在上周，“心臟滴血”(Heartbleed)仍舊是最熱的話題。誰應(yīng)該為滴血漏洞負(fù)主要責(zé)任呢?就在安全界爭論到最熱鬧的時(shí)候，史上“最偉大”的程序猿出現(xiàn)了。他說，你們都別吵了，那段OpenSSL問題代碼尼瑪就是我寫的。

??

[[111852]]

誰應(yīng)該為“心臟滴血”負(fù)主要責(zé)任?

到底誰該為“心臟滴血”漏洞負(fù)責(zé)，這是安全界最近爭論的焦點(diǎn)之一。大家眾說紛紜，靠譜的不靠譜的，說什么的都有。就在這個(gè)時(shí)候，“史上最偉大”的程序猿出現(xiàn)了——他就是Robin Seggelmann。Seggelmann說，你們都別吵了，那段OpenSSL問題代碼尼瑪就是我寫的。

??

[[111853]]

“我寫了那段代碼，忽略了一個(gè)必要的驗(yàn)證，其實(shí)就是疏忽了，” Seggelmann對《衛(wèi)報(bào)》說，“然后在代碼驗(yàn)證階段犯了同樣的問題，這個(gè)問題在版本發(fā)布時(shí)仍舊存在?！?/p>

不管Seggelmann的這個(gè)“疏忽”(Oversight)對人類社會到底造成了多么嚴(yán)重的后果，他無疑是一個(gè)勇敢的攻城獅。甭說別的，換上你，你敢承認(rèn)嗎?

很多人借此大力抨擊開源社區(qū)：尼瑪都是瞎子嗎?不是說任何BUG逃不過開源社區(qū)幾百萬程序猿的眼睛嗎?這次尼瑪怎么沒人看出來呢?

勇敢的程序猿Seggelmann不這么認(rèn)為。他充分肯定了開源社區(qū)。他認(rèn)為最根本的問題不在開源這種形式，不僅如此，事實(shí)上開源社區(qū)太需要更多的資金和資助。開源社區(qū)表面看起來紅紅火火，實(shí)際上很多社區(qū)都面臨生存的挑戰(zhàn)。

??

這和CAST的Peter Pizzutillo的觀點(diǎn)不謀而合。Pizzutillo認(rèn)為開源社區(qū)的重大問題正是源于大多人的不勞而獲?！?0%的網(wǎng)站只是拷走代碼，然后拍拍屁股就走了，不會對開源社區(qū)做任何貢獻(xiàn)，” Pizzutillo忿然道，“開源社區(qū)遠(yuǎn)不象以前那樣活躍，現(xiàn)在只剩下一小部分狂熱的開發(fā)者，歸罪于開源社區(qū)自身是不公平的。此外，只有開源社區(qū)，沒有開放測試社區(qū)，這就不行了。開源社區(qū)只有在代碼的索取者同時(shí)也是代碼的貢獻(xiàn)/反饋者的前提下才可能長期有效運(yùn)作”。

更為激進(jìn)的批評者認(rèn)為諸如Google，Cisco，BlackBerry和Juniper這些“滴血漏洞”的受害者公司純屬咎由自取。“他們就是活該!從OpenSSL拷走代碼，尼瑪不測試一下就用了?”批評者稱，很多大公司的程序猿直接從諸如OpenSSL這樣的開源社區(qū)拷貝代碼，然后不經(jīng)過必要的安全測試就上線了。因此，一個(gè)開放源代碼漏洞成為眾多網(wǎng)站的通病是很正常的事情。

普遍的觀點(diǎn)是，指望開源社區(qū)進(jìn)行全面和細(xì)致的代碼安全性測試是非常不現(xiàn)實(shí)的。很多人因此提議，類似Google這樣的大公司應(yīng)該拿些錢出來資助開源社區(qū)。開源社區(qū)有錢了，可以建立更為完善的機(jī)制，可以吸引更多的代碼高手，這樣一來，相應(yīng)的安全測試機(jī)制就可以自然而然地形成。

觀點(diǎn)貌似有些道理。不管開源還是不開源，Seggelmann一定不是第一個(gè)編寫出存在如此重大bug的程序猿，也肯定不是最后一個(gè)。開源社區(qū)存在的安全問題和解決方法的討論因此番“心臟滴血”漏洞的爆發(fā)，顯得比以往都更急迫。

“心臟滴血”可能引發(fā)DDoS攻擊嗎?

“‘心臟滴血’漏洞可以被利用發(fā)起放大DDoS攻擊，放大的倍數(shù)是3000倍!”對于這樣的論斷你怎么看?這是Twitter上的言論。

扯淡!你可能會這么說，NTP才尼瑪放大400倍，“Heartbleed”怎么可能放大得更多?

你說的很對。問題的關(guān)鍵不是放大多少倍，而是“Heartbleed”基于TLS，需要維持TCP會話，NTP基于UDP，沒有狀態(tài)，因此不可能發(fā)生類似NTP或DNS的反射放大情況。

不過，有人提醒，不要忘了TLS還有個(gè)兄弟——DTLS——基于UDP的TLS哦?；赨DP可以取得更高的通信性能，但是DTLS可是不基于狀態(tài)的哦。那么是否可以被利用發(fā)起反射放大DDoS攻擊呢?

針對這個(gè)問題，Black Lotus的Jeffrey A. Lyon做了詳細(xì)解答。

Lyon的答案：不太可能。感謝RFC4347，它在DTLS通信中增加了cookie機(jī)制。發(fā)送一方在發(fā)送request信息的時(shí)候，加入cookie，并要求應(yīng)答一方在返回的報(bào)文中攜帶同樣的cookie，才可能繼續(xù)接下來的通信。這樣一來在很大程度上規(guī)避了反射的風(fēng)險(xiǎn)。

??

[[111854]]

其次，如果攻擊者繞過了Cookie機(jī)制怎么辦?不是不可能。但是，DTLS自身具有天然的免疫力。首先，DTLS的應(yīng)用很少。沒有獲得廣泛應(yīng)用的原因恰恰是其安全機(jī)制。雖然是UDP，但是由于引入了很多類似TCP的驗(yàn)證，使得原有UDP的高效喪失，效率上不比TCP高，因此采用DTLS的價(jià)值不太大。即便采用了DTLS，利用request信息獲得反射response報(bào)文的放大倍數(shù)是相當(dāng)?shù)偷模萅TP和DNS反射倍數(shù)小很多，攻擊ROI是很低的。攻擊者與其使用復(fù)雜的DTLS來放大，不如選擇更簡單方便的NTP或DNS協(xié)議。

簡言之，至少在當(dāng)下，利用“心臟滴血”漏洞發(fā)動DDoS攻擊的可能性不大。但是Lyon提醒，當(dāng)下的結(jié)論只是當(dāng)下的猜測，不排除在不遠(yuǎn)的將來有人會利用類似的漏洞發(fā)起DDoS攻擊。