【IT168 资讯】作为世界优异安全性测试活动，关注模糊测试安全专题的全球优异研讨会Codenomicon 2012将于7月24日(星期二) 在毗邻Black Hat拉斯维加斯培训场馆的百乐宫 (Bellagio) 举行，此次研讨会当天正值拉斯维加斯黑客周举办期间。同时，Codenomicon启用中文名“科诺康”，中文网站www.codenomicon.com/cn也同步启用。

　　在这一届的Codenomicon 2012年会中，科诺康安排了一组简明扼要的演讲(各20 分钟)，报告者都是世界顶尖的行业专家或者团队主管。科诺康不仅为模糊测试专业人士和感兴趣的来宾安排了最具特色的培训，还在本次活动期间全程为参会者提供食品和饮料。全球各地的与会者都已注册参加，共享安全性测试的非常好的范例。

　　自今年上半年以来，科诺康就致力于新启动的Fuzz-o-Matic云测试服务项目。截至目前，Fuzz-o-Matic已对100种不同的测试目标运行测试，并发现几千个漏洞。科诺康方面称，其客户商OpenSSL团队通过Fuzz-o-Matic模糊测试，发现其加密软件OpenSSL中有一处关键漏洞。这一漏洞是在处理TLS 和 DTLS 之中的CBC模式密码套件时被发现的，从而避免了其在客户和服务器软件上被利用并引发拒绝服务的攻击。此次发现为OpenSSL带来巨大帮助。作为向应用层数据流量提供加密和认证的因特网标准安全协议，TLS每天都被几百万的用户使用，涉及网上银行、电子商务、电子邮件和 IP 网络电话应用程序;而OpenSSL 是实现TLS 的一种开放源代码，用于标准操作系统、网络浏览器、电子邮件客户和网络设备，涵盖从WiFi 接入点和DSL 解调器到工业级核心路由器等宽广的应用。同时，Fuzz-o-Matic添了一项新功能，即凡是与被测软件静态链接的任何开源软件组件都能被发现。接下来，Fuzz-o-Matic 将识别软件版本，并把版本相关的已知漏洞通报给用户。

　　破解strongSwan一处关键漏洞

　　值得一提的是，科诺康方面提醒使用strongSwan的用户和其它封闭或开放源代码VPN产品的用户，尽快使用科诺康Defensics IKE工具进行模糊测试，以避免系统受到攻击。

　　在strongSwan 软件的RSA签名验证环节，斯诺康稳健性测试开放源代码软件CROSS发现并报告了一处关键安全漏洞，并实施了漏洞处理流程。斯诺康方面称，“一旦这个漏洞被利用，攻击者就会通过出示伪造的签名或证书，以合法用户的身份侵入。”

　　同样在操作系统和VPN 应用程序中，strongSwan也是最常用的开放源代码 VPN 方案之一。斯诺康方面进一步补充道，“我们有了主钥匙可以登录到基于strongSwan 的几乎任何一种 VPN，此次发现的这个漏洞可能让系统受到零日攻击。”

　　据科诺康介绍这种漏洞除了存在于strongSwan 软件的特定版本，其它VPN 产品中也可能出现类似的缺陷。要想发现这个缺陷，模糊测试异常关键，而科诺康Defensics在这一方面具有优势。

　　值得一提的是，领先的主动性安全解决方案供应商Codenomicon还宣布，该公司正式启用中文名“科诺康”，这一名字的产生源自音译，科代表科技，诺代表承诺，康代表健康。同时，中文网站也已启用。此前，科诺康方面就曾表示，由其推出的中文网站www.codenomicon.com/cn是中国知名个模糊测试门户，提供所有中文网络广播、白皮书和其他模糊测试材料。

　　由此可见，科诺康公司对中国市场的重视程度。2012年5月份，公司称中国取得创历史纪录的增长。这已经是公司连续13个季度实现盈利、连续10年保持增长，其销售额和利润比4年前增长了3倍。公司在EMEA和最大的市场北美增势强劲，增长最快的市场为APAC，在2011年增长139%。同年，公司在所有地区取得了多项创纪录的销售增长，尤其是网络防御等新领域更是增幅惊人。同时，公司还成立了多个国际办事处，包括上海与新加坡，进一步促进了这些地区的增长。

　　科诺康在安全测试自动化市场处于领军地位，专注未知漏洞管理，以世界领先的健壮性测试科技确保网络健康安全，于2001年推出首款商业化模糊测试平台，这是首款帮助公司主动发现并修复未知零时差漏洞的平台。10年间，公司从一个大学的工作组发展成为一个国际化的公司，在北美、EMEA和APAC拥有200多个客户，其中包括思科、微软、Verizon、诺基亚西门子网络、华为、三星、韩国电信、NTT等。2011年，随着对Clarified 网络的收购，科诺康的网络安全组合进一步扩展。现在，公司的产品组合包括全面的态势感知产品，实现网络流量滥用如垃圾和恶意软件的可视化管理，探测关键网络中的异常。