delphij's Chaos

选择chaos这个词是因为~~实在很难找到一个更合适的词来形容这儿了……

05 Aug 2008

DNS漏洞续----为什么我们需要全面披露

Bruce Schneier大师,DNS漏洞的细节还是被提前披露了,人们开始撰写利用这一漏洞的攻击程序,等等。这里摘录一些比较精彩的内容,推荐您阅读原文。

然而,因此而对 Kaminsky 展开口诛笔伐显然是不对的。在圈外人士看来,也许如果他在这个事情上缄口不语,我们便不会有这许多的麻烦。这显然是不对的, Kaminsky 偶然发现了这个问题,他没有理由相信自己是第一个,更没有理由相信自己是最后一个发现这些问题的。问题出在 DNS 协议本身,而不是 Kaminsky。

这一事件带给我们的真正的教训是:事实上,打补丁这样的工作并不是那么的轻而易举。安全工程师需要在一开始就介入设计—-因为发现问题、修补、然后部署补丁这个过程不仅代价高昂、低效而且通常不够完整—-这会比事后打补丁要容易的多。这次事件再次证明了这一点—-数学家Daniel J. Bernstein设计的djbdns在几年前就已经实现了源端口随机化,虽然他并没有发现 Kaminsky 的攻击,但是他所采取的是对付一整类攻击的方法,因而,这一在2000年发布的程序,尽管没有打任何补丁,仍然做到了对 Kaminsky 攻击的免疫。