0
| 本文作者: 李勤 | 2018-03-23 18:36 |
講真,大家都舉起手機拍拍拍的場景雷鋒網(wǎng)也不是沒見過,在一些安全論壇上,講者講到精彩的干貨時,也有這種場面出現(xiàn)。
不過,這次“拍拍拍”很特殊,因為里面的數(shù)據(jù)(還有公司名)要是漏出來,估計很多家公司都要睡不好了。
故事還得從幾天前說起,雷鋒網(wǎng)編輯參加了一場安全圈的閉門會議。
這個會議的主要促成者之一是阿里巴巴安全部的安全研究員杭特,也就是上次宅客頻道采訪過,覺得安全圈“攻擊者”比“防守者”要多得多,這種現(xiàn)象不太好的那個橘色毛衣的堅守者(他已經(jīng)穿了四次了)。
事先,編輯已經(jīng)猜到,杭特開這次大會可能是為了“兜售”他想辦的那場阿里軟件供應(yīng)鏈安全大賽。
然后,編輯看了看參與者名單:阿里巴巴、騰訊、知道創(chuàng)宇、某滴、京東、華為、360、中科院軟件所、中科院計算所、清華……等一下,騰訊安全玄武實驗室和知道創(chuàng)宇的代表也來了?
熟悉網(wǎng)絡(luò)安全領(lǐng)域的朋友們可能知道,幾個月前,騰訊玄武實驗室和知道創(chuàng)宇幫助支付寶發(fā)現(xiàn)了一個大漏洞,然后阿里今年又幫助微信找到了一個超級大漏洞……
嘿嘿嘿。。。
本來以為兩方會心存芥蒂,現(xiàn)在又本著一起促進的心共同玩耍了,這種友好的氛圍還是值得點贊的。所以,雷鋒網(wǎng)宅客頻道編輯抱著這種期許,來到了會議室。
萬萬沒想到,杭特剛介紹了幾分鐘軟件供應(yīng)鏈安全的定義和歷史事件,然后就拋出了一個“炸彈”:
“XXXX(編者注:自己腦補是誰吧)進行了一個PIP軟件倉庫的實驗,以前有些公司也搞過。不需要其他投入,只要一個免費的郵箱,一臺能連上互聯(lián)網(wǎng)的機器,就能對程序員進行這場網(wǎng)絡(luò)安全的測試了。”
。。。。蛤?暴擊程序員?
是的。
“普通的程序員要用一些工具去做××軟件,可能會先查詢一下,程序員是非常單純的,比如,他可能要個pip install zlib,但是事實上這個東東的正經(jīng)名字叫做zlib3,很多程序員敲的時候,沒有意識到,就敲了zlib 開始搜索。所以,XXXX就在 python pip 源上傳“惡意測試”包 zlib,總數(shù)約 20 個。然后實驗者就開始等待了……”
下面是一段中招公司看了要流淚、程序員看了要心碎、所有 PR 可能要圍上來堵上嘴的數(shù)據(jù)和公司名稱縮寫:
100天之內(nèi)這場測試獲得了全球X0000臺主機的控制權(quán),其中XX000臺是最高權(quán)限,中招公司(名稱縮寫)的涵蓋范圍有:(出于保密不放出縮寫了)正經(jīng)的大公司基本不落,還有各種牛叉的國際高校和嚴(yán)肅機構(gòu)……
(其實,現(xiàn)場參加的黑客大牛們都知道了公司名稱和具體數(shù)字,并舉起了手機拍照,但素,我們閉緊了嘴巴。。。。)
幸好,這次主導(dǎo)進行實驗的都是正經(jīng)的安全研究員,開展的是善意的網(wǎng)絡(luò)安全測試,只記錄了賬戶名用作統(tǒng)計。
但一個讓人后怕的細節(jié)是,在 100 天的實驗期中,他們將自己收集賬戶名的行為明明白白地暴露出來,沒有隱藏痕跡,但直到國外有人發(fā)覺,并進行了新聞報道,有些廠商還后知后覺。
做了這么多,這個測試只是想證明一個觀點:如果軟件供應(yīng)鏈源頭產(chǎn)生污染,影響是辣么大。
編輯突然對杭特說的歷史事件有了更深的感悟:
2015年, Xcode Ghost這種手機病毒通過非官方下載的 Xcode 傳播,能夠在開發(fā)過程中通過 CoreService 庫文件進行感染,使編譯出的 App 被注入第三方的代碼,向指定網(wǎng)站上傳用戶數(shù)據(jù)。蘋果的應(yīng)用商店AppStore無法檢測出病毒,因為商店審核只能確定App調(diào)用了哪些系統(tǒng)API。于是帶毒應(yīng)用順利進入蘋果官方商店,而用戶則通過蘋果官方商店下載到了病毒應(yīng)用。
你也許長了個經(jīng)驗:不要從非官方渠道下載。。。
但是,2017年,國外著名的免費系統(tǒng)優(yōu)化和隱私保護軟件 CCleaner 官方版被安全人員發(fā)現(xiàn)含有惡意代碼,會偷偷執(zhí)行 Floxif 木馬。
然后,你可能連官方軟件都不能輕易相信了。。。
程序員可能更崩潰:我連自己辛辛苦苦寫的代碼都不能相信了?
所以,杭特想舉辦一場阿里軟件供應(yīng)鏈安全大賽,這個比賽的特點是,通過自動化軟件進行供應(yīng)鏈安全風(fēng)險點檢測。
我們從目標(biāo)倒推說起。杭特的目標(biāo)是:提升業(yè)界檢測軟件惡意行為的能力。
于是,他想到,這是一個參賽者涵蓋了出題人和答題人的比賽,大意就是,出題人在上面搞出來一些事情,看答題人能不能檢測出來,這樣你強我也強,清風(fēng)拂山崗。
但是,供應(yīng)鏈的范圍太廣了,像大海一樣,杭特并不希望,這淪為一場人肉戰(zhàn):人走了,這家公司可能就失去了這種能力,得把檢測軟件惡意行為的能力以能傳承的方式積累起來。
因此,這是一場通過平臺、工具的形式來比拼的比賽!
杭特還希望,這次比賽是個催化劑,他們將與優(yōu)秀團隊合作,讓真正有能力的團隊獲得支持,能堅持下去,從而提升整個業(yè)界的檢測能力。
比如,當(dāng)天會議現(xiàn)場,騰訊玄武實驗室的小哥哥丁川達就介紹了一個名為 “Project A'Tuin” 的供應(yīng)鏈安全檢測的實踐項目。
杭特當(dāng)場表示:小哥哥來參加比賽吧。
(腦補一下只是受邀做個演講還沒心理準(zhǔn)備的丁川達的內(nèi)心情感)
不過,有意思的是,杭特說:“初賽就是怎么玩都可以,讓大家沒有顧慮來參賽,我就看你是否具備檢測特定惡意行為的能力,我們希望決賽有知識產(chǎn)權(quán)共享,這個共享不是說你得分享方案,而是通過這種類似于論文答辯的形式,能夠向大家證明這個方案是行得通的。”
這意味著,未來如果有可能,我們居然能看到兩個老對手合作的盛況,至于阿里如何和參賽方妥善商量知識產(chǎn)權(quán)的問題,這就是以后的故事了。
鳴謝一起舉辦這次“軟件供應(yīng)鏈安全”技術(shù)研討會的InForSec
原來黑客大牛們的閉門會議也是這么的
愛拍照!
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
