上次演讲的全文出来了,是速记的同学记下来的。原文在
http://www.techweb.com.cn/people/2010-12-05/723950.shtml
但是没校对过,有很多文字错误,语句也不太通顺,我把我校对后版本的贴到这里。
因为是给中小网站站长做的介绍性演讲,所以谈的不是技术细节。
原文
各位站长、各位来宾大家下午好,今天我演讲的题目是“麻烦的终结者”,我觉得安全问题对于中小网站站长来说并不能算业务发展上的重大阻力,也并不是迈不过去的难关,安全问题更多的时候像是一种麻烦,非常讨厌,但是你又不得不去面对它。就像你的牙疼,会让你吃不下饭,睡也睡不香,牙疼不是病,疼起来要人命。安全问题是令人头疼的麻烦,而我,是一个麻烦的终结者。
我这个人特别怕麻烦,但是每当我出现的时候,就意味着有麻烦出现了,所以我会尽我的全力,把这些麻烦以最快的速度解决掉。
首先自我介绍,我叫吴翰清,来自阿里巴巴集团信息安全中心,我是西安交通大学少年班毕业,2000年开始进行网络安全研究,有十年的安全研究经验。
在05年加入阿里巴巴,先后负责阿里巴巴、支付宝、淘宝的安全评估工作,帮他们建立了应用安全的体系,现在我主要在阿里云负责云计算安全、全集团的应用安全,以及全集团的反钓鱼、反欺诈工作。
今天网站面临了很多威胁,有各种各样的威胁:有人在网站发反动政治信息;刚才主持人还提到美女的U盘丢了,隐私可能受到威胁。今天中小网站面临这各种威胁也是我们曾经遇到过的。
淘宝、阿里巴巴、支付宝、阿里云、雅虎中国,这些网站也是从小网站成长起来的,我们曾经遇到过的问题,也是中小网站明天可能会遇到的问题,因为明天中小网站也必然成长为大网站。当有一天我们的站长打开他的网站,发现他的站点已经打不开了,造成打不开的原因可能非常多,可能是硬件坏了、磁盘坏了,也有可能IDC机房网络断了,当然也有可能是被拒绝服务攻击了,这完全是有可能发生的。
这是我们昨晚刚录的一段视频,这是我们自己的一个本地测试网站,我们使用一个工具测试,在两三秒之后,发现这个网站打不开了,把这个工具停掉,网站立马恢复正常。这种攻击完全是有可能发生的,这个漏洞就是上个月,11月,一个安全的权威大会上有两个国外的安全研究者所演示的web server层的漏洞,这和传统拒绝服务攻击不一样,它工作在应用层,传统保护方案可能会失效。
它的攻击条件非常简单,刚才只用了一台PC就把网站打宕掉,我们事后曾经利用这个漏洞测试过一些朋友网站,发现威力非常强大,包括我们自己内网的办公系统,也是刚刚一把工具打开,网站马上宕机掉。这种威胁中小企业都面临着,我在03年也做过一个网站,做得非常大,后来不知道什么原因,有人拒绝服务攻击我的网站,之后这个网站再也没有打开过了,我心灰意冷,就没有想再开起来了。
在02、03年的时候,我们没有技术条件和环境解决这种问题,但是在今天,我们完全有可能解决,在安全性上叫可用性、业务连续性的问题,我们要让网站一直活着,不能让它打不开。我们如何解决拒绝服务攻击,在我的前面陈波介绍他在弹性云计算里面有很多方案,包括安全域、分布式防火墙,弹性云的环境当中还有很多网络设备来保护网络层抗拒绝服务攻击。拒绝服务攻击分两种,第一种是前面陈波提到的,在网络层,传统的Syn flood等攻击,我们通过弹性云的很多方案已经保护的很好了。
另外一种是在WEB Server层,在应用层,可能存在拒绝服务攻击,这是今天整个互联网都较为缺乏应对手段的攻击,但是我们部门已经解决掉了。我们在Web server层定制一些模块,对Web server进行保护,我们通过分析网络连接、频率、地域、客户端信息,最终进行判断,哪个请求是坏的。
你担心漏洞吗?其实漏洞跟风险还有一定距离。漏洞首先要有人使用,然后才会成为一个风险。什么人会去使用漏洞,这其实是一个很大的链条,漏洞会给我们带来什么,我们可以看一下演示。这是本地的测试网站,我们演示一次入侵过程,这是一个SQL注入的漏洞,像这种黑客工具,在网站可以随便下载到,而且有很多不同版本。
我们的攻击者尝试了一下网站后台,路径是Admin,发现路径是正确的,入侵过程当中,很多是靠猜,我跟很多资深黑客都聊过,他们有大概30%是靠运气才能够拿到一个系统权限,通过注入这个漏洞,找到了系统管理员这张表,然后找到用户名,现在正在破解密码,这时候攻击者把16位的MD5值放在表上查,马上找到了对应的密码,然后登录进网站后台,但是现在还没有完,在后台还有一个能够上传图片的功能,这里又有一个漏洞,这里没有对图片类型做验证,所以攻击者直接上传后门程序,现在他已经拿到了一个后门,可以为所欲为了。
可以浏览C盘目录,包括下载文件,攻击者上传一个页面,证明他入侵过,这就是一个漏洞引发的血案。
我们不得不担心漏洞,因为漏洞最终会成为很严重的风险,代码是人写的,程序员是人,不是神,只要人写的代码,必然产生漏洞。漏洞不能被消灭,但是可以被控制。
这是我从国内现在比较著名的一个网站,叫“乌云”,上截取的图。这是一帮安全研究者弄出来的网站,会收集各个站点的漏洞,会通报给厂商。在这个列表上,是我昨天刚抓到的,列举八月份到十二月三号的很多大网站漏洞,很多大网站榜上有名,有网易、有QQ、有凤凰网,还有百度、新浪,都榜上有名,所以说大网站也会出现漏洞,小网站也不可避免。
我们怎么解决漏洞的,现在我所在的团队是一支国内非常专业的团队,在圈子里的朋友可能都知道我们团队里面招了很多各个安全领域的专家,有无线安全专家,客户端安全专家、网络安全专家、应用安全专家,我们这些人研究出很多方法,来想怎样控制漏洞。现在阿里巴巴全集团下有几千人的工程师团队,每天写代码,每周发布的项目有三十个,小需求有两百个,代码量非常大。我们的目标是要检查每一行代码的安全,但是我们只有三十多个人,所以我们选择了四两拨千斤的方法。我们总结一些常见的代码问题,自己定制一些检测工具,对每一行代码进行检查,保证程序员写出来的代码是安全的。
我们现在还定制了自己的安全扫描器,扫描了包括淘宝、B2B、支付宝在内的六千万网页,这件事情是今天任何一个商用安全扫描器做不到的事情,但是我们做到了。这六千万是我们精选出来可能造成安全危害的页面,我们会在第一时间把扫描出来的漏洞通报给业务方,通报给应用,通报给程序员,我们会在第一时间掌控漏洞,我们要跑在黑客前面,要比黑客更早的发现漏洞所在。
当漏洞变成了风险。我们的站长可能会担心杀毒软件突然弹出一个框说你的网站上面有木马,这件事情是非常令人头疼和讨厌的,给我们网站声誉也带来非常大的影响。互联网中有一个黑色产业链在不断谋求发展,不断在追寻利益,可能很多在座的朋友都看过前些时候,中央电视台报道过的黑色产业链,一条木马产业链,他们怎样盈利的?最主要盈利点,在这个环节盗用游戏帐号、网银帐号,然后卖掉,这是数十亿的产业链。在网站上面攻击我们用户,大网站用户、中小网站用户,这条产业链攻击目标是最终用户,而这些用户也是我们中小网站用户,是重合的,所以这就是他们利益的驱动所在。我们很多站长想不明白,为什么这些黑客莫名其妙跑到我们网站上,会来攻击我,这就是他们的利益点所在,因为每年有几十亿利益驱动在背后,所以会想尽千方百计找流量,大网站攻不进去就找小网站,小网站也能给他们带来可观流量,导致他们最后获得丰厚收入。
就像苍蝇不盯无缝蛋,有漏洞就有黑客攻击可能,不能抱有侥幸心理。我们如何解决挂马的风险,挂马的问题非常头疼,我这里有两个数字,一个是十万,一个是十分钟,阿里巴巴集团有一套系统能够定时周期性检测这个网站是不是挂马,业界普遍两种做法,一个是检测原代码,看是否有危害性的JS脚本,另外一种做法就是用类似虚拟机做法,在虚拟机中用浏览器访问网页,然后在后台有一系列杀毒软件判断网页是不是被挂马,我们两者皆用,目前监控十万网页,这十万网页是我们精选出来阿里巴巴、淘宝、支付宝可能存在挂马风险的网页。
十分钟是指我们能在十分钟之内,如果十万个网页当中某一个网页挂马,就能发出警报,这跟扫描不太一样,扫描周期会比较长,而挂马检测周期非常短,这就是我们解决挂马的思路,目前这个方法也是得到实践认可的,确实能够从里面发现很多挂马问题的存在。最让人头疼的是这些挂马很可能并不是我们自己网站出现漏洞,很有可能是我们的外部合作者,比如说广告,如果内容供应商页面里面挂马了,访问我们网站的时候,杀毒软件也会报警,这就冤枉了,我们没做错事,却背黑锅。所以检测挂马这个工作非常有意义。
我还发现了另外一条产业链,有一条比挂马产业链隐藏的更深、更可怕、更难抓到的产业链,这条产业链也有巨大利益在背后驱使,也是环环相扣,也有前后层级关系,但是在现在的媒体中报道的非常少。垃圾注册是万恶之源,这条产业链从垃圾注册开始。现在我发现很多网站,包括大网站的很多邮箱、很多论坛应用,都存在着大量垃圾注册用户,这些垃圾注册用户对他们网站自身并不会造成危害,但是对整个互联网会产生巨大的影响,这些垃圾帐号能够拿来干什么,首先是做广告,点击欺诈、广告欺诈,很多广告联盟,包括百度、雅虎,可能都有这样一批人在背后做广告推广。其次是发反动政治言论,这些都是垃圾帐号发出来的,没有人用自己真实帐号发,很多时候我们在网上,碰到陌生人发一条消息,是广告或者说反动言论,有的朋友心里可能非常反感,就会指责回去,其实对方只是一个机器人,你这样骂它都是没有意义的,这都是垃圾注册惹的祸。
还有就是刷等级,可能存在一些用户行为,可以把低等级会员刷成高等级会员,还有领红包,我们给团队一些推广费用,希望给用户回报,但是没有一个有效措施保障这些回报落到有效客户手里,大部分推广费用落到了垃圾注册的口袋,最终可能只有一个团伙在收钱。
另外垃圾流量也会消耗大量的流量和资源,侧面反映就是我们的经费、我们的钱、我们的服务器,每年会消耗成本,如果能够控制垃圾注册,也就能够降低我们的维护成本。我们如何成为清洁工的,首先现在的垃圾注册,大部分是由机器人在发,我们要做的事情就是人机识别。想到人机识别(就是是别人和机器),大家第一反应就是验证码,如果有一个好的验证码,确实能够很快识别出是人还是机器,但是验证码有验证码的问题,很多时候出于用户体验等因素我们不能使用验证码。所以我们有一套专门解决方案,通过用户行为分析,判断到底是人还是机器,这套系统的准确率已经达到99.999%,在十万个分析里面,有一个误报,这是我们目前的现状。
我们通过分析这个人发消息的一些频率,包括他的来源是不是代理IP,我们建立了很大的代理IP库,抓全国、全世界代理IP,判断消息来源是否可信,我们还会在后端有一些规则分析用户行为到底是不是一个正常用户行为,从而判断出这是不是一个垃圾注册。通过我们努力,在前段时间,垃圾注册量有一个这样的下降,这个具体数据比较敏感,不能放在这儿,红色的是正常用户,蓝色的是垃圾注册,我们发现有一个明显下降,这个效果是非常明显的,这样网站的业务干净了,也就安全很多,包括诈骗、钓鱼风险小很多,更不会有人上来发反动言论,垃圾注册是万恶之源,是这条产业链的所有源头。
钓鱼在金融行业是重灾区,这个图显示有80%的钓鱼是针对金融行业的,钓鱼目标包括了所有的提供支付的商家,包括想要在金融平台提供服务的网站,这和中小站长存在着密切的关系,如果你想给用户提供在线支付业务,就有可能成为钓鱼网站的目标。钓鱼网站我们怎么解决的,这个图是中国反钓鱼联盟,是下属于CNNIC的一个机构,它出具的一个报表,在10月份淘宝钓鱼网站有2400多个,这个全是我们提供的,我们把数据给他,在我看来,这个报表并不能说淘宝的钓鱼网站数最多,而是因为我们检测能力最强,强到什么程度,第一个数字五千万,我们现在每天检查五千万URL,五秒之内如果有新的钓鱼网站出现,就会被我们的系统捕捉掉,我们现在把钓鱼网站运营成本和周期,从最开始的一周压缩到一天,现在正在向一分钟迈进,也就是说一个钓鱼网站以前能用一周,现在只能用一天了,用一天之后,这个网站马上失效,会在杀毒软件里失效,IDC机房会把服务器下线,域名也会关掉,我们正在向一分钟努力,现在已经有阶段性成果,这也是我们的下一阶段的目标。
我的职责就是终结麻烦,中小网站面临着各种各样的安全问题,面临着各种各样的麻烦,网站被DDOS,网站被入侵,数据被偷走,网站被挂马,杀毒软件报警,网站里垃圾消息满天飞。我们会尽全力解决“麻烦”,我们的安全之路是定制化、平台化的思想,为什么要定制化,我们最开始做安全之初,也考虑过购买安全厂商的服务和产品,但是后来发现这些商用的安全服务和产品并不能跟上互联网的节奏,并不能为我们的需求实施定制化解决方案,我们最终选择自己来做,我刚才讲的所有东西都是我们自己做的,每一行代码都是我们自己写的,这就是我们的安全之路,今天就介绍这些,谢谢大家。
Flash Player 9 (or above) is needed to view presentations. We have detected that you do not have it on your computer. To install it, go here.
|