由DNS漏洞引发的Web安全思考
2008-08-14 13:15:48 来源:WEB开发网当然我们也少不了CERT的帮助。
我们进行了有趣的探讨,虽然期间出现了很多分歧,但是慢慢地也开始达成很多共识。在对很多方法进行评估后,其中最好的方法也逐渐清晰出来,我必须承认,这让PAUL着实有些尴尬。
DJB是正确的。在很多年前,Dan J. Bernstein就是正确的:源端口随机化应该要在生产使用中成为每一个域名服务器必须具备的标准。
在我工作的过程中有一句这样的话一直指导着我前行:运气是设计的残余物质。Dan Bernstein无疑是一个特别幸运的程序员,但是这也并非偶然。这位程序专家以一种十分自然的方式进行着他的系统工程,就像生命和呼吸一样自然的方式,这是置身于混乱代码中的我渴望的一种工作方式。从这点来看他是“幸运的”,他成功地让自己免受那些几乎从未遇到过的攻击的袭击。
而这才是真正优秀设计的标志,优秀的设计可以让你免受那些你完全不知道的事物的困扰,所以我们正在部署这种优秀设计来提供各种信息。
为了让大家能够更好地理解这个修复补丁,我们可以这样来理解,想象一下从匿名用户到身份验证用户处产生的大量WINDOWS RPC,或者只是管理员。只要联想一下WINDOWS XP SP2。从设计的角度来看,这像是一个大斧子,它能够切断所有攻击面,而不需要说明原因。通过一个适当的修补程序,甚至连微乎其微的漏洞都能够很容易隐藏,或者变得无关紧要。
当然,很显然会有一些新的问题出现,一些最终将会被发现的问题。还是存在很多漏洞程序,这些漏洞程序不仅仅容易受到新的漏洞的攻击,即使是对于那些存在多年的漏洞仍然没有办法。如果我们做出的所有努力能够将那些困扰我们很久的BIND 8漏洞从互联网中清除,如果我们能够完全消除Joe Stewart于2002年制造的生日攻击,如果我们能够对于Amit Klein去年发现的Transaction ID Randomness开始作出一些努力,如果DJB多年前警告过我们的静态断口分配问题能够解决,那么我们就获得了巨大的胜利。
新问题之所以如此严重是有原因的,但是我认为理性的人应该会同意这样的说法,那就是,即使只是旧的漏洞,都将成为互联网安全的巨大威胁。所以,我想请问开放研究社区,假设我什么都没有发现,假设这只是一个噱头,只是想引起人们对JOE和AMIT以及DJB等问题的重视,以及给网络扫描器一个透明的清晰的环境,让人们知道可信的好的服务器是怎样的。
Joe 和Amit 特别是 DJB做了一些让我们难以置信的事情 ,我从中看到了最可怕的一面,但是他们的漏洞最终还是被修复了,并且至今还没有出现问题。
对于那些不会作出这样假设的人,我有一个请求,一个不寻常的请求,可能也是不合理的请求,但是我还是要问。
我要你们探索DNS,我希望你们能尝试建立类似的漏洞,来找出可能出现的问题。也许我漏掉了一些东西,希望你们能把我漏掉的部分补充上来,那么我们就能尽快地解决它。真的希望你们能和我一起努力把所有问题都解决掉。同样,我一直都想能够让我的家人安全地使用互联网,我不奢望永远的安全,我只要哪怕三十天。我已经尽自己全力去获取有效补丁,不管是哪种平台。但是代码总是不能自身安装。当我不在场的时候,希望你们能帮助我一起将所有这些旧的或新的漏洞从互联网中清除,以保障公共论坛和IRC频道的正常秩序。我们很好奇,我们想知道问题是如何产生的。但是当公众需要哪怕一次修复这些漏洞的机会,从一个十分自私的角度来说,我还是有点希望我的thunder不会被完全清除。
更多精彩
赞助商链接