當前位置:
首頁 > 新聞 > 一個安全測試,把全球 X0000 台主機控制權拿下了

一個安全測試,把全球 X0000 台主機控制權拿下了

講真,大家都舉起手機拍拍拍的場景雷鋒網也不是沒見過,在一些安全論壇上,講者講到精彩的乾貨時,也有這種場面出現。

不過,這次「拍拍拍」很特殊,因為裡面的數據(還有公司名)要是漏出來,估計很多家公司都要睡不好了。


一場看誰更單純的測試

故事還得從幾天前說起,雷鋒網編輯參加了一場安全圈的閉門會議。

這個會議的主要促成者之一是阿里巴巴安全部的安全研究員杭特,也就是上次宅客頻道採訪過,覺得安全圈「攻擊者」比「防守者」要多得多,這種現象不太好的那個橘色毛衣的堅守者(他已經穿了四次了)。

事先,編輯已經猜到,杭特開這次大會可能是為了「兜售」他想辦的那場阿里軟體供應鏈安全大賽。

然後,編輯看了看參與者名單:阿里巴巴、騰訊、知道創宇、某滴、京東、華為、360、中科院軟體所、中科院計算所、清華……等一下,騰訊安全玄武實驗室和知道創宇的代表也來了?

熟悉網路安全領域的朋友們可能知道,幾個月前,騰訊玄武實驗室和知道創宇幫助支付寶發現了一個大漏洞,然後阿里今年又幫助微信找到了一個超級大漏洞……

嘿嘿嘿。。。

本來以為兩方會心存芥蒂,現在又本著一起促進的心共同玩耍了,這種友好的氛圍還是值得點贊的。所以,雷鋒網宅客頻道編輯抱著這種期許,來到了會議室。

萬萬沒想到,杭特剛介紹了幾分鐘軟體供應鏈安全的定義和歷史事件,然後就拋出了一個「炸彈」:

「XXXX(編者註:自己腦補是誰吧)進行了一個PIP軟體倉庫的實驗,以前有些公司也搞過。不需要其他投入,只要一個免費的郵箱,一台能連上互聯網的機器,就能對程序員進行這場網路安全的測試了。」

。。。。蛤?暴擊程序員?

是的。

「普通的程序員要用一些工具去做××軟體,可能會先查詢一下,程序員是非常單純的,比如,他可能要個pip install zlib,但是事實上這個東東的正經名字叫做zlib3,很多程序員敲的時候,沒有意識到,就敲了zlib 開始搜索。所以,XXXX就在 python pip 源上傳「惡意測試」包 zlib,總數約 20 個。然後實驗者就開始等待了……」


「單純」的程序員們果然中招了

下面是一段中招公司看了要流淚、程序員看了要心碎、所有 PR 可能要圍上來堵上嘴的數據和公司名稱縮寫:

100天之內這場測試獲得了全球X0000台主機的控制權,其中XX000台是最高許可權,中招公司(名稱縮寫)的涵蓋範圍有:(出於保密不放出縮寫了)正經的大公司基本不落,還有各種牛叉的國際高校和嚴肅機構……

(其實,現場參加的黑客大牛們都知道了公司名稱和具體數字,並舉起了手機拍照,但素,我們閉緊了嘴巴。。。。)

幸好,這次主導進行實驗的都是正經的安全研究員,開展的是善意的網路安全測試,只記錄了賬戶名用作統計。

但一個讓人後怕的細節是,在 100 天的實驗期中,他們將自己收集賬戶名的行為明明白白地暴露出來,沒有隱藏痕迹,但直到國外有人發覺,並進行了新聞報道,有些廠商還後知後覺。

做了這麼多,這個測試只是想證明一個觀點:如果軟體供應鏈源頭產生污染,影響是辣么大。

編輯突然對杭特說的歷史事件有了更深的感悟:

2015年, Xcode Ghost這種手機病毒通過非官方下載的 Xcode 傳播,能夠在開發過程中通過 CoreService 庫文件進行感染,使編譯出的 App 被注入第三方的代碼,向指定網站上傳用戶數據。蘋果的應用商店AppStore無法檢測出病毒,因為商店審核只能確定App調用了哪些系統API。於是帶毒應用順利進入蘋果官方商店,而用戶則通過蘋果官方商店下載到了病毒應用。

你也許長了個經驗:不要從非官方渠道下載。。。

但是,2017年,國外著名的免費系統優化和隱私保護軟體 CCleaner 官方版被安全人員發現含有惡意代碼,會偷偷執行 Floxif 木馬。

然後,你可能連官方軟體都不能輕易相信了。。。

程序員可能更崩潰:我連自己辛辛苦苦寫的代碼都不能相信了?

所以,杭特想舉辦一場阿里軟體供應鏈安全大賽,這個比賽的特點是,通過自動化軟體進行供應鏈安全風險點檢測。


不懂,怎麼玩

我們從目標倒推說起。杭特的目標是:提升業界檢測軟體惡意行為的能力。

於是,他想到,這是一個參賽者涵蓋了出題人和答題人的比賽,大意就是,出題人在上面搞出來一些事情,看答題人能不能檢測出來,這樣你強我也強,清風拂山崗。

但是,供應鏈的範圍太廣了,像大海一樣,杭特並不希望,這淪為一場人肉戰:人走了,這家公司可能就失去了這種能力,得把檢測軟體惡意行為的能力以能傳承的方式積累起來。

因此,這是一場通過平台、工具的形式來比拼的比賽!

杭特還希望,這次比賽是個催化劑,他們將與優秀團隊合作,讓真正有能力的團隊獲得支持,能堅持下去,從而提升整個業界的檢測能力。

比如,當天會議現場,騰訊玄武實驗室的小哥哥丁川達就介紹了一個名為 「Project A"Tuin」 的供應鏈安全檢測的實踐項目。

杭特當場表示:小哥哥來參加比賽吧。

(腦補一下只是受邀做個演講還沒心理準備的丁川達的內心情感)

不過,有意思的是,杭特說:「初賽就是怎麼玩都可以,讓大家沒有顧慮來參賽,我就看你是否具備檢測特定惡意行為的能力,我們希望決賽有知識產權共享,這個共享不是說你得分享方案,而是通過這種類似於論文答辯的形式,能夠向大家證明這個方案是行得通的。」

這意味著,未來如果有可能,我們居然能看到兩個老對手合作的盛況,至於阿里如何和參賽方妥善商量知識產權的問題,這就是以後的故事了。

鳴謝一起舉辦這次「軟體供應鏈安全」技術研討會的InForSec

原來黑客大牛們的閉門會議也是這麼的

愛拍照!


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 雷鋒網 的精彩文章:

觸幕?傾心 vivo X21新品發布會在烏鎮召開
5大維度、51個評價指標,火幣網是這樣評估區塊鏈項目潛力與風險

TAG:雷鋒網 |