2015年的基石:2014年回顾
我们需要做更多来保护自己。2014年充满了头版证明:苹果、Target、摩根大通等。
当前脆弱的现状迫切需要根本性变革、人才涌入和显著更好的工具。在我们展望2015年推动这一变革时,我们自豪地重点介绍2014年的一些成就,这些成就将为这项工作奠定基础。
1. 将二进制文件转换为LLVM比特码的开源框架
我们的框架用于分析和将机器码程序转换为LLVM比特码,成为程序分析和逆向工程社区的新工具。McSema将LLVM程序分析和操作工具的世界与二进制可执行文件连接起来。目前它支持x86程序的语义翻译,并支持整数算术、浮点运算和向量运算的子集。
let me just say Artem Dinaburg deserved at least 10 more rounds of applause for McSema @CSAW_NYUPoly #csaw14 #threads #cyberclap— Brad Antoniewicz (@brad_anton) November 13, 2014
2. 塑造更明智的公共政策
一连串全国性的计算机安全事件引发了焦虑的讨论和行动。为了抢先阻止信息不足的立法者制定考虑不周的法律,我们与有影响力的智库广泛合作,帮助教育政策制定者了解计算机安全的细节。新美国安全中心的报告“幸存于毒果饮食”只是这一努力的成果之一。
Check out important new @CNASdc #cybersecurity report (by Richard Danzig) plus video of panel discussion http://t.co/4MuG1h63iz— Just Security (@just_security) July 29, 2014
3. 为女性提供更多机会
作为与NYU-Poly持续合作的一部分,Trail of Bits支持了CSAW高中女性项目和网络安全职业发现研讨会。这些活动旨在帮助引导有才华和兴趣的女性进入计算机安全职业。我们希望创造一个环境,让女性有资源在这个行业贡献和脱颖而出。
A special thanks to @TrailOfBits for supporting young women in #cybersecurity! | http://t.co/BcTmXeNXbJ #STEMforHer #STEMnow— NYU Tandon (@NYUTandonTweets) August 10, 2014
4. 安全开发实践的实证数据
与传统的安全竞赛不同,Build-it, Break-it, Fix-it奖励在导致错误的相同压力下进行安全软件开发:紧迫的截止日期、性能要求、竞争和金钱的诱惑。我们受邀在Microsoft的Bluehat v14上分享活动的见解。
Security contest rewards builders of secure systems – http://t.co/KlP3EDwSJx @ubuilditbreakit @trailofbits— Help Net Security (@helpnetsecurity) July 31, 2014
5. 三个独立的网络快速通道项目
在DARPA的项目经理Peiter ‘Mudge’ Zatko的领导下,我们在革命性的网络快速通道计划中完成了三个不同的项目:CodeReason、MAST和PointsTo。我们的五名员工前往五角大楼向国防部选定的成员展示我们的创作。我们很高兴参与并因工作而受到认可。我们现在计划回馈;CodeReason将在2015年进行开源发布!
6. 教机器发现Heartbleed
Heartbleed,臭名昭著的OpenSSL漏洞,之所以长时间未被发现,是因为静态分析器很难检测到它。因此,Andrew Ruef接受了挑战,为clang-analyzer编写了一个检查器,可以自动发现Heartbleed和其他类似错误。我们发布了代码供他人学习。
How to find statically Heartbleed bug with Clang analyzer http://t.co/lkl8cy1RbJ Nice read by @trailofbits— Alex Matrosov (@matrosov) April 28, 2014
7. 计算机安全学生的资源
学习计算机安全最有趣和有效的方法之一是参加夺旗竞赛。但许多初出茅庐的学生不知道从哪里开始。因此,我们编写了《夺旗现场指南》来帮助他们参与并鼓励他们迈出职业生涯的第一步。
@trailofbits – your CTF guide just rocks. Thank you! http://t.co/lTD39I8ueJ— Security Monkey (@chiefmonkey) May 31, 2014
8. iCloud黑客事件促使我们编写双因素认证指南
添加双因素认证总是一个好主意。只需问问任何账户被入侵的人。如果您在Google、Apple ID或Dropbox中存储任何敏感信息,您会想了解我们的指南,为您的账户添加额外的保护层。
Read this awesome article by @trailofbitsEnabling Two-Factor Authentication (#2FA) for Apple ID and @DropBox http://t.co/bwKEM9pMAi— Michael Ball (@Unix_Guru) September 3, 2014
9. 入选DARPA的网络大挑战
奖金:200万美元。挑战:构建一个无需人工输入即可修复不安全软件的机器人。如果成功,该计划将对公司未来保护数据的方式产生深远影响。我们被选为七个资助团队之一参加竞赛。
10. THREADS 2014:如何自动化安全
我们的CEO Dan Guido主持了THREADS,这是一个在NYU-Poly的网络安全意识周(CSAW)举行的研发会议。今年的主题聚焦于扩展安全——确保安全是软件开发和部署模式中不可或缺和自动化的部分。我们相信自动化安全的成功对我们日益互联的社会和设备至关重要。查看活动的演讲和幻灯片。
Many great talks at #csaw14 #threads but @marc_etienne_‘s is the one that will keep me up at night.— Rich Seymour (@rseymour) November 15, 2014
CSAW THREADS was a pretty interesting event.— halvarflake (@halvarflake) November 15, 2014
展望未来
今年,我们兴奋地开发和分享更多代码,包括:改进McSema(即支持LLVM 3.5、更多SSE和FPU指令支持,以及基于JakStab的新控制流恢复模块)、私有视频聊天服务,以及CodeReason的开源发布。我们还对Ghost in the Shellcode(GitS)感到兴奋——这是1月在华盛顿特区ShmooCon举行的夺旗竞赛,我们的三名员工参与运营。别忘了6月的DARPA网络大挑战资格赛。
目前,我们希望您能在Twitter上与我们联系或订阅我们的新闻通讯。
如果您喜欢这篇文章,请分享: Twitter LinkedIn GitHub Mastodon Hacker News
页面内容
- 将二进制文件转换为LLVM比特码的开源框架
- 塑造更明智的公共政策
- 为女性提供更多机会
- 安全开发实践的实证数据
- 三个独立的网络快速通道项目
- 教机器发现Heartbleed
- 计算机安全学生的资源
- iCloud黑客事件促使我们编写双因素认证指南
- 入选DARPA的网络大挑战
- THREADS 2014:如何自动化安全 展望未来 近期文章 我们构建了MCP一直需要的安全层 利用废弃硬件中的零日漏洞 Inside EthCC[8]:成为智能合约审计员 使用Vendetect大规模检测代码复制 构建安全消息传递很难:对Bitchat安全辩论的细致看法 © 2025 Trail of Bits. 使用Hugo和Mainroad主题生成。