相比眾多 CTF 和 PWN,安全圈的這場比賽更值得關(guān)注
对于攻击者而言,如何用最低的成本,获取最好的攻击效果是他们一直追求的,如果还能让自己不易被发现,那再好不过。
近几年,通过软件供应链污染来达到恶意攻击的手段,就因为上面这个原因而频频被使用。
2015年9月,XcodeGhost 事件爆发,当年这个所有iOS程序员都会用到的开发工具,让超过4000个不同版本的苹果应用被感染,该事件影响了中国近一亿苹果手机用户,由此,软件供应链安全问题开始广受关注。
▲图片来源:freebuf
编辑先以小偷入室偷窃,来打个不太恰当的比方。
之前小偷进你家偷东西,可能需要先把小区门禁卡给搞定,再把单元门禁卡给搞定,最后通过各种方式把你家的锁撬了,然后才能趁你不在的时候偷走东西。
但现在,小偷可能在盖楼或者你装修的时候就顺便留下若干通往你屋子的暗道,并且在暗处装上了各类摄像头和监听设备。
他清楚地知道你每时每刻在干些什么,有哪些重要的隐私信息,知道你家中最值钱的东西放在哪里,什么时候来你家才能不被发现……你家今天没丢东西,并不意味着小偷现在没能力进来,只是直击要害的时机还未到。
即使有天你发现家里丢了东西后,也无法通过小区的摄像头获取任何小偷的信息,更没法像传统破案一样通过撬锁等痕迹来寻找蛛丝马迹。
放在网络安全领域,这种“行窃”手法在恶意攻击中越来越流行,从棱镜门到 XcodeGhost,从惠普驱动键盘记录后门到 Xshell 后门,从 pythonpip 源污染到 VSCODE插件钓鱼……软件供应链安全事件不仅频繁发生,而且威力巨大。黑产有时不再花巨资去搞0day,就能以“四两拨千斤”的手法,获得高额回报,事情发生后,还往往能溜之大吉,很难追溯。
针对很多软件从源头就被恶意“污染”的现状,阿里巴巴从今年 3 月到 10月,举办了一场软件供应链安全大赛,近日,作为主要组织者之一的阿里安全资深专家杭特,花了整整一个下午的时间,跟编辑详细地聊了聊这场大赛举办的深层次的原因,以及目前软件供应链安全所面临的困境。
▲阿里安全资深专家杭特
我们生活在一个布满代码的危险世界
除了水、空气、阳光,还有一样东西正在成为我们的刚需---软件。
我们智能手机里面那些五花八门的应用、正在遍布各个角落的IoT设备、未来终将普及的无人驾驶汽车……近10年以来,全世界的程序员正编写并复用的海量软件,极大地改变了我们的生活。
据不完全统计,目前开源软件的数量已经超过5300亿行,在全球2000强的公司里面,所用的普通构件中,每家至少有 50000 行的开源代码。
换句话说,如今我们所使用的很多产品和应用,都是“站在巨人的肩膀上”,开源和闭源软件在供应链中,正扮演者越来越重要的角色。
但这个巨人到底可靠不可靠?
在文章开头频出的安全事件背后,来自北京大学软件与微电子学院的张世琨教授带来了这样一组数据:在JAVA构件的下载中,存在的已知安全漏洞的概率是十六分之一,在旧版本的构件当中,包含安全漏洞的可能性更大。
这些漏洞并非全部由恶意代码构成,但其背后的隐患已不容忽视。
目前现状是,需要分析的对象数量越来越多、规模也越来越复杂,但分析人员人数有限,水平层次不齐,准确性无法保证,由于人员流动更是会带来无法估量的损失。
大量安全人员的时间都耗费在了重复性的劳动当中,各种低级别的漏洞分析和逆向占用了他们大量的精力,很多时候更像是纯体力的劳动。
比如以下这种场景:
▲图片来源:阿里聚安全
杭特介绍,对于恶意代码的检测,除了少数通用的工具,(IDA、Ollydbg等等),绝大部分工作都需要人工分析。对于刚入门的同学,人工逆向打怪升级还有些成就感,“读了这些文件”,“发了这些数据”,“哦,原来是这么回事”,但随着时间的推移和技能的提升,逆向工作就成了纯粹的体力劳动,每天只能反反复复的运行程序、设置断点、获取接口数据、修改数据、写分析记录,大量的时间耗费在这些并没有创造力的繁琐工作里,而黑产所带来的指数级增长的威胁,却越来越难以对抗。
那面对海量需要检测的对象,这些重复的工作可否通过自动化的工具实现,来更有效率地应对恶意攻击?
正是抱着想法,阿里举办了这样一场业内少有的,赛程如此之长的软件供应链安全大赛。(2018年2月-3月;2018年3月-4月将举行软件供应链安全测试赛,4月-9月举行分站赛,10月份举行总决赛,奖金总额150万元)
举办大赛的深层原因
针对软件供应链安全的现状,美国早已开始谋篇布局。
前面提到,人类编写新软件的速度要远快于人工检查的速度,近年来优秀安全人才也处于供不应求的状态,所以自动化发现软件漏洞已经成为网络安全技术发展的趋势之一。
2016年8月,美国国防部先进研究项目局(DARPA),就举办了世界首届机器与机器对抗的网络攻防大赛(CGC),大赛中所使用的自动化的技术,不仅要找到软件的bug,而且要保证这些 bug 是可被利用并入侵计算机的漏洞。
在比赛过程中,参赛团队需构建自动化系统,对有缺陷的程序做自动加固和相互攻击,这些系统不仅要能够抵抗外来攻击,还需同时反击对手。
这说明,在大洋彼岸的美国,已经将这种自动化的检测和攻防列为国家战略,并对此进行了大手笔的投入和长期发展的规划。
换言之,这些顶级安全研究人员所共同积累的自动化攻防的技术,会在 DARPA 的长期支持下逐渐完成技术积累,为未来大规模替代人工做准备。
在杭特看来,CGC比赛的难度和所分析对象,综合来看要超过各类 CTF 和 PWN。
▲CGC属于右上角的区域
他告诉编辑,针对软件供应链安全的挑战,美国有完善的流程标准NIST-800-161,也在高大上的VET项目投资了近5000万美金,可惜的是,目前国内这块还是空白。
好了,说完了国外的情况,我们把目光投向这次阿里举办的软件供应链安全大赛。
这次大赛为什么是阿里来搞?
首先我们来看,作为一个拥有多元生态的互联网公司,阿里麾下的各类服务已经涵盖了我们生活的方方面面。
这些服务中,几乎每项都离不开各类软件的支撑,无论是源码编写、源码编译,还是软件分发、软件下载、软件更新等诸多环节中,都面临有海量的恶意代码检测任务。
杭特透露,他们也曾经做过一个针对软件供应链安全的实验,在供应链的某个节点上插入恶意代码,由此所造成的后果确实极大地超出他的预期。(对于编辑再三追问的实验细节,他并没有透露)
如果这种技能被黑产大规模掌握后,他们将不必再花大价钱来买 0day 漏洞就可以达到理想的攻击效果,由此攻击成本将大为降低,安全人员所面临的挑战愈加严峻。
发现,其实阿里本身在自动化的攻防上已经开始布局,不久前,阿里安全所研发的自动化逆向机器人 TimePlayer已在公开报道中出现过,这次所举办的软件供应链安全大赛,也是期望能够以生态的形式提升行业的自动化检测能力。
路漫漫其修远兮
虽然这场大赛是阿里来主办的,但软件供应链安全的问题需要多方来共同解决。
在8月22日阿里所主办的网络安全生态峰会的软件供应链安全分论坛中,发现了来自公安部、工信部、高校和企业等单位和机构的领导专家。
由此来看,其实国家相关部门已经意识到问题的严重性并且开始探讨解决方法。
在会上,来自公安部的相关领导透露,公安部有一个产品销售许可证的管理职能,目前也正在改革销售许可的管理制度,在软件等级保护中,他们增加了软件供应链安全方面的要求,重要行业部门使用的重要的源代码会进行更加严格的安全检测,他们也借大赛的机会想了解如何更有效的检测和防范威胁。
但针对软件供应链安全,自动化的检测和攻防将会面临一个漫长的过程。
来自腾讯的杨勇坦言,攻防双方的对抗永远是一个此消彼长的过程,不仅是安全人员在研究这块,黑产在自动化的攻防方面也在研究如何绕过,所以未来就像军队的建设一样,拼的不仅是技术的高度,更重要的是持续的投入和不间断的研究。
“到底对这个公司能造成什么样的危害,它通过这种攻击拿到的资源,能给这个产业或是社会造成什么样的危害?”杨勇认为,对这些还缺乏系统性的评估,通过这场大赛,也是想对安全隐患进行更清晰和准确的刻画,但这仍然需要很长的路走。
时光到回1960年,当时国际象棋计算机系统已可用,但它花了30多年才在1997年战胜世界冠军卡斯帕罗夫。而计算机安全的复杂度要比国际象棋高n个数量级,未来仍然荆棘密布。
但比认识困难更加重要的,应该是立马行动起来,也许正像一句谚语所言“种树的最佳时间是在20年前,下一次种树的最佳时间是今天”。
推薦系統(tǒng)
雨林木風(fēng) winxp下載 純凈版 永久激活 winxp ghost系統(tǒng) sp3 系統(tǒng)下載
系統(tǒng)大?。?/em>0MB系統(tǒng)類型:WinXP雨林木風(fēng)在系統(tǒng)方面技術(shù)積累雄厚深耕多年,打造了國內(nèi)重裝系統(tǒng)行業(yè)知名品牌,雨林木風(fēng)WindowsXP其系統(tǒng)口碑得到許多人認可,積累了廣大的用戶群體,是一款穩(wěn)定流暢的系統(tǒng),雨林木風(fēng) winxp下載 純凈版 永久激活 winxp ghost系統(tǒng) sp3 系統(tǒng)下載,有需要的朋友速度下載吧。
系統(tǒng)等級:進入下載 >蘿卜家園win7純凈版 ghost系統(tǒng)下載 x64 聯(lián)想電腦專用
系統(tǒng)大?。?/em>0MB系統(tǒng)類型:Win7蘿卜家園win7純凈版是款非常純凈的win7系統(tǒng),此版本優(yōu)化更新了大量的驅(qū)動,幫助用戶們進行舒適的使用,更加的適合家庭辦公的使用,方便用戶,有需要的用戶們快來下載安裝吧。
系統(tǒng)等級:進入下載 >雨林木風(fēng)xp系統(tǒng) xp系統(tǒng)純凈版 winXP ghost xp sp3 純凈版系統(tǒng)下載
系統(tǒng)大?。?/em>1.01GB系統(tǒng)類型:WinXP雨林木風(fēng)xp系統(tǒng) xp系統(tǒng)純凈版 winXP ghost xp sp3 純凈版系統(tǒng)下載,雨林木風(fēng)WinXP系統(tǒng)技術(shù)積累雄厚深耕多年,采用了新的系統(tǒng)功能和硬件驅(qū)動,可以更好的發(fā)揮系統(tǒng)的性能,優(yōu)化了系統(tǒng)、驅(qū)動對硬件的加速,加固了系統(tǒng)安全策略,運行環(huán)境安全可靠穩(wěn)定。
系統(tǒng)等級:進入下載 >蘿卜家園win10企業(yè)版 免激活密鑰 激活工具 V2023 X64位系統(tǒng)下載
系統(tǒng)大小:0MB系統(tǒng)類型:Win10蘿卜家園在系統(tǒng)方面技術(shù)積累雄厚深耕多年,打造了國內(nèi)重裝系統(tǒng)行業(yè)的蘿卜家園品牌,(win10企業(yè)版,win10 ghost,win10鏡像),蘿卜家園win10企業(yè)版 免激活密鑰 激活工具 ghost鏡像 X64位系統(tǒng)下載,其系統(tǒng)口碑得到許多人認可,積累了廣大的用戶群體,蘿卜家園win10純凈版是一款穩(wěn)定流暢的系統(tǒng),一直以來都以用戶為中心,是由蘿卜家園win10團隊推出的蘿卜家園
系統(tǒng)等級:進入下載 >蘿卜家園windows10游戲版 win10游戲?qū)I(yè)版 V2023 X64位系統(tǒng)下載
系統(tǒng)大?。?/em>0MB系統(tǒng)類型:Win10蘿卜家園windows10游戲版 win10游戲?qū)I(yè)版 ghost X64位 系統(tǒng)下載,蘿卜家園在系統(tǒng)方面技術(shù)積累雄厚深耕多年,打造了國內(nèi)重裝系統(tǒng)行業(yè)的蘿卜家園品牌,其系統(tǒng)口碑得到許多人認可,積累了廣大的用戶群體,蘿卜家園win10純凈版是一款穩(wěn)定流暢的系統(tǒng),一直以來都以用戶為中心,是由蘿卜家園win10團隊推出的蘿卜家園win10國內(nèi)鏡像版,基于國內(nèi)用戶的習(xí)慣,做
系統(tǒng)等級:進入下載 >windows11下載 蘿卜家園win11專業(yè)版 X64位 V2023官網(wǎng)下載
系統(tǒng)大?。?/em>0MB系統(tǒng)類型:Win11蘿卜家園在系統(tǒng)方面技術(shù)積累雄厚深耕多年,windows11下載 蘿卜家園win11專業(yè)版 X64位 官網(wǎng)正式版可以更好的發(fā)揮系統(tǒng)的性能,優(yōu)化了系統(tǒng)、驅(qū)動對硬件的加速,使得軟件在WINDOWS11系統(tǒng)中運行得更加流暢,加固了系統(tǒng)安全策略,WINDOWS11系統(tǒng)在家用辦公上跑分表現(xiàn)都是非常優(yōu)秀,完美的兼容各種硬件和軟件,運行環(huán)境安全可靠穩(wěn)定。
系統(tǒng)等級:進入下載 >
相關(guān)文章
- 如何解決銳龍2200g死機藍屏
- Win8.1本地搜索為什么無法使用
- Win8.1無線網(wǎng)絡(luò)不穩(wěn)定/掉線怎么辦
- 電腦機箱漏電怎么消除?電腦機箱漏電是哪里的問題?
- 電腦開不了機怎么辦?電腦無法開機怎么解決?
- 硬盤雙擊無法打開的問題該怎么辦
- 風(fēng)行下載速度慢甚至是為0怎么辦?風(fēng)行播放器下載問題及解決方法匯總
- 蘋果回應(yīng)新的iOS惡意軟件YiSpector:已在iOS8.4中解決該問題
- 沒有路由器怎么連無線 160wifi 解決沒有路由器連接無線問題
- 維棠FLV下載視頻失敗問題匯總及解決方法
- Word2016 出現(xiàn)“此功能看似已中斷 并需要修復(fù)”問題解決方案(圖文)
- Cisco管理的35個常見問題及解答
- NanoStudio怎么用?NanoStudio使用方法及常見問題
- IE瀏覽器登錄網(wǎng)上銀行時出現(xiàn)崩潰問題的解決辦法
熱門系統(tǒng)
推薦軟件
推薦應(yīng)用
推薦游戲
熱門文章
常用系統(tǒng)
- 1win11最新娛樂版下載 技術(shù)員聯(lián)盟x64位 ghost系統(tǒng) ISO鏡像 v2023
- 2電腦公司windows7純凈版 ghost x64位 v2022.05 官網(wǎng)鏡像下載
- 3外星人系統(tǒng)Win11穩(wěn)定版系統(tǒng)下載 windows11 64位穩(wěn)定版Ghost V2022
- 4win11一鍵裝機小白版下載 外星人系統(tǒng) x64位純凈版下載 筆記本專用
- 5蘿卜家園Ghost win10 64位中文版專業(yè)版系統(tǒng)下載 windows10純凈專業(yè)版下載
- 6【國慶特別版】番茄花園Windows11高性能專業(yè)版ghost系統(tǒng) ISO鏡像下載
- 7青蘋果系統(tǒng) GHOST WIN7 SP1 X64 專業(yè)優(yōu)化版 V2024
- 8深度技術(shù)ghost win7純凈版最新下載 大神裝機版 ISO鏡像下載
- 9雨林木風(fēng)windows11中文版免激活 ghost鏡像 V2022.04下載