2015安全基石：2014年回顾

我们需要采取更多措施保护自身安全。2014年充斥着登上头条的实证：苹果、Target、摩根大通等公司相继遭遇安全事件。

当前脆弱的现状亟需彻底改变，需要涌入更多人才和显著改进的工具。在展望2015年推动这些变革的同时，我们自豪地重点介绍2014年部分成就，这些成果将为未来工作奠定基础。

1. 开源框架：将二进制文件转换为LLVM位码

我们的机器码程序分析与转换框架成为程序分析和逆向工程社区的新工具。McSema将LLVM程序分析与操作工具世界与二进制可执行文件连接起来。目前支持x86程序语义转换，并支持整数运算、浮点运算和向量运算的子集。

“让我说Artem Dinaburg因McSema至少值得再多10轮掌声” — Brad Antoniewicz (@brad_anton) 2014年11月13日

2. 塑造更明智的公共政策

一连串国家级计算机安全事件引发了焦虑的讨论和行动。为了预防信息不足的立法者制定考虑不周的法律，我们与有影响力的智库广泛合作，帮助政策制定者了解计算机安全的细节。新美国安全中心的报告《幸存于毒果饮食》只是这项工作的成果之一。

3. 为女性提供更多机会

作为与NYU-Poly持续合作的一部分，Trail of Bits支持了CSAW高中女生项目和网络安全职业发现研讨会。这些活动旨在帮助有才华和兴趣的女性进入计算机安全职业。我们希望创造一个女性拥有资源并能在这个行业做出贡献和脱颖而出的环境。

4. 安全开发实践的实证数据

与传统的安全竞赛不同，“构建、破解、修复"竞赛在导致漏洞的相同压力下奖励安全软件开发：紧迫的截止日期、性能要求、竞争和金钱诱惑。我们受邀在微软Bluehat v14上分享活动见解。

5. 三个独立的Cyber Fast Track项目

在DARPA项目经理Peiter ‘Mudge’ Zatko的指导下，我们在革命性的Cyber Fast Track计划中完成了三个独立项目：CodeReason、MAST和PointsTo。五名员工前往五角大楼向国防部选定的成员展示我们的成果。我们很高兴参与并因工作获得认可。我们现在计划回馈社区；CodeReason将在2015年进行开源发布！

6. 教机器发现Heartbleed

臭名昭著的OpenSSL漏洞Heartbleed之所以长时间未被发现，是因为静态分析器难以检测。因此，Andrew Ruef接受挑战，为clang-analyzer编写了一个检查器，可以自动发现Heartbleed及类似错误。我们发布了代码供他人学习。

7. 计算机安全学生资源

学习计算机安全最有趣有效的方法之一是参加夺旗竞赛。但许多新手不知道从哪里开始。因此我们编写了《夺旗实战指南》帮助他们参与并鼓励他们迈出职业道路的第一步。

8. iCloud黑客事件促发双因素认证指南

添加双因素认证始终是个好主意。只需问问账户曾被入侵的人。如果您在Google、Apple ID或Dropbox中存储任何敏感信息，您会想了解我们为账户添加额外保护层的指南。

9. 入选DARPA网络大挑战

奖金：200万美元。挑战：构建无需人工输入即可修复不安全软件的机器人。如果成功，该计划将对公司未来保护数据的方式产生深远影响。我们被选为七个资助参赛团队之一。

10. THREADS 2014：如何实现安全自动化

我们的CEO Dan Guido主持了THREADS，这是在NYU-Poly网络安全意识周（CSAW）举办的研究与开发会议。今年的主题聚焦扩展安全——确保安全成为软件开发和部署模式中不可或缺的自动化部分。我们相信自动化安全的成功对我们日益互联的社会和设备至关重要。查看活动的演讲和幻灯片。

展望未来

今年，我们兴奋地开发和分享更多代码，包括：改进McSema（即支持LLVM 3.5、更多SSE和FPU指令支持，以及基于JakStab的新控制流恢复模块）、私有视频聊天服务，以及CodeReason的开源发布。我们还对"攻壳机动队”（GitS）感到兴奋——这是1月在华盛顿特区ShmooCon举行的夺旗竞赛，三名员工参与运营。别忘了6月DARPA网络大挑战的资格赛。

现在，希望您在Twitter上关注我们或订阅我们的新闻通讯。

如果您喜欢这篇文章，请分享： Twitter LinkedIn GitHub Mastodon Hacker News