安全杂谈:IT安全方面的五件怪事

ZDNet安全频道原创翻译 转载请注明作者以及出处

任何一个行业的专家(真正关注这个行业的人士)都会发现有一些怪事，尽管他们知道这样不好，应该改正，但总是不愿意这么做，并且也不会说明实际的原因。在这里，我就告诉大家，自己在IT安全领域发现的五件怪事。
--------------------------------------------------------------------------------------------

　　有时间，我就是喜欢抱怨。我环顾周围的世界，对于存在的安全威胁日益上升而感到万分绝望。坦率地说，对于问题的解决来说，技术永远是最容易的部分。通常情况下，由于解决方案本身可能是不明确的，也非常难以执行的，所以也就不会产生什么效果。尽管在修饰方式上可能有差别，但正如布鲁斯·施奈尔所指出的，在IT安全方面的最大问题就是人本身。

　　安全问题处理属于非常棘手的社会问题，特别是在出现群体恐慌行为的时间。下面就是我发现的一些怪事：

　　1. 绝大多数人依然认为无知是一种有效的安全战略。关于安全曾经有一种观点认为，让人们处于黑暗中可以在某种程度上提高安全性。但实际上，这个问题的答案是否定的。在现在的情况下，默默无闻并不等于安全。实际上，在很多情况下，情况正好是相反的。

　　2. 对IT安全一无所知的人掌握了制定IT安全政策的权力。尤其突出的是，国会议员、法官以及执法人员掌握了保证IT安全的大量权力，但使用的效果显然是不称职的。这是一个令人悲哀的事实，并不是也不应该用法律控制一切。

　　3. 人们坚持认为改善安全的最佳途径是破坏它。在未经允许的情况下，不论处于何种目的，窥探理应受到保护的人们的生活，不仅仅是错误的，导致的实际效果也会是适得其反的。请务必记住，隐私才真正意味是安全，不要犯下为拯救村庄而烧毁它这样的决策错误。

　　4. 我们还是没有普及采用了廉价技术的加密电话。尽管这样，用电话与某人交流有关银行账户的信息，敏感的法律问题或者其他私人议题几乎从未被质疑作为一种安全沟通手段的实际效果。特别是数字通讯技术的发展，现在的手机已经可以运行如俄罗斯方块和纸牌游戏之类的游戏了，使用加密技术来保护敏感信息的安全在技术上没有任何限制。在这方面，目前唯一的亮点是运行Openmoko Linux和谷歌Android开源操作系统的设备可以支持在手机中加入加密软件，但我没发现这一缺陷在近期内会被消除。

　　唯一值得高兴的事情是目前不缺乏可用的技术。。。

　　5. 我们已经普及了用于在线交流的免费加密技术，但(几乎)没有人使用。包括GnuPG、OpenSSH以及OTR在内的加密工具，可以支持所有类型的主流软件，银行通知系统，但即使是我的朋友都无法或者没有使用加密技术来保护交流的安全，防止安全黑客的攻击。简直是莫名其妙，也许，在大部分人心里并没有认识到加密的重要性。

　　你可能已经注意到，我发现的安全方面的怪癖都可以归结在一个标题下：任性无知。实际上，我觉得这是最大的一个怪癖，甚至不是仅仅限制在安全问题方面。我希望告诉大家发现的问题，尽力减轻安全方面存在的风险。