一個安全測試，把全球 X0000 台主機控制權拿下了

新聞 03-23

講真，大家都舉起手機拍拍拍的場景雷鋒網也不是沒見過，在一些安全論壇上，講者講到精彩的乾貨時，也有這種場面出現。

不過，這次「拍拍拍」很特殊，因為裡面的數據（還有公司名）要是漏出來，估計很多家公司都要睡不好了。

一場看誰更單純的測試

故事還得從幾天前說起，雷鋒網編輯參加了一場安全圈的閉門會議。

這個會議的主要促成者之一是阿里巴巴安全部的安全研究員杭特，也就是上次宅客頻道採訪過，覺得安全圈「攻擊者」比「防守者」要多得多，這種現象不太好的那個橘色毛衣的堅守者（他已經穿了四次了）。

事先，編輯已經猜到，杭特開這次大會可能是為了「兜售」他想辦的那場阿里軟體供應鏈安全大賽。

然後，編輯看了看參與者名單：阿里巴巴、騰訊、知道創宇、某滴、京東、華為、360、中科院軟體所、中科院計算所、清華……等一下，騰訊安全玄武實驗室和知道創宇的代表也來了？

熟悉網路安全領域的朋友們可能知道，幾個月前，騰訊玄武實驗室和知道創宇幫助支付寶發現了一個大漏洞，然後阿里今年又幫助微信找到了一個超級大漏洞……

嘿嘿嘿。。。

本來以為兩方會心存芥蒂，現在又本著一起促進的心共同玩耍了，這種友好的氛圍還是值得點贊的。所以，雷鋒網宅客頻道編輯抱著這種期許，來到了會議室。

萬萬沒想到，杭特剛介紹了幾分鐘軟體供應鏈安全的定義和歷史事件，然後就拋出了一個「炸彈」：

「XXXX（編者註：自己腦補是誰吧）進行了一個PIP軟體倉庫的實驗，以前有些公司也搞過。不需要其他投入，只要一個免費的郵箱，一台能連上互聯網的機器，就能對程序員進行這場網路安全的測試了。」

。。。。蛤？暴擊程序員？

是的。

「普通的程序員要用一些工具去做××軟體，可能會先查詢一下，程序員是非常單純的，比如，他可能要個pip install zlib，但是事實上這個東東的正經名字叫做zlib3，很多程序員敲的時候，沒有意識到，就敲了zlib 開始搜索。所以，XXXX就在 python pip 源上傳「惡意測試」包 zlib，總數約 20 個。然後實驗者就開始等待了……」

「單純」的程序員們果然中招了

下面是一段中招公司看了要流淚、程序員看了要心碎、所有 PR 可能要圍上來堵上嘴的數據和公司名稱縮寫：

100天之內這場測試獲得了全球X0000台主機的控制權，其中XX000台是最高許可權，中招公司（名稱縮寫）的涵蓋範圍有：（出於保密不放出縮寫了）正經的大公司基本不落，還有各種牛叉的國際高校和嚴肅機構……

（其實，現場參加的黑客大牛們都知道了公司名稱和具體數字，並舉起了手機拍照，但素，我們閉緊了嘴巴。。。。）

幸好，這次主導進行實驗的都是正經的安全研究員，開展的是善意的網路安全測試，只記錄了賬戶名用作統計。

但一個讓人後怕的細節是，在 100 天的實驗期中，他們將自己收集賬戶名的行為明明白白地暴露出來，沒有隱藏痕迹，但直到國外有人發覺，並進行了新聞報道，有些廠商還後知後覺。

做了這麼多，這個測試只是想證明一個觀點：如果軟體供應鏈源頭產生污染，影響是辣么大。

編輯突然對杭特說的歷史事件有了更深的感悟：

2015年， Xcode Ghost這種手機病毒通過非官方下載的 Xcode 傳播，能夠在開發過程中通過 CoreService 庫文件進行感染，使編譯出的 App 被注入第三方的代碼，向指定網站上傳用戶數據。蘋果的應用商店AppStore無法檢測出病毒，因為商店審核只能確定App調用了哪些系統API。於是帶毒應用順利進入蘋果官方商店，而用戶則通過蘋果官方商店下載到了病毒應用。

你也許長了個經驗：不要從非官方渠道下載。。。

但是，2017年，國外著名的免費系統優化和隱私保護軟體 CCleaner 官方版被安全人員發現含有惡意代碼，會偷偷執行 Floxif 木馬。

然後，你可能連官方軟體都不能輕易相信了。。。

程序員可能更崩潰：我連自己辛辛苦苦寫的代碼都不能相信了？

所以，杭特想舉辦一場阿里軟體供應鏈安全大賽，這個比賽的特點是，通過自動化軟體進行供應鏈安全風險點檢測。