2015年回顾 - Trail of Bits博客
参与DARPA网络大挑战
在24小时内,无需人工干预,查找并修复131个故意构建的不安全程序中的漏洞。这是我们参加网络推理系统(CRS)挑战的任务。尽管在补丁性能方面存在一些问题,但我们为结果感到非常自豪;我们的系统在65个程序中识别出漏洞,并重写了94个程序以消除错误。在未来一年,我们将专注于调整CRS,以自动查找和修复真实软件中的漏洞。
反对反应性监管
尽管网络攻击令人担忧,但我们认为草率的政府监管同样令人不安。某些对《瓦森纳安排》的提议扩展会阻碍美国网络安全行业。因此,我们立即支持负责任网络安全联盟的使命,确保美国出口管制法规不会对美国网络安全效力产生负面影响。
为网络安全意识周(CSAW)贡献力量
CSAW在我们心中占有特殊地位。从创始人到最新员工,我们团队的许多成员都在往年的挑战中磨练了技能。今年,我们为资格赛贡献了五个CTF挑战:wyvern、bricks of gold、sharpturn、punchout和“抛开数学,我们现在都是黑帽”。(对于愿意发布有用总结的团队,我们分发了一些时尚的Trail of Bits服装。)最后,我们帮助设计了政策竞赛,挑战参与者探索国家漏洞赏金计划的可能性。
为mcsema添加64位支持
Trail of Bits的mcsema是一个开源框架,用于将x86和现在的x86-64二进制文件转换为LLVM位码。它使现有的基于LLVM的程序分析工具能够操作仅二进制的软件。当我们开源mcsema时,我们希望社区能提供修复、高质量贡献和错误报告。当我们收到支持x86-64二进制文件翻译的开源贡献时,我们的希望实现了。许多现代应用程序为x86-64等64位架构编译;现在mcsema可以开始翻译它们。我们希望在新的一年看到更多贡献。
推出双月聚会,Empire Hacking
我们创建Empire Hacking,作为安全研究社区聚集在一起自由分享想法和讨论安全研究最新发展的空间。Empire Hacking每两个月在纽约市举行一次,并设有关于计算机安全当前主题的演讲。我们一直在寻找演讲者(这是获得反馈和提炼想法的好方法)。欢迎所有人,甚至记者参加。Empire Hacking是免费活动。如果您想参加,请在我们的meetup.com页面上申请。
发布首份保护Google Apps指南
超过五百万家公司依赖Google Apps运行其关键业务功能,如电子邮件、文档存储、日历和聊天。在OPM事件之后,我们分享了我们对小型企业的顶级建议,帮助他们在花费最小努力的情况下避免最严重的安全问题。这些是每个使用Google Apps的小型企业都应遵循的基本实践。
培训Ruby开发者
当在Ruby的功能和常见用法中发现漏洞时,互联网上广阔且利润丰厚的部分暴露给了攻击者。尽管几乎所有大型、经过测试和信任的开源Ruby项目都包含其中一些漏洞,但很少有开发者意识到风险。因此,我们发布了RubySec现场指南。
接待了一位让互联网更安全的优秀实习生
在她在CSAW 2014的CTF挑战中给我们留下深刻印象后,我们向Loren提供了暑期实习机会。作为一个自我驱动和快速学习的人,她使用american fuzzy lop和Microsoft MiniFuzz发现并报告了漏洞,在纽约市一家科技初创公司的软件中发现了错误,并在与公司的会议上展示了她的发现。我们很高兴她回到高中最后一年。她将成为任何有幸拥有她的大学的宝贵资产。
将CTF社区拉近Windows专业知识
尽管Windows是我们行业的重要组成部分,但美国的CTF不发布基于Windows的挑战。它们都来自俄罗斯。这需要改变。下一代安全研究人员需要更多基于Windows的挑战和竞赛。这就是为什么我们发布了AppJailLauncher,一个用于制作可利用的Windows挑战的框架,保护一切免受破坏者侵害,并将Windows TCP服务与操作系统的其余部分隔离。
点亮Flare-On挑战
从简单的密码破解到内核驱动程序再到图像中的隐写术,FireEye的第二届年度Flare-On挑战为每个人提供了内容(即,如果您是逆向工程师、恶意软件分析师或安全专业人员)。他们的十一个挑战涵盖了一系列反逆向技术和格式。我们撰写了我们承担的四个挑战(六、七、九和十一),以及可能在未来挑战中有用的更有用的工具和技术。
开源我们的自托管视频聊天
‘Tuber’是您团队进行安全视频聊天所需的一切。它拥有您期望从Google Hangouts获得的所有标准功能——如选择性静音和关闭视频的按钮——并且设计为在企业LAN上以低延迟和低CPU使用率完美运行。如果您需要不依赖任何第三方服务的视频会议,您应该查看Tuber。
财务支持Let’s Encrypt
我们赞助了Let’s Encrypt,这是一个免费、自动化和开放的证书颁发机构(CA),于12月3日进入公开测试版。在CA领域有如此多的改进空间,Let’s Encrypt提供了一个令人耳目一新、有前景的加密网络愿景。我们相信这将显著提高HTTPS的采用率,确保每个人都能从更安全的互联网中受益。这正是为什么我们用一笔(对我们来说)巨大的捐款支持这一倡议,我们希望您能加入我们赞助Let’s Encrypt。
赞助六个学术活动
我们为我们在学术和研究中的根基感到自豪,我们认为促进所有学生的网络安全教育非常重要。今年,我们赞助并为这些旨在激励和教育各学术水平学生的事件做出了贡献:
- EasyCTF
- HSCTF
- Build it Break it
- CSAW CTF
- CSAW Policy
- CSAW Summer Program for Women
展望未来
我们为2016年计划了许多令人兴奋的事情。更多我们的自动化漏洞发现和修复技术将被开源。Ryan Stortz将在INFILTRATE 2016上演讲Swift逆向工程,他的演讲将辅以博客文章和白皮书。我们还将发布一个新的专用模糊测试器,我们已在多个项目中使用了它。为了继续社区推广,我们将举办一个LLVM黑客马拉松,创建新的程序分析工具,并将更改贡献回LLVM项目。最后但同样重要的是,期待Trail of Bits网站的改版。
如果您喜欢这篇文章,请分享: Twitter LinkedIn GitHub Mastodon Hacker News
页面内容 参与DARPA网络大挑战 反对反应性监管 为网络安全意识周(CSAW)贡献力量 为mcsema添加64位支持 推出双月聚会,Empire Hacking 发布首份保护Google Apps指南 培训Ruby开发者 接待了一位让互联网更安全的优秀实习生 将CTF社区拉近Windows专业知识 点亮Flare-On挑战 开源我们的自托管视频聊天 财务支持Let’s Encrypt 赞助六个学术活动 近期文章 构建安全消息传递很难:对Bitchat安全辩论的细致看法 用Deptective调查您的依赖项 系好安全带,Buttercup,AIxCC的评分回合正在进行中! 使您的智能合约超越私钥风险 Go解析器中意外的安全陷阱 © 2025 Trail of Bits。 使用Hugo和Mainroad主题生成。