絕密 | 一個安全測試，把全球 X0000 臺主機控制權拿下了

講真，大家都舉起手機拍拍拍的場景雷鋒網也不是沒見過，在一些安全論壇上，講者講到精彩的干貨時，也有這種場面出現。

不過，這次“拍拍拍”很特殊，因為里面的數據（還有公司名）要是漏出來，估計很多家公司都要睡不好了。

一場看誰更單純的測試

故事還得從幾天前說起，雷鋒網編輯參加了一場安全圈的閉門會議。

這個會議的主要促成者之一是阿里巴巴安全部的安全研究員杭特，也就是上次宅客頻道采訪過，覺得安全圈“攻擊者”比“防守者”要多得多，這種現象不太好的那個橘色毛衣的堅守者（他已經穿了四次了）。

事先，編輯已經猜到，杭特開這次大會可能是為了“兜售”他想辦的那場阿里軟件供應鏈安全大賽。

然后，編輯看了看參與者名單：阿里巴巴、騰訊、知道創宇、某滴、京東、華為、360、中科院軟件所、中科院計算所、清華……等一下，騰訊安全玄武實驗室和知道創宇的代表也來了？

熟悉網絡安全領域的朋友們可能知道，幾個月前，騰訊玄武實驗室和知道創宇幫助支付寶發現了一個大漏洞，然后阿里今年又幫助微信找到了一個超級大漏洞……

嘿嘿嘿。。。

本來以為兩方會心存芥蒂，現在又本著一起促進的心共同玩耍了，這種友好的氛圍還是值得點贊的。所以，雷鋒網宅客頻道編輯抱著這種期許，來到了會議室。

萬萬沒想到，杭特剛介紹了幾分鐘軟件供應鏈安全的定義和歷史事件，然后就拋出了一個“炸彈”：

“XXXX（編者注：自己腦補是誰吧）進行了一個PIP軟件倉庫的實驗，以前有些公司也搞過。不需要其他投入，只要一個免費的郵箱，一臺能連上互聯網的機器，就能對程序員進行這場網絡安全的測試了?！?/strong>

。。。。蛤？暴擊程序員？

是的。

“普通的程序員要用一些工具去做××軟件，可能會先查詢一下，程序員是非常單純的，比如，他可能要個pip install zlib，但是事實上這個東東的正經名字叫做zlib3，很多程序員敲的時候，沒有意識到，就敲了zlib 開始搜索。所以，XXXX就在 python pip 源上傳“惡意測試”包 zlib，總數約 20 個。然后實驗者就開始等待了……”

“單純”的程序員們果然中招了

下面是一段中招公司看了要流淚、程序員看了要心碎、所有 PR 可能要圍上來堵上嘴的數據和公司名稱縮寫：

100天之內這場測試獲得了全球X0000臺主機的控制權，其中XX000臺是最高權限，中招公司（名稱縮寫）的涵蓋范圍有：（出于保密不放出縮寫了）正經的大公司基本不落，還有各種牛叉的國際高校和嚴肅機構……

（其實，現場參加的黑客大牛們都知道了公司名稱和具體數字，并舉起了手機拍照，但素，我們閉緊了嘴巴。。。。）

幸好，這次主導進行實驗的都是正經的安全研究員，開展的是善意的網絡安全測試，只記錄了賬戶名用作統計。

但一個讓人后怕的細節是，在 100 天的實驗期中，他們將自己收集賬戶名的行為明明白白地暴露出來，沒有隱藏痕跡，但直到國外有人發覺，并進行了新聞報道，有些廠商還后知后覺。

做了這么多，這個測試只是想證明一個觀點：如果軟件供應鏈源頭產生污染，影響是辣么大。

編輯突然對杭特說的歷史事件有了更深的感悟：

2015年， Xcode Ghost這種手機病毒通過非官方下載的 Xcode 傳播，能夠在開發過程中通過 CoreService 庫文件進行感染，使編譯出的 App 被注入第三方的代碼，向指定網站上傳用戶數據。蘋果的應用商店AppStore無法檢測出病毒，因為商店審核只能確定App調用了哪些系統API。于是帶毒應用順利進入蘋果官方商店，而用戶則通過蘋果官方商店下載到了病毒應用。

你也許長了個經驗：不要從非官方渠道下載。。。

但是，2017年，國外著名的免費系統優化和隱私保護軟件 CCleaner 官方版被安全人員發現含有惡意代碼，會偷偷執行 Floxif 木馬。

然后，你可能連官方軟件都不能輕易相信了。。。

程序員可能更崩潰：我連自己辛辛苦苦寫的代碼都不能相信了？

所以，杭特想舉辦一場阿里軟件供應鏈安全大賽，這個比賽的特點是，通過自動化軟件進行供應鏈安全風險點檢測。

不懂，怎么玩

我們從目標倒推說起。杭特的目標是：提升業界檢測軟件惡意行為的能力。

于是，他想到，這是一個參賽者涵蓋了出題人和答題人的比賽，大意就是，出題人在上面搞出來一些事情，看答題人能不能檢測出來，這樣你強我也強，清風拂山崗。

但是，供應鏈的范圍太廣了，像大海一樣，杭特并不希望，這淪為一場人肉戰：人走了，這家公司可能就失去了這種能力，得把檢測軟件惡意行為的能力以能傳承的方式積累起來。

因此，這是一場通過平臺、工具的形式來比拼的比賽！

杭特還希望，這次比賽是個催化劑，他們將與優秀團隊合作，讓真正有能力的團隊獲得支持，能堅持下去，從而提升整個業界的檢測能力。

比如，當天會議現場，騰訊玄武實驗室的小哥哥丁川達就介紹了一個名為 “Project A'Tuin” 的供應鏈安全檢測的實踐項目。

杭特當場表示：小哥哥來參加比賽吧。

（腦補一下只是受邀做個演講還沒心理準備的丁川達的內心情感）

不過，有意思的是，杭特說：“初賽就是怎么玩都可以，讓大家沒有顧慮來參賽，我就看你是否具備檢測特定惡意行為的能力，我們希望決賽有知識產權共享，這個共享不是說你得分享方案，而是通過這種類似于論文答辯的形式，能夠向大家證明這個方案是行得通的?！?/p>

這意味著，未來如果有可能，我們居然能看到兩個老對手合作的盛況，至于阿里如何和參賽方妥善商量知識產權的問題，這就是以后的故事了。

鳴謝一起舉辦這次“軟件供應鏈安全”技術研討會的InForSec

原來黑客大牛們的閉門會議也是這么的

愛拍照！

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。