黑帽2012:安全的软件开发

日期: 2012-08-05 作者:Michael S. Mimoso翻译:曾少宁 来源:TechTarget中国 英文

拉斯维加斯——在黑帽2012大会上,Dan Kaminsky的年度“黑色行动”讲话与去年的演讲大不相同,去年他深入讲解一个主题,介绍核心网络功能的漏洞,如DNS安全漏洞、DNSSEC、证书问题等等。

  但是,今年他向参会人员介绍的是宏观安全性,以及在当前信息安全态势得不到扭转的情况下,一些问题可能对经济和国家安全造成的影响。Kaminsky在大会上指出:“我们必须改变这个局面。但是仅仅依靠教条是解决不了问题的。”

  Kaminsky重点提到了提高编码质量和软件开发安全,不仅仅针对于Web应用,也针对于操作系统内核开发。Kaminsky还提出了加快寻找Bug和实现净中立性(这是他以前最拿手的)的新技术手段,以及由互联网服务提供商(ISP)执行的数据与流量审查制度。

  Kaminsky指出,开发者是解决安全问题的关键。开发者希望他们的代码能够正常工作,他们不希望数据泄露,他们也想有一些不影响效率或截止时间的简单工具。他说:“需要承担起责任的是开发者,而不是架构师、学者或管理人员;安全团队也没有责任。我们必须给予他们实用的工具。开发者乐于看到自己的代码能够正常工作。”

  SQL注入攻击漏洞仍然是主要暴露的编码问题——当然,这个问题修复比例也很高。Kaminsky说:“我们必须杜绝这样的攻击。”他指出,成功发起的SQL注入攻击已经使安全团队麻木,以致忽略了它的严重性。“大多数攻击都是为了偷取信息,它们在谋杀我们。它们并不是什么高明的攻击手段,但却非常有效。”

  例如,去年攻击者使用SQL盲注攻击就攻破了mysql.com,并成功盗取数据。根据Privacy Rights Clearinghouse去年发布的研究报告,与黑客相关的数据泄露中,有83%是通过SQL注入攻击实现的。根据Redwood Shores的另一份研究报告,加利福尼亚数据保护供应商Imperva捕获的Web应用SQL注入攻击数量达到1.15亿。

  Kaminsky表示,我们可以说已经修复了这些问题,但是如果它们已经修复,为什么危害还这么大呢?我们必须向开发者提供新的工具,帮助他们按照自己的意愿编写优质代码。Kaminsky还在努力进行反审查。在去年的黑帽大会上,他发布了一个新工具N00ter,它实际上是一个过滤器,能够筛选出可能修改流量数据包路径和传输时间的路由器,从而只允许ISP使用源路径。

  他说:“互联网越来越不平静。随着您的位置变化,内容也在变化,而且这些变化不是因为网站运营者引起的。真正的原因是,ISP和政府在篡改内容。有时候,他们在偷偷做这些事情。”Kaminsky与隐私和公民自由组织合作(如Electronic Frontier Foundation)对抗互联网审查,给他们N00ter等工具生成的数据流。这些工具仅仅作为数据源,而非数据管理模块。他希望为他们提供一种方法,了解有哪些可用信息,哪些信息被拦截了。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

Michael S. Mimoso
Michael S. Mimoso

TechTarget中国信息安全杂志(Information Security magazine)编辑

翻译

曾少宁
曾少宁

TechTarget中国特约技术编辑,某高校计算机科学专业教师和网络实验室负责人,曾任职某网络国际厂商,关注数据中心、开发运维、数据库及软件开发技术。有多本关于思科数据中心和虚拟化技术的译著,如《思科绿色数据中心建设与管理》和《基于IP的能源管理》等。

相关推荐