yàn)榘踩皇亲裱玫姆雷o(hù)行為的必然最終結(jié)果，提高安全性總有更多的事情可做。安全更像是一個(gè)過(guò)程而非目標(biāo)，更像是一個(gè)旅程而非終點(diǎn)，更像是一種行為而非產(chǎn)品。

同樣，如果你做對(duì)了某些事情，并不一定代表你不會(huì)犯錯(cuò)。在選擇安全解決方案時(shí)所有人都應(yīng)該牢記此點(diǎn)。當(dāng)Coverity公司宣布它將為開(kāi)源項(xiàng)目提供代碼審核支持時(shí)，我們應(yīng)該為其鼓掌，但同時(shí)會(huì)問(wèn)一句，“明天的計(jì)劃是什么？”當(dāng)谷歌在開(kāi)源許可下提供RatProxy時(shí)，我們也為其鼓掌，但也會(huì)問(wèn)它：“為什么你不尊重我們的隱私？”

二、匿名與審核無(wú)法共存

包括所謂安全專家在內(nèi)的許多人認(rèn)為，無(wú)法做到既對(duì)一項(xiàng)事務(wù)進(jìn)行審核同時(shí)允許參與方保持匿名。但是，這兩方面并非人們所想的那樣互相排斥。其中一個(gè)例子是，使用OTR加密庫(kù)可以同時(shí)保證安全審核和匿名，它可以讓兩個(gè)人進(jìn)行處于互相驗(yàn)證狀態(tài)的聯(lián)系，同時(shí)無(wú)需向任何第三方提供任何身份相關(guān)信息。

另一個(gè)例子是麻省理工學(xué)院的選票記錄系統(tǒng)Scantegrity II，它通過(guò)使用投票序列號(hào)和選舉代碼來(lái)允許選民驗(yàn)證他們的選票是否被正確計(jì)數(shù)，同時(shí)又讓他們實(shí)現(xiàn)了匿名投票。這種選票計(jì)數(shù)系統(tǒng)目前已經(jīng)被成功應(yīng)用在真實(shí)選舉活動(dòng)中。

三、推動(dòng)項(xiàng)目成功需要GPL

開(kāi)源軟件社區(qū)的許多人堅(jiān)稱，要想***化實(shí)現(xiàn)一個(gè)開(kāi)源項(xiàng)目的成功，GPL（通用公共許可協(xié)議）是必需的。他們認(rèn)為，如果沒(méi)有非盈利版權(quán)許可來(lái)“迫使”人們開(kāi)放自己的源代碼，許多重要的軟件改進(jìn)將無(wú)緣公眾，將被閉源企業(yè)反競(jìng)爭(zhēng)行為世界所獨(dú)占。但實(shí)際情況是，非盈利版權(quán)許可同時(shí)也束縛了軟件的發(fā)展，讓某些企業(yè)遠(yuǎn)離了非盈利版權(quán)代碼，因?yàn)閾?dān)心它可能會(huì)影響公司自己的版權(quán)代碼。

證明這個(gè)觀點(diǎn)錯(cuò)誤的例子包括網(wǎng)絡(luò)服務(wù)器Apache的成功，它是迄今為止最成功的開(kāi)源項(xiàng)目；SQLite被部署的范圍可能比所有其它SQL數(shù)據(jù)庫(kù)引擎的總和還要大；OpenSSH不僅是當(dāng)今部署最廣泛的加密通道軟件，而且是當(dāng)今最安全的安全通道框架軟件。上述三個(gè)成功的軟件都在自由拷貝（copyfree）許可下發(fā)布。因此，當(dāng)你開(kāi)發(fā)安全軟件時(shí)，這種自由拷貝許可或許是一種更佳選擇。

四、Ubuntu Linux是當(dāng)今最安全的操作系統(tǒng)

長(zhǎng)期以來(lái)許多人一直堅(jiān)稱Linux是最安全的操作系統(tǒng)，最近幾年這一說(shuō)法已經(jīng)具體到Linux的具體版本Ubuntu，這種觀點(diǎn)在2009年似乎變得更加流行。但實(shí)際上Linux并非當(dāng)今最安全的操作系統(tǒng)。實(shí)際上，沒(méi)有哪一個(gè)操作系統(tǒng)是最安全的，因?yàn)橐粋€(gè)指定操作系統(tǒng)的相對(duì)安全性取決于太多因素，其中包括它被如何使用和配置，它面臨的威脅種類(lèi)等。——51CTO編者按：很久之前國(guó)內(nèi)有篇很熱的黑客小說(shuō)，作者為了避免Linux的一些問(wèn)題使用了OpenBSD。

五、安全廠商是專家，我們應(yīng)該按他們說(shuō)的做

人們經(jīng)常引用賽門(mén)鐵克等安全軟件廠商和思科等網(wǎng)絡(luò)硬件廠商發(fā)布的報(bào)告和白皮書(shū)，作為自己行為的安全準(zhǔn)則。但實(shí)際上，任何人都可能犯錯(cuò)；廠商都有自己的利益追求，其觀點(diǎn)需要有保留的接受。

實(shí)際上，如果我們想盡***努力來(lái)加固自己負(fù)責(zé)系統(tǒng)的安全，就永遠(yuǎn)不能以一個(gè)安全專家的判斷來(lái)完全替代我們自己的判斷。只有我們最了解自己的特定環(huán)境和需求；反病毒廠商的CEO只能站在一個(gè)更籠統(tǒng)廣泛的立場(chǎng)上發(fā)表自己的觀點(diǎn)，而且他們往往只是學(xué)舌其它人的觀點(diǎn)。

六、加密是***的在線安全問(wèn)題

加密是一個(gè)非常非常重要的在線安全問(wèn)題，但是還有一個(gè)多數(shù)安全專家不會(huì)言及的“秘密”問(wèn)題，它比存在缺陷或欺騙性的加密危害更嚴(yán)重，即加密連接另一端的人。如果連接另一端的人(或企業(yè))把數(shù)據(jù)銷(xiāo)售給合作廠商，或?qū)⑵浒l(fā)布在社交網(wǎng)站Facebook上，那再好的加密又有什么用？

采取加密是必需的，加密的重要性毋庸置疑，只是你不能總將其稱為最重要的事情。你還要警惕處于連接另一端的家伙。另外，如果你的計(jì)算機(jī)感染了rootkits和鍵盤(pán)記錄器軟件，你的加密軟件可能對(duì)你沒(méi)有多大幫助。這就是我為什么選擇FreeBSD作為我主要操作系統(tǒng)的原因，微軟Windows、蘋(píng)果Mac OS X和其它好多操作系統(tǒng)不值得用戶信賴?！?1CTO王文文：很久之前國(guó)內(nèi)有篇很熱的黑客小說(shuō)，作者在兩軍對(duì)壘時(shí)為了避免Linux的一些問(wèn)題使用了OpenBSD。

七、漏洞報(bào)告越少意味著越安全

一個(gè)軟件被公布的安全漏洞少，并不能說(shuō)明它比其它軟件安全。其中一個(gè)例子是火狐瀏覽器，盡管它報(bào)告了大量漏洞，但這并不能說(shuō)明它具有最多漏洞。由于該軟件是開(kāi)源的，所有漏洞都會(huì)被公開(kāi)，相比之下，Adobe和微軟等專有軟件廠商一般只會(huì)對(duì)有外部研究人士發(fā)現(xiàn)的漏洞，而不公布內(nèi)部發(fā)現(xiàn)的漏洞。

八、發(fā)現(xiàn)漏洞而不公布是負(fù)責(zé)任的態(tài)度

無(wú)論我們?cè)趺唇忉尅盁o(wú)知并不代表安全”，總有人在這方面有錯(cuò)誤看法。其中發(fā)生在2009年一個(gè)最明顯的例子是，微軟一直試圖懲罰那些警告用戶微軟軟件存在長(zhǎng)期漏洞的人，而且他們只是在微軟數(shù)月甚至數(shù)年無(wú)視漏洞存在之后，才向用戶告警。

微軟認(rèn)為，安全人士談?wù)撥浖┒?，如果惡意分子知道了相關(guān)信息，會(huì)置用戶于更大的風(fēng)險(xiǎn)之中，因此我們應(yīng)該讓廠商秘密工作，直到它們已經(jīng)準(zhǔn)備好部署新安全補(bǔ)丁。當(dāng)然，它們認(rèn)為讓用戶等待數(shù)月甚至數(shù)年是可以接受的，認(rèn)為簡(jiǎn)單的不解決安全問(wèn)題才會(huì)真正保護(hù)用戶免遭風(fēng)險(xiǎn)。

如果安全研究人士閉口不談自己發(fā)現(xiàn)的漏洞，廠商自然可以按照自己的意愿悠閑自得的去慢慢推出安全補(bǔ)?。坏侨绻踩芯咳耸孔尶蛻糁懒寺┒葱畔?，廠商將面臨巨大壓力來(lái)解決這些問(wèn)題。但是問(wèn)題是，如果安全專家發(fā)現(xiàn)了漏洞所在，惡意分子同樣也可以自己發(fā)現(xiàn)它們。因此，無(wú)知并不代表安全。從一個(gè)漏洞被公布，到一個(gè)補(bǔ)丁推出，微軟最快的響應(yīng)時(shí)間都比Linux內(nèi)核升級(jí)所需的平均時(shí)間要長(zhǎng)得多。

九、微軟是年度安全MVP

2009年，媒體對(duì)微軟大加贊譽(yù)，稱其“從一個(gè)安全方面的受嘲笑者變?yōu)橐粋€(gè)安全創(chuàng)新者?！闭\(chéng)然，微軟在2009年的確***了一些安全趨勢(shì)，其一是成為Conficker蠕蟲(chóng)病毒的重要角色，另外它提出要懲罰安全研究人士“不負(fù)責(zé)任的”公布漏洞信息。

微軟公關(guān)人員可能花了不少心思來(lái)說(shuō)服媒體，微軟已經(jīng)成為當(dāng)今最安全的軟件廠商。它本身可能也在改進(jìn)內(nèi)部安全開(kāi)發(fā)策略。但是，它很明顯還有很長(zhǎng)的路要走，才能成為真正的安全MVP。

十、圣誕老人可能鉆進(jìn)你的煙囪來(lái)給你送禮物

一個(gè)令人難過(guò)的事實(shí)是，你必須承認(rèn)，即使一個(gè)營(yíng)養(yǎng)不良的8歲小孩也鉆不進(jìn)現(xiàn)在的家庭中的煙囪，更何況圣誕老人。

盡管如此，出于安全考慮，我也不能大開(kāi)房門(mén)或窗戶，或者把鑰匙放在門(mén)前地墊下，來(lái)讓圣誕老人到我家中送禮物。如果這樣做，惡意分子恐怕也會(huì)趁機(jī)而來(lái)。

【51CTO.com譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】

原文：Major security myths of 2009  作者：Chad Perrin

【編輯推薦】

1. DDoS來(lái)襲Amazon圣誕節(jié)遭殃 DNS防護(hù)不可回避
2. 微軟IIS互聯(lián)網(wǎng)信息服務(wù)發(fā)現(xiàn)嚴(yán)重安全漏洞
3. 什么是僵尸網(wǎng)絡(luò)
4. SNIFFER透視動(dòng)態(tài)域名
5. 從服務(wù)器滲透到獲取個(gè)人信息實(shí)戰(zhàn)