讲真,大家都举起手机拍拍拍的场景雷锋网也不是没见过,在一些安全论坛上,讲者讲到精彩的干货时,也有这种场面出现。
不过,这次“拍拍拍”很特殊,因为里面的数据(还有公司名)要是漏出来,估计很多家公司都要睡不好了。
故事还得从几天前说起,雷锋网编辑参加了一场安全圈的闭门会议。
这个会议的主要促成者之一是阿里巴巴安全部的安全研究员杭特,也就是上次宅客频道采访过,觉得安全圈“攻击者”比“防守者”要多得多,这种现象不太好的那个橘色毛衣的坚守者(他已经穿了四次了)。
事先,编辑已经猜到,杭特开这次大会可能是为了“兜售”他想办的那场阿里软件供应链安全大赛。
然后,编辑看了看参与者名单:阿里巴巴、腾讯、知道创宇、某滴、京东、华为、360、中科院软件所、中科院计算所、清华……等一下,腾讯安全玄武实验室和知道创宇的代表也来了?
熟悉网络安全领域的朋友们可能知道,几个月前,腾讯玄武实验室和知道创宇帮助支付宝发现了一个大漏洞,然后阿里今年又帮助微信找到了一个超级大漏洞……
嘿嘿嘿。。。
本来以为两方会心存芥蒂,现在又本着一起促进的心共同玩耍了,这种友好的氛围还是值得点赞的。所以,雷锋网宅客频道编辑抱着这种期许,来到了会议室。
万万没想到,杭特刚介绍了几分钟软件供应链安全的定义和历史事件,然后就抛出了一个“炸弹”:
“XXXX(编者注:自己脑补是谁吧)进行了一个PIP软件仓库的实验,以前有些公司也搞过。不需要其他投入,只要一个免费的邮箱,一台能连上互联网的机器,就能对程序员进行这场网络安全的测试了。”
。。。。蛤?暴击程序员?
是的。
“普通的程序员要用一些工具去做××软件,可能会先查询一下,程序员是非常单纯的,比如,他可能要个pip install zlib,但是事实上这个东东的正经名字叫做zlib3,很多程序员敲的时候,没有意识到,就敲了zlib 开始搜索。所以,XXXX就在 python pip 源上传“恶意测试”包 zlib,总数约 20 个。然后实验者就开始等待了……”
下面是一段中招公司看了要流泪、程序员看了要心碎、所有 PR 可能要围上来堵上嘴的数据和公司名称缩写:
100天之内这场测试获得了全球X0000台主机的控制权,其中XX000台是最高权限,中招公司(名称缩写)的涵盖范围有:(出于保密不放出缩写了)正经的大公司基本不落,还有各种牛叉的国际高校和严肃机构……
(其实,现场参加的黑客大牛们都知道了公司名称和具体数字,并举起了手机拍照,但素,我们闭紧了嘴巴。。。。)
幸好,这次主导进行实验的都是正经的安全研究员,开展的是善意的网络安全测试,只记录了账户名用作统计。
但一个让人后怕的细节是,在 100 天的实验期中,他们将自己收集账户名的行为明明白白地暴露出来,没有隐藏痕迹,但直到国外有人发觉,并进行了新闻报道,有些厂商还后知后觉。
做了这么多,这个测试只是想证明一个观点:如果软件供应链源头产生污染,影响是辣么大。
编辑突然对杭特说的历史事件有了更深的感悟:
2015年, Xcode Ghost这种手机病毒通过非官方下载的 Xcode 传播,能够在开发过程中通过 CoreService 库文件进行感染,使编译出的 App 被注入第三方的代码,向指定网站上传用户数据。苹果的应用商店AppStore无法检测出病毒,因为商店审核只能确定App调用了哪些系统API。于是带毒应用顺利进入苹果官方商店,而用户则通过苹果官方商店下载到了病毒应用。
你也许长了个经验:不要从非官方渠道下载。。。
但是,2017年,国外著名的免费系统优化和隐私保护软件 CCleaner 官方版被安全人员发现含有恶意代码,会偷偷执行 Floxif 木马。
然后,你可能连官方软件都不能轻易相信了。。。
程序员可能更崩溃:我连自己辛辛苦苦写的代码都不能相信了?
所以,杭特想举办一场阿里软件供应链安全大赛,这个比赛的特点是,通过自动化软件进行供应链安全风险点检测。
我们从目标倒推说起。杭特的目标是:提升业界检测软件恶意行为的能力。
于是,他想到,这是一个参赛者涵盖了出题人和答题人的比赛,大意就是,出题人在上面搞出来一些事情,看答题人能不能检测出来,这样你强我也强,清风拂山岗。
但是,供应链的范围太广了,像大海一样,杭特并不希望,这沦为一场人肉战:人走了,这家公司可能就失去了这种能力,得把检测软件恶意行为的能力以能传承的方式积累起来。
因此,这是一场通过平台、工具的形式来比拼的比赛!
杭特还希望,这次比赛是个催化剂,他们将与优秀团队合作,让真正有能力的团队获得支持,能坚持下去,从而提升整个业界的检测能力。
比如,当天会议现场,腾讯玄武实验室的小哥哥丁川达就介绍了一个名为 “Project A'Tuin” 的供应链安全检测的实践项目。
杭特当场表示:小哥哥来参加比赛吧。
(脑补一下只是受邀做个演讲还没心理准备的丁川达的内心情感)
不过,有意思的是,杭特说:“初赛就是怎么玩都可以,让大家没有顾虑来参赛,我就看你是否具备检测特定恶意行为的能力,我们希望决赛有知识产权共享,这个共享不是说你得分享方案,而是通过这种类似于论文答辩的形式,能够向大家证明这个方案是行得通的。”
这意味着,未来如果有可能,我们居然能看到两个老对手合作的盛况,至于阿里如何和参赛方妥善商量知识产权的问题,这就是以后的故事了。
鸣谢一起举办这次“软件供应链安全”技术研讨会的InForSec
原来黑客大牛们的闭门会议也是这么的
爱拍照!