Avaliando o custo de um ataque DDoS
Nos 19 anos que se passaram desde a primeira implementação do SSL, você poderia ser perdoado por esperar que a indústria poderia fazê-lo bem até agora, e ainda na semana passada, não um, mas três fornecedores SSL foram descobertos a ter problemas de implementação.
Belkin foi pego não verificar certificados SSL; WhatsApp foi descoberto para ter negligenciado certificado fixando em sua implementação SSL, mas problemas de SSL da Apple ofuscou os dois, expondo centenas de milhões de usuários do OS X Mavericks iOS e man-in-the-middle ataques.
Dadas as revelações Snowden, é quase axiomático que os teóricos da conspiração seria encontrar as impressões digitais da NSA em tais eventos.
No entanto, Abutre do Sul é movido a se perguntar se a conspiração que precisa se preocupar não é um dos fantasmas sombrios subvertendo fornecedores ou desenvolvedores, mas a conspiração cultural do desenvolvimento de software sem dormir, o que é quase garantida para entregar código ruim.
É evidente que a Apple sofreu um deslizamento duplo: de alguém comando-V escorregou, e ele não foi pego em qualquer revisão do código.
É um erro tão simples que Vulture Sul é tentado a perguntar se o entusiasta no-sono trazer-café cultura que permeia o software não é a culpa. Sim, nós sabemos que a indústria de software passou coletivamente um monte de tempo e criação de energia e processos de execução a mais ou menos à prova de balas de criação de código. Mas também não é uma empresa ou departamento governamental tão chato que encenar uma Hackathon não vai trazer-lhe alguma credibilidade moderno. Jogue em um troféu e um conjunto de caixas de facas como primeiro prêmio, e codificadores vai aparecer, trabalhar horas ruinosas e felizmente entregar sua produção de forma gratuita.
Mecanismos de recompensa dentro das empresas são, suspeito, não é melhor: é fácil imaginar que os olhos turvos e vermelhos simplesmente não percebeu o erro. É mais fácil vê-lo dessa maneira do que para mergulhar na teoria da conspiração.
Ao longo da Columbia University, Steven Bellovin observa que, como um pedaço de fantasma sabotagem, "Ir a falhar;" é thunderingly desajeitado: ele aparece em um pedaço da maçã código fonte base que é liberada sob uma licença de código aberto, ao invés de ser escondido em um binário proprietário.
Bellovin acrescenta: "Não há outra razão para pensar que foi um acidente: não é muito sutil. Essa seqüência iria ficar fora como um polegar dolorido para qualquer programador que olhou para ele, não há situações em que duas instruções goto em uma fileira fazem nenhum sentido ".
Do Google Adam Langley não chega a concordar com Bellovin sobre a sutileza do erro, mas ele ressalta que o erro não é capturado pelos dois compiladores ele tentou fazê-lo on - GCC 4.8.2 ou do Xcode Clang 3.3, quando executado com avisos ativado. Apenas se o código foi compilado sob Clang com o wunreachable-code bandeira seria o erro ter sido notado.
"Código de revisão pode ser eficaz contra este tipo de bug. Não apenas de auditoria, mas a revisão de cada mudança, uma vez que entra, "Langley escreve.
Mas esse é o tipo de operação águia de olhos que necessita olhos que não são sustentadas por palitos de fósforo. ®
via Alimentação (Feed)
Nenhum comentário:
Postar um comentário