绝密 | 一个安全测试，把全球 X0000 台主机控制权拿下了

鲸犀 · 公众号 · · 2018-03-23 18:36

正文

讲真，大家都举起手机拍拍拍的场景我也不是没见过，在一些安全论坛上，讲者讲到精彩的干货时，也有这种场面出现。

不过，这次“拍拍拍”很特殊，因为里面的数据（还有公司名）要是漏出来，估计很多家公司都要睡不好了。

一场看谁更单纯的测试

故事还得从几天前说起，我参加了一场安全圈的闭门会议。

这个会议的主要促成者之一是阿里巴巴安全部的安全研究员杭特，也就是上次宅客频道采访过，觉得安全圈“攻击者”比“防守者”要多得多，这种现象不太好的那个橘色毛衣的坚守者（他已经穿了四次了）。

事先，我已经猜到，杭特开这次大会可能是为了“兜售”他想办的那场阿里软件供应链安全大赛。

然后，我看了看参与者名单：阿里巴巴、腾讯、知道创宇、某滴、京东、华为、360、中科院软件所、中科院计算所、清华……等一下，腾讯安全玄武实验室和知道创宇的代表也来了？

熟悉网络安全领域的朋友们可能知道，几个月前，腾讯玄武实验室和知道创宇帮助支付宝发现了一个大漏洞，然后阿里今年又帮助微信找到了一个超级大漏洞……

嘿嘿嘿。。。

本来以为两方会心存芥蒂，现在又本着一起促进的心共同玩耍了，这种友好的氛围还是值得点赞的。所以，我抱着这种期许，来到了会议室。

万万没想到，杭特刚介绍了几分钟软件供应链安全的定义和历史事件，然后就抛出了一个“炸弹”：

“XXXX（编者注：自己脑补是谁吧）进行了一个PIP软件仓库的实验，以前有些公司也搞过。不需要其他投入，只要一个免费的邮箱，一台能连上互联网的机器，就能对程序员进行这场网络安全的测试了。”

。。。。蛤？暴击程序员？

是的。

“普通的程序员要用一些工具去做××软件，可能会先查询一下，程序员是非常单纯的，比如，他可能要个pip install zlib，但是事实上这个东东的正经名字叫做zlib3，很多程序员敲的时候，没有意识到，就敲了zlib 开始搜索。所以，XXXX就在 python pip 源上传“恶意测试”包 zlib，总数约 20 个。然后实验者就开始等待了……”

“单纯”的程序员们果然中招了

下面是一段中招公司看了要流泪、程序员看了要心碎、所有PR可能要围上来堵上我的嘴的数据和公司名称缩写：

100天之内这场测试获得了全球X0000台主机的控制权，其中XX000台是最高权限，中招公司（名称缩写）的涵盖范围有：（出于保密不放出缩写了）正经的大公司基本不落，还有各种牛叉的国际高校和严肃机构……

（其实，现场参加的黑客大牛们都知道了公司名称和具体数字，并举起了手机拍照，但素，我们闭紧了嘴巴。。。。）

幸好，这次主导进行实验的都是正经的安全研究员，开展的是善意的网络安全测试，只记录了账户名用作统计。

但一个让人后怕的细节是，在 100 天的实验期中，他们将自己收集账户名的行为明明白白地暴露出来，没有隐藏痕迹，但直到国外有人发觉，并进行了新闻报道，有些厂商还后知后觉。

做了这么多，这个测试只是想证明一个观点：如果软件供应链源头产生污染，影响是辣么大。

我突然对杭特说的历史事件有了更深的感悟：

2015年， Xcode Ghost这种手机病毒通过非官方下载的 Xcode 传播，能够在开发过程中通过 CoreService 库文件进行感染，使编译出的 App 被注入第三方的代码，向指定网站上传用户数据。苹果的应用商店AppStore无法检测出病毒，因为商店审核只能确定App调用了哪些系统API。于是带毒应用顺利进入苹果官方商店，而用户则通过苹果官方商店下载到了病毒应用。

你也许长了个经验：不要从非官方渠道下载。。。