ブリーディング・ハート」の主な原因は?
"私はコードを書き、必要な検証を怠ったのですが、これは実は見落としだったのです。" セッゲルマン氏はガーディアン紙にこう語っています。"その後、コードの検証段階でも同じミスを犯し、リリースの時点でもそのミスは残っていました。"
セッゲルマン氏の "見落とし "が人間社会にどのような結果をもたらすかはさておき、彼は勇敢なライオンであることは確かです。あなたが彼の立場だったら、あえて認めないのですか?
これは、オープンソースコミュニティにおける大きな問題は、ほとんどの人がお金を払っても得られないという事実に起因していると考えているCASTのピーター・ピズティロの見解と同じです。「オープンソースコミュニティはかつての姿からは程遠く、一握りの熱狂的な開発者しか残っていないという事実をオープンソースコミュニティのせいにするのはフェアではありません。オープンソースコミュニティそのものを責めるのはフェアではありません。オープンソースコミュニティそのものを責めるのはフェアではありません。 さらに、オープンテストコミュニティなしにオープンソースコミュニティがあってもいいわけではありません。オープンソースコミュニティが長期的に機能するのは、コードを求める人々が、コードに貢献/フィードバックする人々でもある場合だけです」。
一般的な見解は、オープンソースコミュニティにコードのセキュリティの包括的で綿密なテストを期待するのは非常に非現実的であるというものです。そのため、多くの人々は、グーグルのような大企業がオープンソースコミュニティに資金を提供すべきだと提案しています。資金があれば、オープンソースコミュニティは、より多くのコードマスターを引き付けるために、より完璧なメカニズムを確立することができ、対応するセキュリティテストのメカニズムが自然に形成されるようになります。
「ハートドロップ」がDDoS攻撃の引き金に?
"「ハートドロップ」の脆弱性を悪用すれば、3000倍の倍率で増幅されたDDoS攻撃を仕掛けることができる!"このような主張についてどう思いますか?ツイッターではこんな声が上がっています。
でたらめ!NTPは400倍にしか増幅されないのに、"Heartbleed "がそれ以上に増幅されるわけがない、とおっしゃるかもしれません。
その通りです。ポイントは回数ではなく、「Heartbleed」はTLSベースでTCPセッションを維持する必要があるのに対し、NTPはUDPベースでステートがないため、NTPやDNSのような反射的増幅ができないことです。
しかし、TLSにはUDPベースのTLSであるDTLSという兄弟がいることが思い出されます。UDPベースのTLSはより高い通信性能を実現できますが、DTLSはステートベースではありません。では、反射増幅型DDoS攻撃に悪用できるのでしょうか?
Black LotusのJeffrey A. Lyonがこの質問に対する詳細な回答をしています。
Lyonの答え:可能性は低い。DTLS通信にCookieメカニズムを追加したRFC4347のおかげです。送信側はリクエスト・メッセージを送信するときにクッキーを追加し、応答側は残りの通信を続ける前に同じクッキーを返されたメッセージに含めることを要求します。これにより、リフレクションのリスクはほとんど回避されます。
第二に、攻撃者がクッキーの仕組みを迂回したらどうなるでしょうか?不可能ではありません。しかし、DTLS にはそれ自身の自然な免疫があります。第一に、DTLS はほとんど使われていません。広く使われていない理由は、まさにそのセキュリティ・メカニズムにあります。UDPではありますが、TCPのような認証が多く導入されているため、本来のUDPの効率性が損なわれており、効率性はTCPよりも高くないので、DTLSを使う価値はあまり大きくありません。DTLSを使用しても、反射応答メッセージを取得するために要求情報を使用することの増幅は非常に低く、NTPやDNSの反射倍数よりもはるかに小さい、攻撃のROIは非常に低いです。増幅のために複雑なDTLSを使う代わりに、攻撃者はよりシンプルで便利なNTPやDNSプロトコルを選ぶべきです。
要するに、少なくとも現時点では、「ハートブリード」脆弱性を利用したDDoS攻撃は可能性が低いということです。しかし、Lyon氏は、今回の結論はあくまで推測であり、近い将来、誰かが同様の脆弱性を使ってDDoS攻撃を仕掛ける可能性を排除するものではないと注意を促しています。
