DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > CC防护 > 正文

国内高防cdn_高防tcp_3天试用

06-29 CC防护

国内高防cdn_高防tcp_3天试用

几年前,一位客户递给我们一份来自一家四大咨询公司的报告,报告中描述了一个由"高素质的高级安全工程师"组成的团队在经过近100人小时的审查后,如何在加密通信产品中没有发现任何缺陷。半天之后,我找到了破解产品加密的方法,并演示了一个有效的漏洞。客户很困惑,为什么穿着考究的顾问们没有发现这个弱点?

一个可能的原因是,这类公司经常会以"高级工程师"甚至"专家"的身份出现,他们的初级雇员的唯一专长就是晚上浏览主题。每小时250美元。但那是另一回事。

我花了半天时间才发现缺陷的原因主要与技能有关。加密需要特定的技能。就像一个好的普通外科医生不一定是一个好的心脏外科医生,ddos防御nginx,一个好的全面的安全工程师不一定是审查加密产品的合适人选。

为什么加密很难

说实话,不限内容高防cdn,我不认为加密本质上比信息安全的其他领域更难。我发现加密比浏览器安全更简单。但是加密被认为是困难的,因为它需要完全不同的技能,特别是数学,而且它涉及到其他地方没有使用的安全概念。安全工程师在网络安全、应用程序安全和网络安全方面可能有多年的经验,但很少接触诸如前向保密性或不可分辨性之类的概念。

当然,加密软件中的漏洞可能与任何软件中的漏洞相同,诸如缓冲区溢出或释放后使用之类的错误(想想Heartbleed)。然而,发现逻辑错误通常需要理解加密协议及其微妙之处。更难的是密码分析,即研究密码设计和实现的属性的任务。为一个普通的安全工程师做密码分析就像要求一个密码学家对一个模糊的二进制程序进行反向工程。如果你没有数千小时的经验,你将不会发现最微妙的漏洞(如这些),你会花上几天的时间去做一个有经验的人会在几个小时内做的事情。

加密的另一个风险是副渠道,或从程序的行为中泄露有关秘密材料的信息。例如,这类错误包括计时泄漏,当程序的执行时间泄露了加密密钥的信息时,就会发生这种情况。软件应用程序中一种常见的边通道攻击是padding oracle攻击(唉,防御ddos系统,尚未根除)。

正如我之前在博客中提到的,检查加密比检查使用了什么算法要重要得多。

如何处理它

检查加密产品中的加密,雇佣习惯做这种工作的密码学专家。纯粹的学术研究人员可能有助于进行更多的理论分析,但很少熟悉实际考虑。

你会在大型安全公司或专门从事密码审查的小型商店中找到这样的密码专家。不过,很难确定合格的团队。能力的一个标志是在会议上公布弱点或介绍他们的研究。注意,证据的缺失不是缺席的证据;有些公司选择不发布任何东西。

另一种方法,特别是如果你的部分代码是开源的,是组织一次bug赏金,并奖励发现漏洞的人,苹果6可以防御多少ddos,包括加密漏洞。

在任何情况下,为了防止加密产品出现故障,遵循通常的建议:不要创建自己的协议或算法,依赖经过时间测试的软件组件。

小心营销。闪闪发光的不只是金子,为了在日益有利可图的市场上分一杯羹,安全公司热衷于将自己的信息安全相关技能包装成密码专用技能。挖掘浮华的营销,看看是否有实质性的索赔或,如诺美滋今年早些时候的经验,你很可能会结束一个Pi(e)在你的脸上。

作者最近的文章让菲利普奥马森首席密码在库德尔斯基安全让菲利普(JP)奥马森是首席密码在库德尔斯基安全。他以设计加密函数BLAKE、BLAKE2、SipHash和NORX而闻名。他曾在Black Hat、RSA和CCC等会议上发言,并发起了密码编码标准和密码哈希竞赛项目。他与人合著了2015年的《哈希函数BLAKE》。他是公开密码审计项目和秘密密码竞赛技术咨询委员会的成员。Jean-Philippe Aumasson的最新帖子(见所有)成功提交Infosec会议的关键-2017年10月5日不要让加密毁掉你的一天-2017年5月3日量子计算机VS计算机安全-2016年11月27日

FacebookTwitterEmail分享

,数据库防御ddos

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/70478.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 9322359访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X