如何看待 XcodeGhost 作者又投毒 unity3D?unity3D 被投毒會造成什麼影響?
你以為伺服器關了這事就結束了?
已有的事,後必再有。已行的事,後必再行。日光之下並無新事。豈有一件事人能指著說,這是新的。那知,在我們以前的世代,早已有了。已過的世代,無人記念,將來的世代,後來的人也不記念。《聖經》
海恩法則:每1起嚴重事故背後,必然有29次輕微事故和300起未遂先兆以及1000起隱患。
國內創業公司幾乎沒有一台正版電腦~蘋果開發用黑蘋果的也不在少數。用各種盜版開發軟體更是家常便飯【Dreamweaver,Fireworks,Muse,Rose,Microsoft Visio,Microsoft Project,Navicat,WebStorm,MyEclipse,以及部署在伺服器的各種環境,各種軟體,優化的,檢測的,統計的】。
開發更頭大的事是引入各種包/庫/插件/別人的代碼,其實根本沒有一個公司對所有代碼做代碼審查~花費精力太龐大了。
【遇到公司項目多,伺服器密碼,域名密碼,各種綁定api及相關申請賬號就能寫一個A4紙。苦不堪言。蘋果的上架賬號還要鄧白氏碼,各種折騰,沒有海外信用卡,公司信息早就被其他人獲取了(淘寶大把代辦,經常需要各種複印件~)】
當年C語言之父和同事開玩笑,說他可以自由進入任何系統,當時他真的辦到了。原因就是他對同事們的C編譯器被動了手腳,編譯的任何系統都為他留了後門。【也就是說為了絕對的安全你要懂彙編要自己寫個C編譯器然後,再寫系統內核,再寫驅動,當然cpu什麼的都要自己造,甚至為了安全你要寫一個自己的通信協議,因為你根本不知道哪裡有鬼,指令集,介面什麼統統重新來一遍。】
所謂陽光底下無新鮮事。幾十年來各種事都一直存在~不過有些被提到檯面而大部分沒有。安卓應用大部分被人反彙編,然後加入自己的廣告再提交應用市場的事貌似一直就沒斷過。某些應用市場自己就乾的不少。
現代複雜系統從本質上安全是不可控的。
因為一個鑰匙鏈的結實程度是最細的那個環確定的。
現操作系統0day不斷~驅動~硬體的問題都不是一般公司可控的【從底層就不安全】。
大公司的垃圾內部業務系統~你甚至不知道這些老軟體用了網上公開的多少代碼。
最恐怖的是他們的程序員電腦密碼設置的太簡單,git密碼也太簡單,打包密碼也很簡單,儘管設置的無比長,但是就貼在了桌上,有交叉項目的密碼口令就一堆,就寫在桌面上(miMa.md),很多公司門禁的作用就是攔住快遞。於是真的有人要做什麼簡直了~
隱患多的不勝數,雖有(安全排查手冊)和(知識庫故障樹)但都是然並卵,這世界最脆弱的是人參與的環節~有多少公司都把測試變成了菜鳥乾的事。代碼審計,程序魯棒性,系統的軟體調試都成了浮雲~不知道還有沒有對自己app做sniffer抓包分析的~有沒有對著控制台和log文件一遍一遍過的~
在網上…想要活得自在那就匿名…
秦人不暇自哀,而後人哀之;後人哀之而不鑒之,亦使後人而復哀後人也。《阿房宮賦》
【整件事,提醒我們太simple,當我們看到電腦中彈起電信的廣告彈窗,已經忘記了那是路由器劫持,當我們忘了CNNIC的證書隱患,當我們忘了流出的各種資料庫,當我們忘了還有D的監視。我們使用所謂的智能路由器,讓他過濾廣告,讓他科學上網。我們有什麼臉說要安全。】這一系列事件展現了一個新的攻擊路徑,即從生產工具或者生產原料的角度來進行產品特性攻擊。
這裡的問題不是底層編譯工具的問題,而是集成開發工具為了向開發者提供便利,一些處理細節被合理地隱藏了,所以出現了不太被常人關注的暗區,而只要有暗區就能夠藏東西。
拓展一下,如果我們不是從xcode出發,而是從mac的一個熱門工具出發,去修改本地xcode或者eclipse或者android studio的編譯配置和代碼模板,攻擊路徑依然是有效的。
我相信這只是一個攻擊實驗,實驗的結果是給更多的黑客打開了腦洞,真正的攻擊現在才開始。這絕對會是全世界有史以來最大規模的攻擊事件了,何其高的借力打力。推測一下,他一定能青史留名。
等完結後寫篇文好了,標題叫《硅幕墜落》一段不算長的代碼,一些篡改開發包的腳本(我不相信每一個版本都是手動改動的),一堆簡單的論壇下載集合貼,居然能搞得整個中國移動互聯網人人自危,這說明了什麼呢
牆又立功了
這算個P,國內大部分政府單位,大企業的大部分桌面辦公系統是來歷不明的Windows,大部分office是來歷不明的安裝包,大型企業大部分Oracle是盜版。甚至很多防火牆軟體,防病毒軟體都是盜版。真打起網路戰爭,民用系統秒級崩潰,中國信息系統回到原始社會(封建社會都回不去了,驛站和信鴿都沒有了)。中國的企業沒吃過信息安全的大虧。無知無畏。一看到開源軟體就像撿了寶,可算撿到不要錢的了。中國電信居然自己組隊開發資料庫,真不知道他們顱骨裡面裝的是啥。如果這種企業級系統能隨便搞出來,哪還輪得到ORACLE壟斷?滿大街都是了。用個windows,一不小心就變成百度windows,360windows,金山windows,騰訊windows。。。技術手段一個比一個流氓,百度插件連病毒技術都用上了。乾脆換蘋果,貴點認了,眼不見心不煩。說起來蘋果還真要感謝這些合作夥伴,沒有他們不遺餘力的往windows裝流氓管理軟體,估計買蘋果電腦的人還真沒那麼多。
這是維度攻擊
很多手遊說不定會中招。早就覺得這貨根本不是實驗。
用UE4不久沒問題了么? 用自帶的工具獲取官方代碼,根本沒有植入病毒的可能性啊。
公安哪裡去了
看到有些人這時候在說公安,網監幹嘛去了感覺真是怪諷刺的
Thanks The Great F*cking Wall
嗯,還有cocos2dx也中招了,大批量的手游等著看吧,據我所知是《我叫XX》《保衛蘿X》這些都在中招範圍
就說三個遊戲吧,你看看你們玩過沒,
神廟逃亡
爐石傳說
紀念碑谷我還在擔心這是不是ZF的竊聽做法,現在出事了找了個臨時工在GitHub上發言。
進行維度打擊
花樣作死OR一盤大棋,現在還不明確,靜觀其變吧,連當事大廠都沒出頭。
以後會不會投毒 window linux甚至一些手機的安卓等操作系統 或者一些如ps office等的軟體這些東西中國基本沒幾個用正版的
就差visual studio了!vs你別跑!
預感:
1,蘋果,wp等等全世界的安全神話被打破,各種更加黑暗更加難以置信的事件被曝光。
2,信息安全等專業將會迎來春天;
3,現有的技術體系要麼在修修補補中徹底崩潰,要麼被全盤推翻,建立一套跨時代的體系。推薦閱讀:
※你自己或見別人在運營工作中犯過哪些錯誤?
※能否詳細介紹下DSP(Demand Side Platform)需求方平台?DSP在未來前景如何?現在有哪些應用已經落地?
※知乎在中國可以發展成維基百科那樣的機構,永久免費嗎?
※眾籌救急或治病的人為什麼不選擇慢慢把錢還回去?
※有哪些有趣或有價值的 2014 年終盤點值得推薦?
TAG:互聯網 | 計算機 | XcodeGhost | UnityGhost |