Top Secret | un test de s�curit�, le X0000 mondial a gagn� le droit de contr�le de l'h�te

Quand on parle vraiment, nous avons tous tenu le t�l�phone sc�ne Paipai Pai Lei Feng r�seau ne jamais vu, dans certains forums de s�curit�, ont parl� des haut-parleurs produits merveilleux secs, mais aussi une telle sc�ne se produit.

Cependant, cette � Paipai Pai � tr�s sp�cial, parce que ses donn�es (ainsi que le nom de l'entreprise) si la fuite est estim� que de nombreuses entreprises doivent mauvais sommeil.

Un simple test pour voir qui est plus

L'histoire a d� parler d'il y a quelques jours, Lei Feng, r�dacteur en chef a assist� � la r�union � huis clos d'un anneau de s�curit�.

L'un de l'animateur principal de cette r�union fait partie du chercheur en s�curit� Alibaba � la s�curit� Hunt, qui est le dernier invit� de la maison du canal interrog�, se sentir en s�curit� cercle � attaquant � que � d�fenseur � beaucoup plus, ce ph�nom�ne n'est pas grand pull orange que ceux qui collent (il avait �t� minait quatre fois).

Avant, l'�dition ont devin�, Hunter a ouvert la conf�rence peut �tre pour � vendre � Ce concours de s�curit� de la cha�ne d'approvisionnement du logiciel Ali qu'il veut faire.

Ensuite, l'�diteur a regard� la liste des participants: Alibaba, Tencent, connu Chong-yu, une goutte, Jingdong, Huawei, 360, logiciel CAS, CAS Institute of Computing, Tsinghua ...... Attendez une minute, Tencent s�curit� en laboratoire basaltique et des repr�sentants connus ann�e sont venus?

Familier avec le domaine des amis de s�curit� r�seau peuvent savoir, Il y a quelques mois, Tencent laboratoire basaltique et savoir Chong Yu aider � payer pour le tr�sor d�couvert un grand trou, puis Ali cette ann�e pour aider � trouver un micro-canal super grand trou ......

Hey hey hey. . .

Au d�part, je pensais que les deux parties ont tenu une rancune, et promouvoir maintenant l'esprit de co-play avec le cur, et cette ambiance conviviale, il est un �loge vaut points. Ainsi, Lei Feng canal de r�seau Avec cette �dition dans les attentes des clients de la maison, est venu � la salle de r�union.

Jamais pens� Hunter vient de pr�senter quelques d�finitions de s�curit� de la cha�ne d'approvisionnement de logiciels et des �v�nements historiques, puis lancer une � bombe �:

� XXXX (Note de l'�diteur: qui il est, suppl�ment du cerveau droit) a men� une exp�rience d�p�t PIP, avant que certaines entreprises ne doivent pas �tre engag�s dans d'autres entr�es, tant qu'un e-mail gratuit, Internet sur une machine peut le connecter. cela peut �tre test� pour le programmeur de s�curit� r�seau �.

. . . . Clams? programmeur Crit?

Oui.

� Programmeur ordinaire d'utiliser certains des outils pour faire �� logiciel peut v�rifier d'abord ce que le programmeur sont tr�s simples, par exemple, il pourrait �tre un p�pin installer zlib, mais en fait le nom de la substance d�cente appel� zlib3, beaucoup de programmeurs frapper le temps, ne pas se rendre compte qu'il a frapp� zlib lancer la recherche. donc, le t�l�chargement XXXX � test malveillant � zlib paquet dans la source de p�pin de python, le nombre total d'environ 20 puis les exp�rimentateurs ont commenc� � attendre ...... "

programmeurs � Pure � qui a vraiment attir� la

Voici une astuce dans l'entreprise regard� aux larmes, programmeur cr�ve-cur � lire, PR peut brancher la bouche de tous les noms de donn�es et de l'entreprise est venu des abr�viations:

� moins de 100 jours de ce test pris le contr�le des X0000 h�tes du monde, qui est la station XX000 de la plus haute autorit�, pris la soci�t� (nom abr�g�) de la couverture n'a pas lib�r� en raison de l'abr�viation de confidentialit� :( a) de base d�cent grandes entreprises ne tombe pas, il existe une vari�t� d'universit�s et d'institutions internationales graves bovin Crois�e ......

(En fait, participer � des pirates de bovins vivants qui connaissent le nom de l'entreprise et de chiffres pr�cis, et soulev� son appareil photo de t�l�phone portable, mais simple, nous bouche Bijin ....)

Heureusement, c'est un chercheur de s�curit� de premier plan d�cent r�alis� des exp�riences, men�es de bonne foi test de s�curit� r�seau, enregistre uniquement le nom du compte utilis� des statistiques.

Mais un d�tail peur des gens qui, 100 jours de p�riode exp�rimentale, ils recueilleront leur propre nom de compte actes clairement expos�, pas de traces cach�es, mais jusqu'� ce que quelqu'un trouve � l'�tranger, et les rapports de presse, certains fabricants encore lent � r�pondre.

Fait beaucoup, ce test veulent juste pour prouver un point: Si la source de la pollution de la cha�ne d'approvisionnement de logiciels, l'impact est �pic� grand.

Modification soudainement une perception plus profonde des �v�nements historiques Hunt a d�clar�:

2015, le virus de t�l�phone mobile Ghost Xcode qui peut se propager par le processus officieux de d�veloppement de t�l�chargement Xcode par l'infection CoreService, compiler l'application est inject� dans le code tiers, les donn�es utilisateur de t�l�chargement sur le site sp�cifi�. App Store d'Apple AppStore ne peut pas d�tecter le virus, car le magasin ne peut �tre examin�e pour d�terminer quel appel syst�me API App. Donc, l'application infect�e � entrer avec succ�s le magasin officiel d'Apple et les utilisateurs ont t�l�charg� par l'application officielle d'Apple au virus.

Vous pouvez rencontrer une longue: Ne pas t�l�charger � partir de sources non officielles. . .

Toutefois, en 2017, la c�l�bre optimisation du syst�me logiciel libre et de confidentialit� CCleaner est la version officielle du personnel de s�curit� av�r� contenir du code malveillant, cheval de Troie Floxif ex�cut� en secret.

Ensuite, vous ne pouvez pas ne peut pas facilement convaincre m�me logiciel officiel. . .

Les programmeurs peuvent �tre plus plantage: Je ne pouvais m�me pas �crire leur code dur ne peut pas le croire?

Ainsi, Hunter aimerait organiser un concours Ali s�curit� de la cha�ne d'approvisionnement de logiciels, caract�ristique de ce jeu est que la cha�ne d'approvisionnement de d�tection des risques de s�curit� par un logiciel automatis�.

Je ne sais pas, comment jouer

Nous commen�ons par le but de pousser vers le bas. Les objectifs de Hunter sont les suivants: Am�liorer la capacit� de l'industrie � d�tecter le comportement des logiciels malveillants.

Il a donc pens� que c'�tait un couvre concurrent Le sujet et le jeu de l'homme de r�ponse, l'effet est que les gens qui se livrent � ce sujet et sortent sur le dessus des choses, pour voir qui peut r�pondre d�tect�e, vous avez ma forte brise forte fouettez collines.

Cependant, la port�e de la cha�ne d'approvisionnement est trop large, comme l'oc�an, Hunter ne veut pas, il est devenu une bataille de la chair humaine: Les gens vont, l'entreprise peut perdre cette capacit�, ont la capacit� de d�tecter les logiciels malveillants pour �tre en mesure d'agir du patrimoine fa�on accumul�e.

Donc, ceci est une forme de plates-formes, des outils de la concurrence au jeu!

Hunter esp�re �galement que ce jeu est un catalyseur, ils vont travailler avec l'excellente �quipe, l'�quipe a vraiment la capacit� d'obtenir le soutien, � s'y tenir, afin de renforcer la capacit� de d�tection de l'ensemble de l'industrie.

Par exemple, le jour du site de rencontre, Tencent basaltique laboratoire � introduire un programme intitul� � Projet A'Tuin � la pratique de la d�tection de la s�curit� de la cha�ne logistique du projet.

Hunter a dit le spot: le petit fr�re de participer � la comp�tition maintenant.

(Cerveau font juste a �t� invit� � prononcer un discours non pr�par� psychologiquement Dingchuan Da des sentiments int�rieurs)

Mais, fait int�ressant, Hunter a d�clar�: � Le tour pr�liminaire est de savoir comment jouer peut �tre, afin que nous ne venons pas � vous inqui�ter au sujet de jouer, je vais voir si vous avez la possibilit� de d�tecter les comportements malveillants sp�cifiques, nous esp�rons avoir le partage final de la propri�t� intellectuelle, ne veut pas dire que cette part vous devez partager le programme, mais cette th�se est similaire � la forme, �tre en mesure de prouver � tout le monde ce sch�ma est r�alisable ".

Cela signifie que dans l'avenir, si possible, on peut voir en fait les deux anciens rivaux grande coop�ration, � la question de savoir comment Ali et c�t� entr�e pour discuter correctement les droits de propri�t� intellectuelle, c'est l'histoire de l'avenir.

Remerciements tenu InForSec ce s�minaire technologique � fourniture de logiciels de s�curit� de la cha�ne � ensemble

Les pirates d'origine de Daniel est une telle r�union � huis clos de

J'adore prendre des photos!

Route de la soie

Apprenez � conna�tre la Chine

Top Secret | un test de s�curit�, le X0000 mondial a gagn� le droit de contr�le de l'h�te

Un simple test pour voir qui est plus

programmeurs � Pure � qui a vraiment attir� la

Je ne sais pas, comment jouer