對(duì)于攻擊者而言，如何用最低的成本，獲取最好的攻擊效果是他們一直追求的，如果還能讓自己不易被發(fā)現(xiàn)，那再好不過(guò)。

近幾年，通過(guò)軟件供應(yīng)鏈污染來(lái)達(dá)到惡意攻擊的手段，就因?yàn)樯厦孢@個(gè)原因而頻頻被使用。

2015年9月，XcodeGhost 事件爆發(fā)，當(dāng)年這個(gè)所有iOS程序員都會(huì)用到的開(kāi)發(fā)工具，讓超過(guò) 4000個(gè)不同版本的蘋果應(yīng)用被感染，該事件影響了中國(guó)近一億蘋果手機(jī)用戶，由此，軟件供應(yīng)鏈安全問(wèn)題開(kāi)始廣受關(guān)注。

▲圖片來(lái)源：freebuf

雷鋒網(wǎng)編輯先以小偷入室偷竊，來(lái)打個(gè)不太恰當(dāng)?shù)谋确健?/p>

之前小偷進(jìn)你家偷東西，可能需要先把小區(qū)門禁卡給搞定，再把單元門禁卡給搞定，最后通過(guò)各種方式把你家的鎖撬了，然后才能趁你不在的時(shí)候偷走東西。

但現(xiàn)在，小偷可能在蓋樓或者你裝修的時(shí)候就順便留下若干通往你屋子的暗道，并且在暗處裝上了各類攝像頭和監(jiān)聽(tīng)設(shè)備。

他清楚地知道你每時(shí)每刻在干些什么，有哪些重要的隱私信息，知道你家中最值錢的東西放在哪里，什么時(shí)候來(lái)你家才能不被發(fā)現(xiàn)……你家今天沒(méi)丟東西，并不意味著小偷現(xiàn)在沒(méi)能力進(jìn)來(lái)，只是直擊要害的時(shí)機(jī)還未到。

即使有天你發(fā)現(xiàn)家里丟了東西后，也無(wú)法通過(guò)小區(qū)的攝像頭獲取任何小偷的信息，更沒(méi)法像傳統(tǒng)破案一樣通過(guò)撬鎖等痕跡來(lái)尋找蛛絲馬跡。

放在網(wǎng)絡(luò)安全領(lǐng)域，這種“行竊”手法在惡意攻擊中越來(lái)越流行，從棱鏡門到 XcodeGhost，從惠普驅(qū)動(dòng)鍵盤記錄后門到 Xshell 后門，從 python pip 源污染到 VSCODE插件釣魚(yú)……軟件供應(yīng)鏈安全事件不僅頻繁發(fā)生，而且威力巨大。黑產(chǎn)有時(shí)不再花巨資去搞 0day，就能以“四兩撥千斤”的手法，獲得高額回報(bào)，事情發(fā)生后，還往往能溜之大吉，很難追溯。

針對(duì)很多軟件從源頭就被惡意“污染”的現(xiàn)狀，阿里巴巴從今年 3 月到 10 月，舉辦了一場(chǎng)軟件供應(yīng)鏈安全大賽，近日，作為主要組織者之一的阿里安全資深專家杭特，花了整整一個(gè)下午的時(shí)間，跟雷鋒網(wǎng)編輯詳細(xì)地聊了聊這場(chǎng)大賽舉辦的深層次的原因，以及目前軟件供應(yīng)鏈安全所面臨的困境。

▲阿里安全資深專家杭特

我們生活在一個(gè)布滿代碼的危險(xiǎn)世界

除了水、空氣、陽(yáng)光，還有一樣?xùn)|西正在成為我們的剛需---軟件。

我們智能手機(jī)里面那些五花八門的應(yīng)用、正在遍布各個(gè)角落的 IoT設(shè)備、未來(lái)終將普及的無(wú)人駕駛汽車……近10年以來(lái)，全世界的程序員正編寫并復(fù)用的海量軟件，極大地改變了我們的生活。

據(jù)不完全統(tǒng)計(jì)，目前開(kāi)源軟件的數(shù)量已經(jīng)超過(guò)5300億行，在全球2000強(qiáng)的公司里面，所用的普通構(gòu)件中，每家至少有 50000 行的開(kāi)源代碼。

換句話說(shuō)，如今我們所使用的很多產(chǎn)品和應(yīng)用，都是“站在巨人的肩膀上”，開(kāi)源和閉源軟件在供應(yīng)鏈中，正扮演者越來(lái)越重要的角色。

但這個(gè)巨人到底可靠不可靠？

在文章開(kāi)頭頻出的安全事件背后，來(lái)自北京大學(xué)軟件與微電子學(xué)院的張世琨教授帶來(lái)了這樣一組數(shù)據(jù)：在JAVA 構(gòu)件的下載中，存在的已知安全漏洞的概率是十六分之一，在舊版本的構(gòu)件當(dāng)中，包含安全漏洞的可能性更大。

這些漏洞并非全部由惡意代碼構(gòu)成，但其背后的隱患已不容忽視。

目前現(xiàn)狀是，需要分析的對(duì)象數(shù)量越來(lái)越多、規(guī)模也越來(lái)越復(fù)雜，但分析人員人數(shù)有限，水平層次不齊，準(zhǔn)確性無(wú)法保證，由于人員流動(dòng)更是會(huì)帶來(lái)無(wú)法估量的損失。

大量安全人員的時(shí)間都耗費(fèi)在了重復(fù)性的勞動(dòng)當(dāng)中，各種低級(jí)別的漏洞分析和逆向占用了他們大量的精力，很多時(shí)候更像是純體力的勞動(dòng)。

比如以下這種場(chǎng)景：

▲圖片來(lái)源：阿里聚安全

杭特介紹，對(duì)于惡意代碼的檢測(cè)，除了少數(shù)通用的工具，（IDA、Ollydbg等等），絕大部分工作都需要人工分析。對(duì)于剛?cè)腴T的同學(xué)，人工逆向打怪升級(jí)還有些成就感，“讀了這些文件”，“發(fā)了這些數(shù)據(jù)”，“哦，原來(lái)是這么回事”，但隨著時(shí)間的推移和技能的提升，逆向工作就成了純粹的體力勞動(dòng)，每天只能反反復(fù)復(fù)的運(yùn)行程序、設(shè)置斷點(diǎn)、獲取接口數(shù)據(jù)、修改數(shù)據(jù)、寫分析記錄，大量的時(shí)間耗費(fèi)在這些并沒(méi)有創(chuàng)造力的繁瑣工作里，而黑產(chǎn)所帶來(lái)的指數(shù)級(jí)增長(zhǎng)的威脅，卻越來(lái)越難以對(duì)抗。

那面對(duì)海量需要檢測(cè)的對(duì)象，這些重復(fù)的工作可否通過(guò)自動(dòng)化的工具實(shí)現(xiàn)，來(lái)更有效率地應(yīng)對(duì)惡意攻擊？

正是抱著想法，阿里舉辦了這樣一場(chǎng)業(yè)內(nèi)少有的，賽程如此之長(zhǎng)的軟件供應(yīng)鏈安全大賽。（2018年2月-3月；2018年3月-4月將舉行軟件供應(yīng)鏈安全測(cè)試賽，4月-9月舉行分站賽，10月份舉行總決賽，獎(jiǎng)金總額150萬(wàn)元）

舉辦大賽的深層原因

針對(duì)軟件供應(yīng)鏈安全的現(xiàn)狀，美國(guó)早已開(kāi)始謀篇布局。

前面提到，人類編寫新軟件的速度要遠(yuǎn)快于人工檢查的速度，近年來(lái)優(yōu)秀安全人才也處于供不應(yīng)求的狀態(tài)，所以自動(dòng)化發(fā)現(xiàn)軟件漏洞已經(jīng)成為網(wǎng)絡(luò)安全技術(shù)發(fā)展的趨勢(shì)之一。

2016年8月，美國(guó)國(guó)防部先進(jìn)研究項(xiàng)目局（DARPA），就舉辦了世界首屆機(jī)器與機(jī)器對(duì)抗的網(wǎng)絡(luò)攻防大賽（CGC），大賽中所使用的自動(dòng)化的技術(shù)，不僅要找到軟件的 bug，而且要保證這些 bug 是可被利用并入侵計(jì)算機(jī)的漏洞。

在比賽過(guò)程中，參賽團(tuán)隊(duì)需構(gòu)建自動(dòng)化系統(tǒng)，對(duì)有缺陷的程序做自動(dòng)加固和相互攻擊，這些系統(tǒng)不僅要能夠抵抗外來(lái)攻擊，還需同時(shí)反擊對(duì)手。

這說(shuō)明，在大洋彼岸的美國(guó)，已經(jīng)將這種自動(dòng)化的檢測(cè)和攻防列為國(guó)家戰(zhàn)略，并對(duì)此進(jìn)行了大手筆的投入和長(zhǎng)期發(fā)展的規(guī)劃。

換言之，這些頂級(jí)安全研究人員所共同積累的自動(dòng)化攻防的技術(shù)，會(huì)在 DARPA 的長(zhǎng)期支持下逐漸完成技術(shù)積累，為未來(lái)大規(guī)模替代人工做準(zhǔn)備。

在杭特看來(lái)，CGC比賽的難度和所分析對(duì)象，綜合來(lái)看要超過(guò)各類 CTF 和 PWN。

▲CGC屬于右上角的區(qū)域 

他告訴雷鋒網(wǎng)編輯，針對(duì)軟件供應(yīng)鏈安全的挑戰(zhàn)，美國(guó)有完善的流程標(biāo)準(zhǔn)NIST-800-161，也在高大上的VET項(xiàng)目投資了近5000萬(wàn)美金，可惜的是，目前國(guó)內(nèi)這塊還是空白。

好了，說(shuō)完了國(guó)外的情況，我們把目光投向這次阿里舉辦的軟件供應(yīng)鏈安全大賽。

這次大賽為什么是阿里來(lái)搞？

首先我們來(lái)看，作為一個(gè)擁有多元生態(tài)的互聯(lián)網(wǎng)公司，阿里麾下的各類服務(wù)已經(jīng)涵蓋了我們生活的方方面面。

這些服務(wù)中，幾乎每項(xiàng)都離不開(kāi)各類軟件的支撐，無(wú)論是源碼編寫、源碼編譯，還是軟件分發(fā)、軟件下載、軟件更新等諸多環(huán)節(jié)中，都面臨有海量的惡意代碼檢測(cè)任務(wù)。

杭特透露，他們也曾經(jīng)做過(guò)一個(gè)針對(duì)軟件供應(yīng)鏈安全的實(shí)驗(yàn)，在供應(yīng)鏈的某個(gè)節(jié)點(diǎn)上插入惡意代碼，由此所造成的后果確實(shí)極大地超出他的預(yù)期。（對(duì)于編輯再三追問(wèn)的實(shí)驗(yàn)細(xì)節(jié)，他并沒(méi)有透露）

如果這種技能被黑產(chǎn)大規(guī)模掌握后，他們將不必再花大價(jià)錢來(lái)買 0day 漏洞就可以達(dá)到理想的攻擊效果，由此攻擊成本將大為降低，安全人員所面臨的挑戰(zhàn)愈加嚴(yán)峻。

雷鋒網(wǎng)發(fā)現(xiàn)，其實(shí)阿里本身在自動(dòng)化的攻防上已經(jīng)開(kāi)始布局，不久前，阿里安全所研發(fā)的自動(dòng)化逆向機(jī)器人 TimePlayer 已在公開(kāi)報(bào)道中出現(xiàn)過(guò)，這次所舉辦的軟件供應(yīng)鏈安全大賽，也是期望能夠以生態(tài)的形式提升行業(yè)的自動(dòng)化檢測(cè)能力。

路漫漫其修遠(yuǎn)兮

雖然這場(chǎng)大賽是阿里來(lái)主辦的，但軟件供應(yīng)鏈安全的問(wèn)題需要多方來(lái)共同解決。

在8月22日阿里所主辦的網(wǎng)絡(luò)安全生態(tài)峰會(huì)的軟件供應(yīng)鏈安全分論壇中，雷鋒網(wǎng)發(fā)現(xiàn)了來(lái)自公安部、工信部、高校和企業(yè)等單位和機(jī)構(gòu)的領(lǐng)導(dǎo)專家。

由此來(lái)看，其實(shí)國(guó)家相關(guān)部門已經(jīng)意識(shí)到問(wèn)題的嚴(yán)重性并且開(kāi)始探討解決方法。

在會(huì)上，來(lái)自公安部的相關(guān)領(lǐng)導(dǎo)透露，公安部有一個(gè)產(chǎn)品銷售許可證的管理職能，目前也正在改革銷售許可的管理制度，在軟件等級(jí)保護(hù)中，他們增加了軟件供應(yīng)鏈安全方面的要求，重要行業(yè)部門使用的重要的源代碼會(huì)進(jìn)行更加嚴(yán)格的安全檢測(cè)，他們也借大賽的機(jī)會(huì)想了解如何更有效的檢測(cè)和防范威脅。

但針對(duì)軟件供應(yīng)鏈安全，自動(dòng)化的檢測(cè)和攻防將會(huì)面臨一個(gè)漫長(zhǎng)的過(guò)程。

來(lái)自騰訊的楊勇坦言，攻防雙方的對(duì)抗永遠(yuǎn)是一個(gè)此消彼長(zhǎng)的過(guò)程，不僅是安全人員在研究這塊，黑產(chǎn)在自動(dòng)化的攻防方面也在研究如何繞過(guò)，所以未來(lái)就像軍隊(duì)的建設(shè)一樣，拼的不僅是技術(shù)的高度，更重要的是持續(xù)的投入和不間斷的研究。

“到底對(duì)這個(gè)公司能造成什么樣的危害，它通過(guò)這種攻擊拿到的資源，能給這個(gè)產(chǎn)業(yè)或是社會(huì)造成什么樣的危害？”楊勇認(rèn)為，對(duì)這些還缺乏系統(tǒng)性的評(píng)估，通過(guò)這場(chǎng)大賽，也是想對(duì)安全隱患進(jìn)行更清晰和準(zhǔn)確的刻畫，但這仍然需要很長(zhǎng)的路走。

時(shí)光到回1960年，當(dāng)時(shí)國(guó)際象棋計(jì)算機(jī)系統(tǒng)已可用，但它花了30多年才在1997年戰(zhàn)勝世界冠軍卡斯帕羅夫。而計(jì)算機(jī)安全的復(fù)雜度要比國(guó)際象棋高n個(gè)數(shù)量級(jí)，未來(lái)仍然荊棘密布。

但比認(rèn)識(shí)困難更加重要的，應(yīng)該是立馬行動(dòng)起來(lái)，也許正像一句諺語(yǔ)所言“種樹(shù)的最佳時(shí)間是在20年前，下一次種樹(shù)的最佳時(shí)間是今天”。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。