2015安全基石:回顾2014年二进制分析、漏洞自动化检测与网络政策实践

本文详细回顾了Trail of Bits在2014年的十大技术成果,包括开源二进制转LLVM框架McSema、Heartbleed自动化检测工具、DARPA网络挑战项目以及双因素认证实践指南等核心安全技术突破。

2015安全基石:回顾2014年二进制分析、漏洞自动化检测与网络政策实践

我们需要加强自我保护。2014年充斥着登上头条的实证:苹果、Target、摩根大通等机构相继遭受攻击。

当前脆弱的现状亟需彻底变革,需要大量人才涌入和显著改进的工具。在展望2015年推动这一变革之际,我们自豪地重点介绍2014年奠定基础的十大成就。

1. 开源框架:将二进制文件转换为LLVM位码

我们的机器码程序分析与转换框架成为程序分析和逆向工程社区的新工具。McSema将LLVM程序分析与操作工具世界与二进制可执行文件相连接。目前支持x86程序语义转换,并支持整数运算、浮点运算和向量操作的子集。

2. 塑造更明智的公共政策

一连串国家级计算机安全事件引发焦虑讨论和行动。为防止信息不足的立法者制定考虑不周的法律,我们与有影响力的智库广泛合作,帮助政策制定者了解计算机安全的技术细节。美国新安全中心报告《幸存于毒果饮食》就是这项工作的成果之一。

3. 为女性创造更多机会

作为与纽约大学理工学院持续合作的一部分,我们支持了CSAW高中女生计划与网络安全职业探索研讨会。这些活动旨在引导有才华且感兴趣的女性进入计算机安全行业。我们希望创造女性拥有资源并能在这个行业做出贡献和脱颖而出的环境。

4. 安全开发实践的实证数据

与传统安全竞赛不同,“构建-突破-修复"竞赛在导致漏洞的相同压力下奖励安全软件开发:紧迫的截止日期、性能要求、竞争和金钱诱惑。我们受邀在微软Bluehat v14分享活动见解。

5. 三个独立的网络快速通道项目

在DARPA项目经理Peiter ‘Mudge’ Zatko的指导下,我们在革命性的网络快速通道计划中完成了三个独立项目:CodeReason、MAST和PointsTo。五名员工前往五角大楼向国防部精选成员展示成果。我们很高兴参与并获得认可,并计划回馈社区:CodeReason将于2015年开源发布!

6. 教机器发现Heartbleed

臭名昭著的OpenSSL漏洞Heartbleed长期未被发现,因为静态分析器难以检测。Andrew Ruef接受挑战,为clang-analyzer编写了能自动发现Heartbleed及类似漏洞的检测器。我们发布了代码供学习使用。

7. 计算机安全学生的学习资源

学习计算机安全最有趣有效的方式是参加夺旗竞赛(CTF)。但许多新生不知从何开始。我们编写了《夺旗实战指南》帮助他们入门并鼓励他们迈出职业第一步。

8. iCloud黑客事件推动双因素认证指南

添加双因素认证总是明智之举。只需问问账户曾被入侵的人。如果您在Google、Apple ID或Dropbox存储敏感信息,您需要了解我们为账户添加额外保护层的指南。

“阅读@trailofbits这篇精彩文章:为Apple ID和@DropBox启用双因素认证(#2FA) http://t.co/bwKEM9pMAi"
— Michael Ball (@Unix_Guru) 2014年9月3日

9. 入选DARPA网络大挑战

奖金:200万美元。挑战:构建无需人工干预即可修复不安全软件的机器人。若成功,该计划将深刻影响未来企业保护数据的方式。我们被选为七支资助参赛团队之一。

10. THREADS 2014:如何实现安全自动化

CEO Dan Guido主持了在纽约大学理工学院网络安全意识周(CSAW)举办的研究与发展会议THREADS。今年主题聚焦扩展安全——确保安全成为软件开发和部署模式中不可或缺的自动化部分。我们认为自动化安全的成功对日益互联的社会和设备至关重要。可查看活动演讲和幻灯片。

展望未来

今年,我们期待开发和分享更多代码,包括:改进McSema(支持LLVM 3.5、更多SSE和FPU指令支持、基于JakStab的新控制流恢复模块)、私有视频聊天服务以及CodeReason的开源发布。我们还期待参与1月在华盛顿特区ShmooCon举办的"攻壳机动队”(GitS)夺旗竞赛——三名员工参与运营,以及6月DARPA网络大挑战资格赛。

欢迎通过Twitter关注我们或订阅新闻通讯。

若喜欢本文,请分享至: Twitter | LinkedIn | GitHub | Mastodon | Hacker News

页面内容索引

  1. 开源二进制转LLVM位码框架
  2. 塑造更明智的公共政策
  3. 为女性创造更多机会
  4. 安全开发实践的实证数据
  5. 三个独立的网络快速通道项目
  6. 教机器发现Heartbleed
  7. 计算机安全学生的学习资源
  8. iCloud黑客事件推动双因素认证指南
  9. 入选DARPA网络大挑战
  10. THREADS 2014:如何实现安全自动化
    展望未来

近期文章

  • 构建安全消息传递很难:对Bitchat安全辩论的 nuanced 观点
  • 使用Deptective调查依赖关系
  • 做好准备,Buttercup,AIxCC评分轮正在进行中!
  • 使智能合约超越私钥风险成熟化
  • Go解析器中意想不到的安全隐患

© 2025 Trail of Bits.
使用Hugo和Mainroad主题生成。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次