2015年基石：回顾2014年

Dan Guido
2015年1月5日
meta, year-in-review

我们需要做更多来保护自己。2014年充满了头版证明：苹果、Target、摩根大通等。

当前脆弱的现状迫切需要彻底改变、大量人才涌入和显著更好的工具。在我们展望2015年推动这一变革之际，我们自豪地重点介绍2014年的一些成就，这些成就将为这项工作奠定基础。

1. 将二进制文件转换为LLVM位码的开源框架

我们的框架用于分析和将机器码程序转换为LLVM位码，成为程序分析和逆向工程社区的新工具。McSema将LLVM程序分析和操作工具的世界连接到二进制可执行文件。目前，它支持x86程序的语义转换，并支持整数算术、浮点运算和向量操作的子集。

let me just say Artem Dinaburg deserved at least 10 more rounds of applause for McSema @CSAW_NYUPoly #csaw14 #threads #cyberclap
— Brad Antoniewicz (@brad_anton) 2014年11月13日

2. 塑造更明智的公共政策

一连串全国性的计算机安全事件引发了焦虑的讨论和行动。为了抢先阻止信息不足的立法者制定考虑不周的法律，我们与有影响力的智库广泛合作，帮助教育政策制定者了解计算机安全的细节。新美国安全中心的报告《幸存于毒果饮食》只是这一努力的成果之一。

Check out important new @CNASdc #cybersecurity report (by Richard Danzig) plus video of panel discussion http://t.co/4MuG1h63iz
— Just Security (@just_security) 2014年7月29日

3. 为女性提供更多机会

作为与NYU-Poly持续合作的一部分，Trail of Bits支持了CSAW高中女性项目和网络安全职业发现研讨会。这些活动旨在帮助引导有才华和感兴趣的女性进入计算机安全职业。我们希望创造一个环境，让女性有资源在这个行业贡献和脱颖而出。

A special thanks to @TrailOfBits for supporting young women in #cybersecurity! | http://t.co/BcTmXeNXbJ #STEMforHer #STEMnow
— NYU Tandon (@NYUTandonTweets) 2014年8月10日

4. 安全开发实践的实证数据

与传统的安全竞赛不同，Build-it, Break-it, Fix-it奖励在导致错误的相同压力下进行安全软件开发：紧迫的截止日期、性能要求、竞争和金钱的诱惑。我们受邀在Microsoft的Bluehat v14上分享活动的见解。

Security contest rewards builders of secure systems – http://t.co/KlP3EDwSJx @ubuilditbreakit @trailofbits
— Help Net Security (@helpnetsecurity) 2014年7月31日

5. 三个独立的网络快速通道项目

在DARPA的项目经理Peiter ‘Mudge’ Zatko的领导下，我们在革命性的网络快速通道计划中完成了三个不同的项目：CodeReason、MAST和PointsTo。我们的五名员工前往五角大楼向国防部选定的成员展示我们的创作。我们很高兴参与并因工作而受到认可。我们现在计划回馈；CodeReason将在2015年进行开源发布！

6. 教机器查找Heartbleed

Heartbleed，臭名昭著的OpenSSL漏洞，之所以长时间未被发现，是因为静态分析器很难检测到它。因此，Andrew Ruef接受了挑战，并为clang-analyzer编写了一个检查器，可以自动查找Heartbleed和其他类似错误。我们发布了代码供其他人学习。

How to find statically Heartbleed bug with Clang analyzer http://t.co/lkl8cy1RbJ Nice read by @trailofbits
— Alex Matrosov (@matrosov) 2014年4月28日

7. 计算机安全学生的资源

学习计算机安全最有趣和有效的方法之一是参加夺旗竞赛。但许多初出茅庐的学生不知道从哪里开始。因此，我们编写了《夺旗现场指南》来帮助他们参与并鼓励他们迈出职业生涯的第一步。

@trailofbits – your CTF guide just rocks. Thank you! http://t.co/lTD39I8ueJ
— Security Monkey (@chiefmonkey) 2014年5月31日

8. iCloud黑客事件促使我们编写双因素认证指南

添加双因素认证总是一个好主意。只需问问任何账户被泄露的人。如果您在Google、Apple ID或Dropbox中存储任何敏感信息，您会想了解我们的指南，为您的账户添加额外的保护层。

Read this awesome article by @trailofbitsEnabling Two-Factor Authentication (#2FA) for Apple ID and @DropBox http://t.co/bwKEM9pMAi
— Michael Ball (@Unix_Guru) 2014年9月3日

9. 入选DARPA的网络大挑战

奖金：200万美元。挑战：构建一个无需人工输入即可修复不安全软件的机器人。如果成功，该计划将对公司未来保护数据的方式产生深远影响。我们被选为七个资助团队之一参加竞赛。

10. THREADS 2014：如何自动化安全

我们的CEO Dan Guido主持了THREADS，这是一个在NYU-Poly的网络安全意识周（CSAW）举行的研发会议。今年的主题侧重于扩展安全——确保安全是软件开发和部署模式中不可或缺和自动化的部分。我们相信自动化安全的成功对我们日益互联的社会和设备至关重要。查看活动的演讲和幻灯片。

Many great talks at #csaw14 #threads but @marc_etienne_‘s is the one that will keep me up at night.
— Rich Seymour (@rseymour) 2014年11月15日

CSAW THREADS was a pretty interesting event.
— halvarflake (@halvarflake) 2014年11月15日

展望未来

今年，我们兴奋地开发和分享更多代码，包括：改进McSema（即支持LLVM 3.5、更多SSE和FPU指令支持，以及基于JakStab的新控制流恢复模块）、私有视频聊天服务，以及CodeReason的开源发布。我们还对Ghost in the Shellcode（GitS）感到兴奋——这是一月份在华盛顿特区ShmooCon举行的夺旗竞赛，我们的三名员工参与运营。别忘了六月份DARPA的网络大挑战资格赛。

现在，我们希望您能在Twitter上与我们联系或订阅我们的新闻通讯。

如果您喜欢这篇文章，请分享：
Twitter
LinkedIn
GitHub
Mastodon
Hacker News

页面内容

将二进制文件转换为LLVM位码的开源框架
塑造更明智的公共政策
为女性提供更多机会
安全开发实践的实证数据
三个独立的网络快速通道项目
教机器查找Heartbleed
计算机安全学生的资源
iCloud黑客事件促使我们编写双因素认证指南
入选DARPA的网络大挑战
THREADS 2014：如何自动化安全
展望未来