源代码文件是什么样子—扫描文件是什么意思 收藏 0

曝《GTA圣安地列斯》源代码是伪造的：实则勒索病毒！

据此前报道，《侠盗猎车手圣安地列斯（Grand Theft Auto San Andreas）》源代码文件已被泄露，大小为4.82GB。近日，一位名为PliskinDev的用户（从事逆向工程的专家）表示，这份源代码是伪造的，并且压缩包里含有危险的病毒。

据悉，《GTA：圣安地列斯》源代码受密码保护，用户需要破解密码才能访问。PliskinDev指出，档案中包含的是Rhysida黑客组织制作的勒索病毒，这个病毒能够窃取计算机主人的个人数据，并以此勒索赎金。

然而，部分玩家对PliskinDev的说法表示怀疑，他们注意到病毒截图中的压缩包名称与传闻中的源代码文件名称不一致，截图中的压缩包为“gtasa.7z”，而传闻中的源代码包则是“gtasasc.7z”。此外，两个压缩包的文件大小也有所不同。

截至目前，R星尚未对此事件做出正式回应，因此《GTA：圣安地列斯》源代码文件是否真实也不得而知了。感兴趣的玩家可以关注后续报道。

50 多家科技公司源代码被泄露，微软、华为海思、高通均在列，网友：怕是又来针对华为吧

可以说，这是有史以来最大范围的一次源代码泄露。

源代码就是指编写的最原始程序的代码，主要对象是面向开发者，我们平常使用的应用程序都是经过源码编译打包以后发布呈现的。

公司专有程序代码对于网络创意公司来说是其生命的化身，掌握了其编写方式，就可以复制出一个相同的程序，或通过阅读源代码找到程序的漏洞进行任意攻击。所以在互联网兴起后世界各国都立法对其进行保护。

微软、Adobe、联想、AMD、高通、联发科、通用电气、任天堂、迪士尼、华为海思等 50 家科技公司都中招了。

据外媒报道，遭泄露的源码被发布在 GitLab 上一个公开存储库中，并被标记为 “exconfidential” （绝密），以及 “Confidential & Proprietary”（保密&专有）。

雷锋网注：GitLab 是一个用于仓库管理系统的开源项目，全球第二大开源代码托管平台，谷歌重金投资加持的开源独角兽，阿里巴巴还一度是其重要客户。

根据安全研究人员 Bank Security 提供的信息，该存储库中大约包含了超过 50 家公司的源码。但有一些文件夹是空的，还有一些存在硬编码凭证。（一种创建后门的方式。）

此外，开发人员 Tillie Kottmann 提到，一些代码库中确实存在硬编码凭证，他在发布前已尽可能地将其删除，“以避免造成直接伤害或是助长更大的破坏”。另外，他也坦承自己并未在发布前与每一家受影响的公司进行联系，但他们确保自己“尽了最大的努力将负面影响最小化”。

Kottmann 的 Twitter 账户简介写道，“这里可能正在泄露您的源代码。”该账户的置顶推文是一条众包帖，问道“您认为机密信息、文档、二进制文件和源代码，哪一种最应该向公众公开……”

对于上述事件，不少安全专家表示，“在互联网上失去对源代码的控制，就像把银行的设计图交给犯一样。”

目前，Kottmann 已应部分企业的要求删除了代码。例如 Daimler AG，梅赛德斯-奔驰的母公司；联想的文件夹也已经空空如也。针对有移除代码要求的公司，Kottmann 表示愿意遵守，并乐意提供信息，“帮助公司增强基础架构的安全性”。

而关于源代码泄露的原因，开发团队也在继续寻找原因。

Kottmann 称，他们试图在发布硬编码凭证之前从公司的源代码中删除这些硬编码凭证，这些凭证通常用于创建后门程序，以免发生更加强大的安全漏洞。

回顾在 Kottmann 的 GitLab 服务器上泄漏的一些代码，可以发现某些项目已由其原始开发人员公开发布，或者在很久以前进行了最后更新。

不过，开发人员表示，有更多公司使用错误的 Devops 工具配置了暴露源代码的公司。此外，他们正在探索运行 SonarQube 的服务器，SonarQube 是一个开源平台，用于自动代码审核和静态分析，以发现错误和安全漏洞。

Kottmann 认为，有成千上万的公司由于未能正确保护 SonarQube 安装而暴露了专有代码。

不过，网络安全公司 ImmuniWeb 的创始人兼首席执行官 Ilia Kolochenko 指出，“从技术角度来看，这次的泄露并不算很严重……若没有每天的支持和改进，源代码也会迅速贬值”。

尽管如此，这样大规模的泄露事件原因还是值得引起注意。

代码被公开之痛

每一次源代码被公开，伴随着的都是巨大的损失。

我们举几个例子，大家就明白了。

大家一定还记得大疆前员工将含有公司商业机密的代码上传到了 GitHub 的公有仓库中，造成源代码泄露的事件。

根据当时的报道，这些源代码，攻击者可以 SSL 证书私钥，访问客户的敏感信息，比如用户信息、飞行日志等等。

根据评估，这次泄漏代码一共给大疆造成了 116.4 万的经济损失。

再比如，2019 年 4 月，B 站整个网站后台工程源码泄露，并且“不少用户密码被硬编码在代码里面，谁都可以用。”

当天，在开源及私有软件项目托管平台 GitHub 上，出现了名为“哔哩哔哩bilibili 网站后台工程源码”的项目。据悉，该项目由账号“ openbilibili ”创建，由于网站的开源性质，登录网站者均可使用。当日 B站股价跌 3.27%。

虽然很快被封禁，B 站也已经报警处理，但有不少网友克隆了代码库，隐患已经埋下，补救起来也颇为头疼。

当然，除了主动泄露私钥，还有很多人在 GitHub 上把登录信息和明文密码也都一起开源的。

而这些被开源的代码一旦被黑客利用，造成的损失就要看黑客的心情了。

附源代码泄漏完整受害者列表：

Johnson Controls（江森自控）

iLendx （联想）

Banca Nazionale del Lavoro

Lenovo-smart-display-7

Adobe

Fastspring

GE Appliances（GE电器）

Mercury TFS

GovCloudRecords

MyDesktop

eMasurematics

Buckzy

TeamApt

Alpha FX

Covid Apps

Romeo Power

Digital Health Department

DRO Health

Elgin Industries

Berkeley Lights

Pwnee Studios

NYNJA

Tapway

BlocPower

Capital Technology Services

Lenovo（联想）

AMI

insyde

Erobbing / Luobin They make various Android based devices, like DVRs and Law Enforcement devices. http://www.erobbing.com/

KaiOS

AMD

Chenyee / Gionee

Disney（迪士尼）

Mineplex

Daimler

Rockchip

HiSilicon（海思）

Aukey

Chunmi

Xiaomi\’s Kitchen Appliance Subsidiary

PUKKA

Roblox Corporation

Microsoft（微软）

Motorola（摩托罗拉）

Qualcomm（高通）

Mediatek（联发科）

Bahwan CyberTek

CryptoSoul

gms

ReactMobile

ЦЭККМП

Tactical Electronics

Siasun

雷锋网雷锋网雷锋网

参考资料：

【1】https://www.bleepingcomputer.com/news/security/source-code-from-dozens-of-companies-leaked-online/?

【2】https://gitlab.com/gitlab-com/www-gitlab-com/issues/5555

互联网之父公开拍卖万维网源代码，3400万买下后发现居然有bug

博雯 发自 凹非寺量子位 报道 | 公众号 QbitAI

上个月，万维网源代码在网上公开拍卖：

没错，就是1990年的那9555行构成现代互联网基础的源代码，由互联网之父Tim Berners-Lee本人提供！

而这份NFT（非同质化代币）形式的拍卖品起价只有1000美元，一经放出价格一路飙升。

最终的成交价高达540万美元（折合人民币3400万）：

但在此之前，有人却从公开的代码演示视频中发现了bug：

明明有bug，却还能卖到如此高价？

在了解原因之前，先来看看这份拍卖品里都有什么。

拍卖品的核心是包含了HTML、HTTP和URI的最初实现，并带有时间戳的源代码文件。

除此之外，还有一段30分钟的编码演示视频，一封由互联网之父写的阐述代码创建过程的信，以及一张SVG格式的“代码海报”（右下角还有Tim的矢量签名）：

1990年12月25日，Tim Berners和另一位法国研究者第一次基于Web原理的HTTP代理实现了与服务器的通讯。

随后，这项技术就被迅速推广到了全世界。

但Tim并未在当时申请万维网的知识产权，他分文未取。

而在30年后，这位66岁的互联网之父将源代码铸成NFT再次拿了出来。

他表示：

无论是艺术品还是像这样的数字艺术品，NFT都是这个领域最新的改变游戏规则的创作，也是现有的最合适的所有权形式。

就像上面的代码、视频、图像……我们都可以将其总归为数字产品。

而NFT，就是对非物质世界的资产进行所有权证明，并衡量它们市场价值的一种虚拟代币。

网友一边感慨互联网之父终于收到了“迟到30年的专利费”，一边震惊于这份NFT形式的拍卖品价格上涨之快。

但这时，突然有人站出来表示：你这源代码好像有点不对啊……

这位研究人员从那30分钟的编码演示视频里发现，代码中的角括号<和>被<和>替代了。

而评论区也有人贴出来实际代码中的其他类似错误：

不过SVG格式的代码海报倒是没什么问题：

而对于这一错误，不管是拍卖行还是Tim本人都没有做任何回应。

第二天，拍卖行就宣布这份NFT形式的数字艺术品被以高价成功拍下。

大家发现，在后来的公开演示视频里，那段错误的代码已经得到了纠正：

但是这里就出现了一个问题。

NFT和比特币这种同质化代币不同，既不能分割成更小数值的代币，也不可互换，只能作为独一无二的单一整体存在。

这种非同质化代币的每一枚都价值不同。

而现在，明显有一个“事实正确”的版本，以及另一个有“独特历史”的错误版本。

那么花了540万美元的那位竞拍者到底拿到的是哪一个版本？

一新一旧两版NFT哪一个又更值钱？

有人表示：

或许人们会意识到NFT就是在胡扯，并停止购买它？……我对NFT的评价和其他虚拟货币一样——只有人们赋予的价值，而没有内在价值。

不过在收藏界里，因为错误而更有价值的例子也并不罕见。

比如美国在1918年5月10日发行的一枚邮票，由于印刷错误，邮票中的柯蒂斯·珍妮-4飞机的图案上下颠倒：

而正是因为印刷错误，使得这枚邮票的价格飙升。

2005年，一位美国的金融家出价297万美元购得4枚这种倒置珍妮（Inverted Jenny）邮票。

而现在，如果竞拍者得到的是一段完全正确的万维网源代码，但错误版本的旧NFT也并没有被销毁呢？

那么手握旧版本的拍卖行，或许正在坐拥一枚比540万美元价值更高的代币。

参考链接：[1]https://arstechnica.com/tech-policy/2021/07/video-of-berners-lees-5-4m-nft-hints-another-exists-with-an-error/[2]https://arstechnica.com/tech-policy/2021/06/tim-berners-lee-makes-an-nft-from-world-wide-webs-objective-c/

Tim Berners-Lee提供的这份NFT：https://www.sothebys.com/en/buy/auction/2021/this-changed-everything-source-code-for-www-x-tim-berners-lee-an-nft/source-code-for-the-www

— 完 —

量子位 QbitAI · 头条号签约

关注我们，第一时间获知前沿科技动态

本文作者及来源:Renderbus瑞云渲染农场https://www.renderbus.com