绝密 | 一个安全测试，把全球 X0000 台主机控制权拿下了

原标题：绝密 | 一个安全测试，把全球 X0000 台主机控制权拿下了

讲真，大家都举起手机拍拍拍的场景雷锋网也不是没见过，在一些安全论坛上，讲者讲到精彩的干货时，也有这种场面出现。

不过，这次“拍拍拍”很特殊，因为里面的数据（还有公司名）要是漏出来，估计很多家公司都要睡不好了。

一场看谁更单纯的测试

故事还得从几天前说起，雷锋网编辑参加了一场安全圈的闭门会议。

这个会议的主要促成者之一是阿里巴巴安全部的安全研究员杭特，也就是上次宅客频道采访过，觉得安全圈“攻击者”比“防守者”要多得多，这种现象不太好的那个橘色毛衣的坚守者（他已经穿了四次了）。

事先，编辑已经猜到，杭特开这次大会可能是为了“兜售”他想办的那场阿里软件供应链安全大赛。

然后，编辑看了看参与者名单：阿里巴巴、腾讯、知道创宇、某滴、京东、华为、360、中科院软件所、中科院计算所、清华……等一下，腾讯安全玄武实验室和知道创宇的代表也来了？

熟悉网络安全领域的朋友们可能知道，几个月前，腾讯玄武实验室和知道创宇帮助支付宝发现了一个大漏洞，然后阿里今年又帮助微信找到了一个超级大漏洞……

嘿嘿嘿。。。

本来以为两方会心存芥蒂，现在又本着一起促进的心共同玩耍了，这种友好的氛围还是值得点赞的。所以，雷锋网宅客频道编辑抱着这种期许，来到了会议室。

万万没想到，杭特刚介绍了几分钟软件供应链安全的定义和历史事件，然后就抛出了一个“炸弹”：

“XXXX（编者注：自己脑补是谁吧）进行了一个PIP软件仓库的实验，以前有些公司也搞过。不需要其他投入，只要一个免费的邮箱，一台能连上互联网的机器，就能对程序员进行这场网络安全的测试了。”

。。。。蛤？暴击程序员？

是的。

“普通的程序员要用一些工具去做××软件，可能会先查询一下，程序员是非常单纯的，比如，他可能要个pip install zlib，但是事实上这个东东的正经名字叫做zlib3，很多程序员敲的时候，没有意识到，就敲了zlib 开始搜索。所以，XXXX就在 python pip 源上传“恶意测试”包 zlib，总数约 20 个。然后实验者就开始等待了……”

“单纯”的程序员们果然中招了

下面是一段中招公司看了要流泪、程序员看了要心碎、所有 PR 可能要围上来堵上嘴的数据和公司名称缩写：

100天之内这场测试获得了全球X0000台主机的控制权，其中XX000台是最高权限，中招公司（名称缩写）的涵盖范围有：（出于保密不放出缩写了）正经的大公司基本不落，还有各种牛叉的国际高校和严肃机构……

（其实，现场参加的黑客大牛们都知道了公司名称和具体数字，并举起了手机拍照，但素，我们闭紧了嘴巴。。。。）

幸好，这次主导进行实验的都是正经的安全研究员，开展的是善意的网络安全测试，只记录了账户名用作统计。

但一个让人后怕的细节是，在 100 天的实验期中，他们将自己收集账户名的行为明明白白地暴露出来，没有隐藏痕迹，但直到国外有人发觉，并进行了新闻报道，有些厂商还后知后觉。

做了这么多，这个测试只是想证明一个观点：如果软件供应链源头产生污染，影响是辣么大。

编辑突然对杭特说的历史事件有了更深的感悟：

2015年， Xcode Ghost这种手机病毒通过非官方下载的 Xcode 传播，能够在开发过程中通过 CoreService 库文件进行感染，使编译出的 App 被注入第三方的代码，向指定网站上传用户数据。苹果的应用商店AppStore无法检测出病毒，因为商店审核只能确定App调用了哪些系统API。于是带毒应用顺利进入苹果官方商店，而用户则通过苹果官方商店下载到了病毒应用。

你也许长了个经验：不要从非官方渠道下载。。。

但是，2017年，国外著名的免费系统优化和隐私保护软件 CCleaner 官方版被安全人员发现含有恶意代码，会偷偷执行 Floxif 木马。

然后，你可能连官方软件都不能轻易相信了。。。

程序员可能更崩溃：我连自己辛辛苦苦写的代码都不能相信了？

所以，杭特想举办一场阿里软件供应链安全大赛，这个比赛的特点是，通过自动化软件进行供应链安全风险点检测。

不懂，怎么玩

我们从目标倒推说起。杭特的目标是：提升业界检测软件恶意行为的能力。

于是，他想到，这是一个参赛者涵盖了出题人和答题人的比赛，大意就是，出题人在上面搞出来一些事情，看答题人能不能检测出来，这样你强我也强，清风拂山岗。

但是，供应链的范围太广了，像大海一样，杭特并不希望，这沦为一场人肉战：人走了，这家公司可能就失去了这种能力，得把检测软件恶意行为的能力以能传承的方式积累起来。

因此，这是一场通过平台、工具的形式来比拼的比赛！

杭特还希望，这次比赛是个催化剂，他们将与优秀团队合作，让真正有能力的团队获得支持，能坚持下去，从而提升整个业界的检测能力。

比如，当天会议现场，腾讯玄武实验室的小哥哥丁川达就介绍了一个名为 “Project A'Tuin” 的供应链安全检测的实践项目。

杭特当场表示：小哥哥来参加比赛吧。

（脑补一下只是受邀做个演讲还没心理准备的丁川达的内心情感）

不过，有意思的是，杭特说：“初赛就是怎么玩都可以，让大家没有顾虑来参赛，我就看你是否具备检测特定恶意行为的能力，我们希望决赛有知识产权共享，这个共享不是说你得分享方案，而是通过这种类似于论文答辩的形式，能够向大家证明这个方案是行得通的。”

这意味着，未来如果有可能，我们居然能看到两个老对手合作的盛况，至于阿里如何和参赛方妥善商量知识产权的问题，这就是以后的故事了。

鸣谢一起举办这次“软件供应链安全”技术研讨会的InForSec

原来黑客大牛们的闭门会议也是这么的

爱拍照！

,绝密 | 一个安全测试，把缬沙坦氨氯地平片 全球 X0000 台主机控制权拿下了

相关：

潘石屹：美国发起贸易战是历史的倒退潘石屹(左)凤凰国际iMarkets讯 北京时间3月23日，SOHO中国董事长潘石屹在接待Asia Society成员一行二十余人时就特朗普下令对中国商品增收关税事件表示：“早上我起来，一上网，就看到中美爆发了贸易战役。这是很不好的一件事情，是历史的倒退。”稍早，美国总统特朗普签署了总统备忘录，依据“301调查”结果，将对从中国进口的商品大规模征收关税，并限制中国企业对美投资并购。特朗普表示，涉及征税的中国商品规模可达600亿美..

上交所：切实加强对违规行为的一线监管摘要 上交所公布，近年来，随着证券市场依法、从严、全面监管的深入推进，上交所一线监管职能不断强化，对市场违规行为实施纪律处分和监管措施的力度明显增加。2016、2017年，上交所纪律处分数量分别为68单、93单，比2015年的62单，分别增长10%、50%；其中，公开谴责、公开认定分别为12单、3人次和25单、11人次，比2015年的9单、2人次，也有大幅增长。 ..

中美贸易战殃及A股 这样避险最有效摘要 券商分析人士认为，这一事件在情绪层面影响较大，A股短期面临波动，贵金属板块以及债券市场可为投资者搭建避风港。 　　3月23日，中美贸易战开打，全球股市一片惨淡。 　　A股方面，上证指数大跌110.72点，跌幅3.39%；深圳成指下跌4.02%，创业板指的跌幅更是达到5.02%。 　　券商分析人士认为，这一事件在情绪层面影响较大，A股..

03月24日沪深两市公告一览最新利空利好消息集锦 　　隆基股份公司全资子公司隆桥光伏拟在宁夏灵武市马家滩镇投资建设228MW光伏发电项目，预计总投资额13.65亿元，建设期4个月，运营期25年。　　(300176)鸿特精密公司拟现金收购广东远见精密五金股份有限公司100%的股权，远见精密100%股权整体估值3.2亿元。远见精密2016年营业收入1.91亿元，净利润1939.28万元。　　(300021)大禹节水公司与中国水权交易所股份有限公司、北京国泰节..

信达证券：公司全年业绩高增长 域市场业绩快速增长 　　佳都科技(600728)股东人数：60643　　2017年股东人数：75364　　分红：10派0.31　　公司全年业绩高增长，其中智慧城市及智能化轨道交通是增速最快的细分领域，营收增速分别为84.22%和90.99%。智慧城市业务增长主要受益于公司在新疆等地区的精准布局，区域市场业绩快速增长。　　保隆科技(603197)招商证券驰宏锌锗(600497)广和通(300638)中国移动重要合作伙伴，中国移动在和对..

森马服饰：拓宽公司童装业务与渠道布局 　　东方证券森马服饰(002563)股东人数：33113　　三季度股东人数：32209　　分红：　　公司与美国THE CHILDREN‘S PLACE 签署许可开发协议，THE CHILDREN’S PLACE 是北美第一大全年龄段专业童装零售商，此次合作也将直接拓宽公司童装业务与渠道布局，丰富童装产品的设计、供应链、渠道等资源，进一步强化森马在国内童装领域的绝对龙头地位。　　鼎龙股份(300054)兴业证券..

03月24日2017年年报分配预告 钧达股份-600036招商银行-603777来伊份10转4.0002229鸿博股份-600980北矿科技-600971恒源煤电-000951中国重汽-601088中国神华-600836界龙实业-002839张家港行-600602云赛智联-002466天齐锂业-002232启明信息-601158重庆水务-002772众兴菌业-600841上柴股份-600268国电南自-600560金自天正-603669灵康药业10转4.0002372伟星新材10转3.0600188兖州煤业-000973佛塑科技-600007中国国..

03月24日2017年年报业绩报表 富临运业0.32928.799.7910派1.00300007汉威科技0.3821.738.210派0.45300256星星科技0.1-54.391.9510转5.00派0.20002229鸿博股份0.0214-15.140.6510派0.60002372伟星新材0.8322.4528.1910转3.00派6.00002232启明信息0.130216.325.0310派0.50002202金风科技0.8391.7215.0410派2.00601158重庆水务0.4393.5115.0910派3.00601099太平洋0.017-82.590.9910派0.10000513丽珠集团8.09464.63..

轮胎“双反”已久 龙头企业渐突围摘要 轮胎出口频遭“双反”已十年，主要品种皆受波及。继美国2007年对中国非公路轮胎(OTR)发起“双反”，2009年对乘用及轻卡轮胎(PCR)采取“特保”，2015年8月对PCR轮胎“双反”终裁，2016年2月对卡客车轮胎(TBR)“双反”调查，2018年3月美对华PCR轮胎“双反”第一次行政复审终裁如期发布。 　　轮胎出口频遭“双反”已十年，主要品种皆..

中止减让清单发布 利好农业板块摘要 商务部发布针对美国进口钢铁和铝产品232措施的中止减让产品清单并征求公众意见，拟对自美进口部分产品加征关税，以平衡因美国对进口钢铁和铝产品加征关税给中方利益造成的损失。清单总涉及美对华约30亿美元出口，包含鲜水果、干果及坚果制品、猪肉及制品等多类农产品。 　　商务部发布针对美国进口钢铁和铝产品232措施的中止减让产..