在上周,“心脏滴血”(Heartbleed)仍旧是最热的话题。谁应该为滴血漏洞负主要责任呢?就在安全界争论到最热闹的时候,史上“最伟大”的程序猿出现了。他说,你们都别吵了,那段OpenSSL问题代码尼玛就是我写的。
谁应该为“心脏滴血”负主要责任?
到底谁该为“心脏滴血”漏洞负责,这是安全界最近争论的焦点之一。大家众说纷纭,靠谱的不靠谱的,说什么的都有。就在这个时候,“史上最伟大”的程序猿出现了——他就是Robin Seggelmann。Seggelmann说,你们都别吵了,那段OpenSSL问题代码尼玛就是我写的。
“我写了那段代码,忽略了一个必要的验证,其实就是疏忽了,” Seggelmann对《卫报》说,“然后在代码验证阶段犯了同样的问题,这个问题在版本发布时仍旧存在。”
不管Seggelmann的这个“疏忽”(Oversight)对人类社会到底造成了多么严重的后果,他无疑是一个勇敢的攻城狮。甭说别的,换上你,你敢承认吗?
很多人借此大力抨击开源社区:尼玛都是瞎子吗?不是说任何BUG逃不过开源社区几百万程序猿的眼睛吗?这次尼玛怎么没人看出来呢?
勇敢的程序猿Seggelmann不这么认为。他充分肯定了开源社区。他认为最根本的问题不在开源这种形式,不仅如此,事实上开源社区太需要更多的资金和资助。开源社区表面看起来红红火火,实际上很多社区都面临生存的挑战。
这和CAST的Peter Pizzutillo的观点不谋而合。Pizzutillo认为开源社区的重大问题正是源于大多人的不劳而获。“90%的网站只是拷走代码,然后拍拍屁股就走了,不会对开源社区做任何贡献,” Pizzutillo忿然道,“开源社区远不象以前那样活跃,现在只剩下一小部分狂热的开发者,归罪于开源社区自身是不公平的。此外,只有开源社区,没有开放测试社区,这就不行了。开源社区只有在代码的索取者同时也是代码的贡献/反馈者的前提下才可能长期有效运作”。
更为激进的批评者认为诸如Google,Cisco,BlackBerry和Juniper这些“滴血漏洞”的受害者公司纯属咎由自取。“他们就是活该!从OpenSSL拷走代码,尼玛不测试一下就用了?”批评者称,很多大公司的程序猿直接从诸如OpenSSL这样的开源社区拷贝代码,然后不经过必要的安全测试就上线了。因此,一个开放源代码漏洞成为众多网站的通病是很正常的事情。
普遍的观点是,指望开源社区进行全面和细致的代码安全性测试是非常不现实的。很多人因此提议,类似Google这样的大公司应该拿些钱出来资助开源社区。开源社区有钱了,可以建立更为完善的机制,可以吸引更多的代码高手,这样一来,相应的安全测试机制就可以自然而然地形成。
观点貌似有些道理。不管开源还是不开源,Seggelmann一定不是第一个编写出存在如此重大bug的程序猿,也肯定不是最后一个。开源社区存在的安全问题和解决方法的讨论因此番“心脏滴血”漏洞的爆发,显得比以往都更急迫。
“心脏滴血”可能引发DDoS攻击吗?
“‘心脏滴血’漏洞可以被利用发起放大DDoS攻击,放大的倍数是3000倍!”对于这样的论断你怎么看?这是Twitter上的言论。
扯淡!你可能会这么说,NTP才尼玛放大400倍,“Heartbleed”怎么可能放大得更多?
你说的很对。问题的关键不是放大多少倍,而是“Heartbleed”基于TLS,需要维持TCP会话,NTP基于UDP,没有状态,因此不可能发生类似NTP或DNS的反射放大情况。
不过,有人提醒,不要忘了TLS还有个兄弟——DTLS——基于UDP的TLS哦。基于UDP可以取得更高的通信性能,但是DTLS可是不基于状态的哦。那么是否可以被利用发起反射放大DDoS攻击呢?
针对这个问题,Black Lotus的Jeffrey A. Lyon做了详细解答。
Lyon的答案:不太可能。感谢RFC4347,它在DTLS通信中增加了cookie机制。发送一方在发送request信息的时候,加入cookie,并要求应答一方在返回的报文中携带同样的cookie,才可能继续接下来的通信。这样一来在很大程度上规避了反射的风险。
其次,如果攻击者绕过了Cookie机制怎么办?不是不可能。但是,DTLS自身具有天然的免疫力。首先,DTLS的应用很少。没有获得广泛应用的原因恰恰是其安全机制。虽然是UDP,但是由于引入了很多类似TCP的验证,使得原有UDP的高效丧失,效率上不比TCP高,因此采用DTLS的价值不太大。即便采用了DTLS,利用request信息获得反射response报文的放大倍数是相当低的,比NTP和DNS反射倍数小很多,攻击ROI是很低的。攻击者与其使用复杂的DTLS来放大,不如选择更简单方便的NTP或DNS协议。
简言之,至少在当下,利用“心脏滴血”漏洞发动DDoS攻击的可能性不大。但是Lyon提醒,当下的结论只是当下的猜测,不排除在不远的将来有人会利用类似的漏洞发起DDoS攻击。
为啥?安全攻击变化太快。
斯诺登说,如果你们认为我会帮助普京,那你们就错了。
斯诺登在18号的普京年度记者发布会上公开挑战这位收留他并给他帮助的俄罗斯总统。当时,在普京谈到与美国的紧张关系,特别是在斯诺登事件之后这种形势变得更为严峻时,在会议现场的斯诺登向普京发问:“Does [your country] intercept, analyse or store millions of individuals' communications?(你们国家也监听、分析和存储数百万民众的通信吗?)”
这位被美政府视为“叛国者”的人,在政治避难8个月后,对其避难所在国——俄罗斯发出公开质问。提出的问题竟然与其对美国政府的指责如出一辙。其结果,毫无疑问,公众一片哗然。
有意思的是,斯诺登对公众的反应“非常震惊”:“我真的很惊讶,你们会认为我只会挑战我的祖国,而不会批评俄罗斯类似的监控行为。”
“我期待普京的回答,不管他怎么说,都会推进记者和民众对这个问题的关注,”斯诺登说,“不过,显然,普京避开了这个问题,转而大谈公共安全在法律和道德上的意义”。
斯诺登称,他知道,很多人都认为他在面对普京的时候,会提出一些不痛不痒的问题。毕竟普京是收留并给他帮助的人。但是,斯诺登说,他不会因为身在俄罗斯就改变和放弃他曝光美国政府行为的初衷和原则。
换句话说,他不会违背他基本的价值观。即便是面对普京。