150万元重奖!阿里功守道-软件供应链安全大赛

阅读量    830 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

报名官网:https://softsec.security.alibaba.com/index.html(请注明来自安全客)

 

活动简介

近些年,从棱镜门事件到XcodeGhost,再从惠普驱动键盘记录后门事件,到Xshell后门、python pip源欺骗性污染、VSCODE插件钓鱼。软件供应链安全事件不仅频繁发生,而且具有威胁对象种类多、极端隐蔽、涉及纬度广、攻击成本低回报高、检测困难等特性。针对于此,阿里安全宣布正式启动“功守道”阿里软件供应链安全大赛。本次赛事的官网(https://softsec.security.alibaba.com/index.html)也同步上线。

 

报名时间

报名时间:2018年2月-3月

软件供应链安全测试赛:2018年3月-4月

分站赛:4月-9月(具体时间请关注赛事详情的实时更新)

  • C源代码专题分站赛比赛日程如下,报名网站(https://softsec.security.alibaba.com):
  • 05月19日 14:00-17:00 单点确定性恶意行为(新增报名截止时间:5月16日 24:00)
  • 06月02日 14:00-17:00 二阶段恶意行为(新增报名截止时间:5月30日 24:00)
  • 06月19日 14:00-17:00 复合恶意行为(新增报名截止时间:6月15日 24:00)

总决赛:10月份

为了吸引更多的优秀参赛者,本次大赛提供了高达150万元的奖金。无论是来自企业、高校,亦或是研究团体都可以参赛,而且无论是组队,还是“单枪匹马”,均可参加。

 

赛事详情

5月12日下午13时,紧锣密鼓筹备数月的攻守道·软件供应链大赛终于拉开序幕,首场测试赛吸引了包括来自北京大学软件工程国家工程研究中心、清华大学、香港科技大学、中科院信工所、FlappyPig、北邮天枢等多家知名高校和企业的安全团队报名参加。

在6小时的鏖战中,攻守双方选手就66个C语言开源工程载体和软件供应链安全风险点展开了激烈的斗智斗勇,最终共计62个安全风险点被防守方以自动化方式正确识别。比赛结束后,主办方邮件反馈了每队的正确答案和测试赛得分,以供选手进一步优化工具,备战即将到来的C源代码专题正式赛。

 

0.引子

安全行业向来讲究江湖风范,武功高者或攻城略地或华山论剑,有没有武林盟主之位倒还次要,这份“黑阔”的自尊是少不得的。而自家后院失火,残忍揭示其对拿手兵刃并未完全掌控,则是对这尊严的致命一击。
在高校与研究院所,也有广泛的安全学术“名门正派”一直在进行着全方位的基础研究,只不过相较于圈内层出不穷抓人眼球的安全事件、黑客炫技,门生的苦苦修炼往往难得赞许,似乎总蹚不进业界刀光剑影的池中。
软件供应链安全大赛,就是这样一个让所有从业者一道,重新审视我们自己的战场环境,在被人摆一道之前先破除再重建自信,并解放研究者功力的机会。如今,这个比赛刚刚击鼓,启动面向企业基础设施的“C源代码”赛季。

 

1 比赛全局闪回

软件供应链安全本是一个缥缈的概念,仅从近两年的若干看似独立的事件中,大家才似乎嗅到一点气味:XCodeGhost、XShell污染、CCleaner污染、pypi投毒等等。看似背后攻击者一时兴起的尝试行为,最终被行业发展规律证明:今天一个人无意间揭示了一个可能的新型攻击面,明天它就可能被破开成为一个新战场,你的意识决定你站在哪里。
结合阿里巴巴为代表的典型互联网企业的软件供应链环境与实践,我们尝试将这混沌的庞大命题,划分为“软件供应链生产者”与“软件供应链消费者”的两仪乾坤,并抽象出“四象”战场:C源代码,Java源代码,PE二进制,APK二进制。

比赛全程强调攻防对抗情态,阿里巴巴集团安全部联合中国信息产业商会信息安全分会、SecZone、百度安全、安天实验室等作为组织方,持中立立场、设计对抗形式和战局均衡,力求打造一场为期6个月的对抗升级大赛。

 

2 C源代码赛季设计

本赛季,我们将来审视互联网企业赖以生存的基础软件系统设施安全。
在传统围绕“入侵-反入侵”展开的企业环境加固中,系统隔离和监控为本,及时漏洞响应修复为术;系统与基础开源软件组件、第三方开源应用或组件,往往被默认为是可信的,顶多存在程序不可避免的bug和漏洞。但通过软件供应链路的污染,下面的场景绝非虚幻,也许并未发生过,但只需点出,敏感的安全从业者自会发现,这些事情完全有可能存在——如果还不是已经存在了的话:
 针对生产环境,某基础软件当中被引入恶意代码,存在抓取系统敏感信息并泄漏、注入特权账户,或者面向web服务器环境插入webshell,或者从数据存储、缓存服务中偷取敏感企业存储数据,或者偷换用于加密认证的中间件留下后门,或者干扰作为云服务的基础设施;
 针对开发环境,某由开发者引入的随意渠道的开发辅助工具,存在本地源代码遍历甚至加密勒索的行为,或者针对代码仓库服务实施悄然的元数据拖取,或者针对代码审查与缺陷管理平台泄漏产品过程中缺陷信息,或者在持续构建、集成、发布、部署的全链路针对对应后台服务做窃取甚至偷天换日。
在以上的假定目标应用环境基础上,我们划定了几大类潜在可能的“恶意行为”,包括敏感信息异常采集、关键数据篡改、不可信数据传入/传出渠道、典型木马后门与破坏行为等,包含二十余类细分项;作为首次对这一问题域的定义,我们结合与高校、同行的前期探讨探索,详细对所有细分项进行了刻画,并针对在比赛中可进行难度区分与可考察的两方面考量,分别按照单点、二阶段和复合恶意行为对上述细分项做了明确分类,难度递进,分别在三轮分站赛中进行考察。

 

3 后记

在接下来的C源代码专题的三场分站赛中,攻守双方将逐鹿共计12.5万元奖金,其中专题总分第一名团队将直接晋级决赛,参与到50万元决赛头名奖金的争夺中。

  • C源代码专题分站赛比赛日程如下,报名网站(https://softsec.security.alibaba.com):
  • 05月19日 14:00-17:00 单点确定性恶意行为(新增报名截止时间:5月16日 24:00)
  • 06月02日 14:00-17:00 二阶段恶意行为(新增报名截止时间:5月30日 24:00)
  • 06月19日 14:00-17:00 复合恶意行为(新增报名截止时间:6月15日 24:00)

分站赛每场将覆盖约180个C语言开源工程载体和软件供应链安全风险点,欢迎更多的安全侠士参与到本次的饕餮盛宴中,攻防相促,煮酒话安全。

 

规则介绍

出题者与答题者报名须遵循如下规则:
•      报名主体可以为安全行业公司、研究机构、高校,允许跨单位组队且队伍人数不限,但所有组队成员单位视同独立参赛单位的利益互斥原则;
•      由参赛团队的队长使用淘系账户在赛事主页上进行注册并创建队伍。组织者审核参赛资格,并依据队长的公司、机构、学校的域名邮箱,验证队伍的单位属性;
•      待队伍资格验证后,再次更新团队所属单位、队长信息等需要重新进行审核;
•      报名出题者角色的队伍,需向组织者提供出题构思、方案、期望解法等,便于组织者进行资格筛选;
•      答题者队伍名称一旦确认,不可更改。
•      一个队伍可同时报名出题者与答题者角色,但经过筛选后,只能选择其一角色参加比赛。

 

赛事介绍

据赛事负责人、阿里安全资深专家杭特介绍,本次大赛旨在“以武会友、攻守切磋”,以促进软件供应链安全技术的发展。通过“查缺补漏、杜隙防微”,保障软件供应链安全;“抽丝剥茧、码海寻踪”,发现软件供应链安全问题。

众所周知,安全行业在当前的高速发展过程中,出现了一些亟待解决的“怪现状”。比如,行业普遍重视“攻”,而忽视“防”,造成防守人才极度匮乏,进而使得攻守失衡。再比如,业界普遍重视“人肉”, 而轻视“自动化”,让大量的安全工作都是低级重复性的,效率非常低下。另外,安全行业还存在着重视“攻防”, 轻视“数据”;重视“单点、破坏”, 轻视“体系、建设”;重视“技术”, 轻视“业务”;重视“反向能力”, 轻视“正向能力”等系列问题。

杭特表示,阿里软件供应链安全大赛是从“真正尝试解决上述业界痛点、提高安全行业防护能力”出发的,并且可以做到安全能力的沉淀,比赛也在赛制上有很大的创新,两种角色同台角力,引发激烈的能力对抗。

“这就是一场自动化软件供应链安全风险点检测的攻防对抗盛宴”,杭特总结说。

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多