完美世界小说txt下载,完美世界国际版下载

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

一周海外安全事件回顧(2014.04.14-04.20)

在上周，“心臟滴血”(Heartbleed)仍舊是最熱的話題。誰應(yīng)該為滴血漏洞負主要責(zé)任呢?就在安全界爭論到最熱鬧的時候，史上“最偉大”的程序猿出現(xiàn)了。他說，你們都別吵了，那段OpenSSL問題代碼尼瑪就是我寫的。

專注于為中小企業(yè)提供做網(wǎng)站、成都做網(wǎng)站服務(wù),電腦端+手機端+微信端的三站合一,更高效的管理,為中小企業(yè)安居免費做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都，凝聚了一批互聯(lián)網(wǎng)行業(yè)人才，有力地推動了上1000+企業(yè)的穩(wěn)健成長，幫助中小企業(yè)通過網(wǎng)站建設(shè)實現(xiàn)規(guī)模擴充和轉(zhuǎn)變。

誰應(yīng)該為“心臟滴血”負主要責(zé)任?

到底誰該為“心臟滴血”漏洞負責(zé)，這是安全界最近爭論的焦點之一。大家眾說紛紜，靠譜的不靠譜的，說什么的都有。就在這個時候，“史上最偉大”的程序猿出現(xiàn)了——他就是Robin Seggelmann。Seggelmann說，你們都別吵了，那段OpenSSL問題代碼尼瑪就是我寫的。

“我寫了那段代碼，忽略了一個必要的驗證，其實就是疏忽了，” Seggelmann對《衛(wèi)報》說，“然后在代碼驗證階段犯了同樣的問題，這個問題在版本發(fā)布時仍舊存在。”

不管Seggelmann的這個“疏忽”(Oversight)對人類社會到底造成了多么嚴(yán)重的后果，他無疑是一個勇敢的攻城獅。甭說別的，換上你，你敢承認(rèn)嗎?

很多人借此大力抨擊開源社區(qū)：尼瑪都是瞎子嗎?不是說任何BUG逃不過開源社區(qū)幾百萬程序猿的眼睛嗎?這次尼瑪怎么沒人看出來呢?

勇敢的程序猿Seggelmann不這么認(rèn)為。他充分肯定了開源社區(qū)。他認(rèn)為最根本的問題不在開源這種形式，不僅如此，事實上開源社區(qū)太需要更多的資金和資助。開源社區(qū)表面看起來紅紅火火，實際上很多社區(qū)都面臨生存的挑戰(zhàn)。

這和CAST的Peter Pizzutillo的觀點不謀而合。Pizzutillo認(rèn)為開源社區(qū)的重大問題正是源于大多人的不勞而獲?！?0%的網(wǎng)站只是拷走代碼，然后拍拍屁股就走了，不會對開源社區(qū)做任何貢獻，” Pizzutillo忿然道，“開源社區(qū)遠不象以前那樣活躍，現(xiàn)在只剩下一小部分狂熱的開發(fā)者，歸罪于開源社區(qū)自身是不公平的。此外，只有開源社區(qū)，沒有開放測試社區(qū)，這就不行了。開源社區(qū)只有在代碼的索取者同時也是代碼的貢獻/反饋者的前提下才可能長期有效運作”。

更為激進的批評者認(rèn)為諸如Google，Cisco，BlackBerry和Juniper這些“滴血漏洞”的受害者公司純屬咎由自取?！八麄兙褪腔钤?從OpenSSL拷走代碼，尼瑪不測試一下就用了?”批評者稱，很多大公司的程序猿直接從諸如OpenSSL這樣的開源社區(qū)拷貝代碼，然后不經(jīng)過必要的安全測試就上線了。因此，一個開放源代碼漏洞成為眾多網(wǎng)站的通病是很正常的事情。

普遍的觀點是，指望開源社區(qū)進行全面和細致的代碼安全性測試是非常不現(xiàn)實的。很多人因此提議，類似Google這樣的大公司應(yīng)該拿些錢出來資助開源社區(qū)。開源社區(qū)有錢了，可以建立更為完善的機制，可以吸引更多的代碼高手，這樣一來，相應(yīng)的安全測試機制就可以自然而然地形成。

觀點貌似有些道理。不管開源還是不開源，Seggelmann一定不是第一個編寫出存在如此重大bug的程序猿，也肯定不是最后一個。開源社區(qū)存在的安全問題和解決方法的討論因此番“心臟滴血”漏洞的爆發(fā)，顯得比以往都更急迫。

“心臟滴血”可能引發(fā)DDoS攻擊嗎?

“‘心臟滴血’漏洞可以被利用發(fā)起放大DDoS攻擊，放大的倍數(shù)是3000倍!”對于這樣的論斷你怎么看?這是Twitter上的言論。

扯淡!你可能會這么說，NTP才尼瑪放大400倍，“Heartbleed”怎么可能放大得更多?

你說的很對。問題的關(guān)鍵不是放大多少倍，而是“Heartbleed”基于TLS，需要維持TCP會話，NTP基于UDP，沒有狀態(tài)，因此不可能發(fā)生類似NTP或DNS的反射放大情況。

不過，有人提醒，不要忘了TLS還有個兄弟——DTLS——基于UDP的TLS哦?；赨DP可以取得更高的通信性能，但是DTLS可是不基于狀態(tài)的哦。那么是否可以被利用發(fā)起反射放大DDoS攻擊呢?

針對這個問題，Black Lotus的Jeffrey A. Lyon做了詳細解答。

Lyon的答案：不太可能。感謝RFC4347，它在DTLS通信中增加了cookie機制。發(fā)送一方在發(fā)送request信息的時候，加入cookie，并要求應(yīng)答一方在返回的報文中攜帶同樣的cookie，才可能繼續(xù)接下來的通信。這樣一來在很大程度上規(guī)避了反射的風(fēng)險。

其次，如果攻擊者繞過了Cookie機制怎么辦?不是不可能。但是，DTLS自身具有天然的免疫力。首先，DTLS的應(yīng)用很少。沒有獲得廣泛應(yīng)用的原因恰恰是其安全機制。雖然是UDP，但是由于引入了很多類似TCP的驗證，使得原有UDP的高效喪失，效率上不比TCP高，因此采用DTLS的價值不太大。即便采用了DTLS，利用request信息獲得反射response報文的放大倍數(shù)是相當(dāng)?shù)偷?，比NTP和DNS反射倍數(shù)小很多，攻擊ROI是很低的。攻擊者與其使用復(fù)雜的DTLS來放大，不如選擇更簡單方便的NTP或DNS協(xié)議。

簡言之，至少在當(dāng)下，利用“心臟滴血”漏洞發(fā)動DDoS攻擊的可能性不大。但是Lyon提醒，當(dāng)下的結(jié)論只是當(dāng)下的猜測，不排除在不遠的將來有人會利用類似的漏洞發(fā)起DDoS攻擊。

文章名稱：一周海外安全事件回顧(2014.04.14-04.20)
分享URL：http://m.fisionsoft.com.cn/article/cooooei.html

新聞中心

其他資訊