黑客业务

黑客服务,入侵网站,网站入侵,黑客技术,信息安全,web安全

绝密 | 一个安全测试,把全球 X0000 台主机控制权拿下了


讲真,大家都举起手机拍拍拍的场景黑盟也不是没见过,在一些安全论坛上,讲者讲到精彩的干货时,也有这种场面出现。

不过,这次“拍拍拍”很特殊,因为里面的数据(还有公司名)要是漏出来,估计很多家公司都要睡不好了。

一场看谁更单纯的测试

故事还得从几天前说起,黑盟编辑参加了一场安全圈的闭门会议。

这个会议的主要促成者之一是阿里巴巴安全部的安全研究员杭特,也就是上次宅客频道采访过,觉得安全圈“攻击者”比“防守者”要多得多,这种现象不太好的那个橘色毛衣的坚守者(他已经穿了四次了)。

事先,编辑已经猜到,杭特开这次大会可能是为了“兜售”他想办的那场阿里软件供应链安全大赛。

然后,编辑看了看参与者名单:阿里巴巴、腾讯、知道创宇、某滴、京东、华为、360、中科院软件所、中科院计算所、清华……等一下,腾讯安全玄武实验室和知道创宇的代表也来了?

熟悉网络安全领域的朋友们可能知道,几个月前,腾讯玄武实验室和知道创宇帮助支付宝发现了一个大漏洞,然后阿里今年又帮助微信找到了一个超级大漏洞……

嘿嘿嘿。。。

本来以为两方会心存芥蒂,现在又本着一起促进的心共同玩耍了,这种友好的氛围还是值得点赞的。所以,黑盟(公众号:黑盟)宅客频道编辑抱着这种期许,来到了会议室。

万万没想到,杭特刚介绍了几分钟软件供应链安全的定义和历史事件,然后就抛出了一个“炸弹”:

“XXXX(编者注:自己脑补是谁吧)进行了一个PIP软件仓库的实验,以前有些公司也搞过。不需要其他投入,只要一个免费的邮箱,一台能连上互联网的机器,就能对程序员进行这场网络安全的测试了。”

。。。。蛤?暴击程序员?

是的。

“普通的程序员要用一些工具去做××软件,可能会先查询一下,程序员是非常单纯的,比如,他可能要个pip install zlib,但是事实上这个东东的正经名字叫做zlib3,很多程序员敲的时候,没有意识到,就敲了zlib 开始搜索。所以,XXXX就在 python pip 源上传“恶意测试”包 zlib,总数约 20 个。然后实验者就开始等待了……”

“单纯”的程序员们果然中招了

下面是一段中招公司看了要流泪、程序员看了要心碎、所有 PR 可能要围上来堵上嘴的数据和公司名称缩写:

100天之内这场测试获得了全球X0000台主机的控制权,其中XX000台是最高权限,中招公司(名称缩写)的涵盖范围有:(出于保密不放出缩写了)正经的大公司基本不落,还有各种牛叉的国际高校和严肃机构……

(其实,现场参加的黑客大牛们都知道了公司名称和具体数字,并举起了手机拍照,但素,我们闭紧了嘴巴。。。。)

幸好,这次主导进行实验的都是正经的安全研究员,开展的是善意的网络安全测试,只记录了账户名用作统计。

但一个让人后怕的细节是,在 100 天的实验期中,他们将自己收集账户名的行为明明白白地暴露出来,没有隐藏痕迹,但直到国外有人发觉,并进行了新闻报道,有些厂商还后知后觉。

做了这么多,这个测试只是想证明一个观点:如果软件供应链源头产生污染,影响是辣么大。

编辑突然对杭特说的历史事件有了更深的感悟:

2015年, Xcode Ghost这种手机病毒通过非官方下载的 Xcode 传播,能够在开发过程中通过 CoreService 库文件进行感染,使编译出的 App 被注入第三方的代码,向指定网站上传用户数据。苹果的应用商店AppStore无法检测出病毒,因为商店审核只能确定App调用了哪些系统API。于是带毒应用顺利进入苹果官方商店,而用户则通过苹果官方商店下载到了病毒应用。

你也许长了个经验:不要从非官方渠道下载。。。

但是,2017年,国外著名的免费系统优化和隐私保护软件 CCleaner 官方版被安全人员发现含有恶意代码,会偷偷执行 Floxif 木马。

然后,你可能连官方软件都不能轻易相信了。。。

程序员可能更崩溃:我连自己辛辛苦苦写的代码都不能相信了?

所以,杭特想举办一场阿里软件供应链安全大赛,这个比赛的特点是,通过自动化软件进行供应链安全风险点检测。


不懂,怎么玩

我们从目标倒推说起。杭特的目标是:提升业界检测软件恶意行为的能力。

于是,他想到,这是一个参赛者涵盖了出题人和答题人的比赛,大意就是,出题人在上面搞出来一些事情,看答题人能不能检测出来,这样你强我也强,清风拂山岗。

但是,供应链的范围太广了,像大海一样,杭特并不希望,这沦为一场人肉战:人走了,这家公司可能就失去了这种能力,得把检测软件恶意行为的能力以能传承的方式积累起来。

因此,这是一场通过平台、工具的形式来比拼的比赛!

杭特还希望,这次比赛是个催化剂,他们将与优秀团队合作,让真正有能力的团队获得支持,能坚持下去,从而提升整个业界的检测能力。

比如,当天会议现场,腾讯玄武实验室的小哥哥丁川达就介绍了一个名为 “Project A'Tuin” 的供应链安全检测的实践项目。

杭特当场表示:小哥哥来参加比赛吧。

(脑补一下只是受邀做个演讲还没心理准备的丁川达的内心情感)

不过,有意思的是,杭特说:“初赛就是怎么玩都可以,让大家没有顾虑来参赛,我就看你是否具备检测特定恶意行为的能力,我们希望决赛有知识产权共享,这个共享不是说你得分享方案,而是通过这种类似于论文答辩的形式,能够向大家证明这个方案是行得通的。”

这意味着,未来如果有可能,我们居然能看到两个老对手合作的盛况,至于阿里如何和参赛方妥善商量知识产权的问题,这就是以后的故事了。

鸣谢一起举办这次“软件供应链安全”技术研讨会的InForSec

原来黑客大牛们的闭门会议也是这么的

爱拍照!

黑盟原创文章,未经授权禁止转载。详情见转载须知。


  • 评论列表:
  •  南殷绾痞
     发布于 2022-06-01 10:38:44  回复该评论
  • 明明白白地暴露出来,没有隐藏痕迹,但直到国外有人发觉,并进行了新闻报道,有些厂商还后知后觉。 做了这么多,这个测试只是想证明一个观点:如果软件供应链源头产生污染,影响是辣么大。 编
  •  笙沉桔烟
     发布于 2022-06-01 11:36:30  回复该评论
  • 个让人后怕的细节是,在 100 天的实验期中,他们将自己收集账户名的行为明明白白地暴露出来,没有隐藏痕迹,但直到国外有人发觉,并进行了新闻报道,有些厂商还后知后觉。 做了这么多,这个测试只是想证明一个观点:如果软件供应链源头产生污染,影响是辣么大。 编

发表评论:

Powered By

Copyright Your WebSite.Some Rights Reserved.