0
| 本文作者: 李勤 | 2018-03-23 18:36 |
講真,大家都舉起手機(jī)拍拍拍的場景雷鋒網(wǎng)也不是沒見過,在一些安全論壇上,講者講到精彩的干貨時(shí),也有這種場面出現(xiàn)。
不過,這次“拍拍拍”很特殊,因?yàn)槔锩娴臄?shù)據(jù)(還有公司名)要是漏出來,估計(jì)很多家公司都要睡不好了。
故事還得從幾天前說起,雷鋒網(wǎng)編輯參加了一場安全圈的閉門會議。
這個(gè)會議的主要促成者之一是阿里巴巴安全部的安全研究員杭特,也就是上次宅客頻道采訪過,覺得安全圈“攻擊者”比“防守者”要多得多,這種現(xiàn)象不太好的那個(gè)橘色毛衣的堅(jiān)守者(他已經(jīng)穿了四次了)。
事先,編輯已經(jīng)猜到,杭特開這次大會可能是為了“兜售”他想辦的那場阿里軟件供應(yīng)鏈安全大賽。
然后,編輯看了看參與者名單:阿里巴巴、騰訊、知道創(chuàng)宇、某滴、京東、華為、360、中科院軟件所、中科院計(jì)算所、清華……等一下,騰訊安全玄武實(shí)驗(yàn)室和知道創(chuàng)宇的代表也來了?
熟悉網(wǎng)絡(luò)安全領(lǐng)域的朋友們可能知道,幾個(gè)月前,騰訊玄武實(shí)驗(yàn)室和知道創(chuàng)宇幫助支付寶發(fā)現(xiàn)了一個(gè)大漏洞,然后阿里今年又幫助微信找到了一個(gè)超級大漏洞……
嘿嘿嘿。。。
本來以為兩方會心存芥蒂,現(xiàn)在又本著一起促進(jìn)的心共同玩耍了,這種友好的氛圍還是值得點(diǎn)贊的。所以,雷鋒網(wǎng)宅客頻道編輯抱著這種期許,來到了會議室。
萬萬沒想到,杭特剛介紹了幾分鐘軟件供應(yīng)鏈安全的定義和歷史事件,然后就拋出了一個(gè)“炸彈”:
“XXXX(編者注:自己腦補(bǔ)是誰吧)進(jìn)行了一個(gè)PIP軟件倉庫的實(shí)驗(yàn),以前有些公司也搞過。不需要其他投入,只要一個(gè)免費(fèi)的郵箱,一臺能連上互聯(lián)網(wǎng)的機(jī)器,就能對程序員進(jìn)行這場網(wǎng)絡(luò)安全的測試了。”
。。。。蛤?暴擊程序員?
是的。
“普通的程序員要用一些工具去做××軟件,可能會先查詢一下,程序員是非常單純的,比如,他可能要個(gè)pip install zlib,但是事實(shí)上這個(gè)東東的正經(jīng)名字叫做zlib3,很多程序員敲的時(shí)候,沒有意識到,就敲了zlib 開始搜索。所以,XXXX就在 python pip 源上傳“惡意測試”包 zlib,總數(shù)約 20 個(gè)。然后實(shí)驗(yàn)者就開始等待了……”
下面是一段中招公司看了要流淚、程序員看了要心碎、所有 PR 可能要圍上來堵上嘴的數(shù)據(jù)和公司名稱縮寫:
100天之內(nèi)這場測試獲得了全球X0000臺主機(jī)的控制權(quán),其中XX000臺是最高權(quán)限,中招公司(名稱縮寫)的涵蓋范圍有:(出于保密不放出縮寫了)正經(jīng)的大公司基本不落,還有各種牛叉的國際高校和嚴(yán)肅機(jī)構(gòu)……
(其實(shí),現(xiàn)場參加的黑客大牛們都知道了公司名稱和具體數(shù)字,并舉起了手機(jī)拍照,但素,我們閉緊了嘴巴。。。。)
幸好,這次主導(dǎo)進(jìn)行實(shí)驗(yàn)的都是正經(jīng)的安全研究員,開展的是善意的網(wǎng)絡(luò)安全測試,只記錄了賬戶名用作統(tǒng)計(jì)。
但一個(gè)讓人后怕的細(xì)節(jié)是,在 100 天的實(shí)驗(yàn)期中,他們將自己收集賬戶名的行為明明白白地暴露出來,沒有隱藏痕跡,但直到國外有人發(fā)覺,并進(jìn)行了新聞報(bào)道,有些廠商還后知后覺。
做了這么多,這個(gè)測試只是想證明一個(gè)觀點(diǎn):如果軟件供應(yīng)鏈源頭產(chǎn)生污染,影響是辣么大。
編輯突然對杭特說的歷史事件有了更深的感悟:
2015年, Xcode Ghost這種手機(jī)病毒通過非官方下載的 Xcode 傳播,能夠在開發(fā)過程中通過 CoreService 庫文件進(jìn)行感染,使編譯出的 App 被注入第三方的代碼,向指定網(wǎng)站上傳用戶數(shù)據(jù)。蘋果的應(yīng)用商店AppStore無法檢測出病毒,因?yàn)樯痰陮徍酥荒艽_定App調(diào)用了哪些系統(tǒng)API。于是帶毒應(yīng)用順利進(jìn)入蘋果官方商店,而用戶則通過蘋果官方商店下載到了病毒應(yīng)用。
你也許長了個(gè)經(jīng)驗(yàn):不要從非官方渠道下載。。。
但是,2017年,國外著名的免費(fèi)系統(tǒng)優(yōu)化和隱私保護(hù)軟件 CCleaner 官方版被安全人員發(fā)現(xiàn)含有惡意代碼,會偷偷執(zhí)行 Floxif 木馬。
然后,你可能連官方軟件都不能輕易相信了。。。
程序員可能更崩潰:我連自己辛辛苦苦寫的代碼都不能相信了?
所以,杭特想舉辦一場阿里軟件供應(yīng)鏈安全大賽,這個(gè)比賽的特點(diǎn)是,通過自動化軟件進(jìn)行供應(yīng)鏈安全風(fēng)險(xiǎn)點(diǎn)檢測。
我們從目標(biāo)倒推說起。杭特的目標(biāo)是:提升業(yè)界檢測軟件惡意行為的能力。
于是,他想到,這是一個(gè)參賽者涵蓋了出題人和答題人的比賽,大意就是,出題人在上面搞出來一些事情,看答題人能不能檢測出來,這樣你強(qiáng)我也強(qiáng),清風(fēng)拂山崗。
但是,供應(yīng)鏈的范圍太廣了,像大海一樣,杭特并不希望,這淪為一場人肉戰(zhàn):人走了,這家公司可能就失去了這種能力,得把檢測軟件惡意行為的能力以能傳承的方式積累起來。
因此,這是一場通過平臺、工具的形式來比拼的比賽!
杭特還希望,這次比賽是個(gè)催化劑,他們將與優(yōu)秀團(tuán)隊(duì)合作,讓真正有能力的團(tuán)隊(duì)獲得支持,能堅(jiān)持下去,從而提升整個(gè)業(yè)界的檢測能力。
比如,當(dāng)天會議現(xiàn)場,騰訊玄武實(shí)驗(yàn)室的小哥哥丁川達(dá)就介紹了一個(gè)名為 “Project A'Tuin” 的供應(yīng)鏈安全檢測的實(shí)踐項(xiàng)目。
杭特當(dāng)場表示:小哥哥來參加比賽吧。
(腦補(bǔ)一下只是受邀做個(gè)演講還沒心理準(zhǔn)備的丁川達(dá)的內(nèi)心情感)
不過,有意思的是,杭特說:“初賽就是怎么玩都可以,讓大家沒有顧慮來參賽,我就看你是否具備檢測特定惡意行為的能力,我們希望決賽有知識產(chǎn)權(quán)共享,這個(gè)共享不是說你得分享方案,而是通過這種類似于論文答辯的形式,能夠向大家證明這個(gè)方案是行得通的。”
這意味著,未來如果有可能,我們居然能看到兩個(gè)老對手合作的盛況,至于阿里如何和參賽方妥善商量知識產(chǎn)權(quán)的問題,這就是以后的故事了。
鳴謝一起舉辦這次“軟件供應(yīng)鏈安全”技術(shù)研討會的InForSec
原來黑客大牛們的閉門會議也是這么的
愛拍照!
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
