章華鵬:好����,謝謝大家���,我們下午好,我是章華鵬����,我不知道有沒有一些企業(yè)做過漏洞��。其實對烏云報出一些安全問題本身是一件好事����,至少這些問題沒有被黑客利用�����,而是被我們白帽子發(fā)現(xiàn)問題���,提交到我們這樣一個平臺����,而我們平臺會把這些問題��,給企業(yè)去修復(fù)��,修復(fù)以后�,我們才會去發(fā)現(xiàn)問題的思路公開出來�����,給白帽子去學(xué)習(xí),烏云其實就是這樣一個平臺���。
我做一個簡單的自我介紹����,我自己本身也是烏云的白帽子����,也幫很多企業(yè)發(fā)現(xiàn)過一些問題,騰訊����、阿里都發(fā)現(xiàn)過很多高位問題,我自己之前三年我在百度負(fù)責(zé)企業(yè)安全相關(guān)的事情��,然后自己也去做過百度的安全產(chǎn)品��,就是百度�,我從今年開始來到烏云這邊主要負(fù)責(zé)唐朝安全巡航這樣一個產(chǎn)品,我給大家做一個簡單的介紹����。
我今天主要給大家分享,我們看到了成長型的一些互聯(lián)網(wǎng)的公司,它的一些安全問題到底是什么�����?今天主要會從這三個方面做一個分享�����,首先我們?nèi)タ匆幌?��,?shù)據(jù)時代成長型互聯(lián)網(wǎng)公司的現(xiàn)狀是什么���?基于這樣一個現(xiàn)狀,企業(yè)面臨的安全問題會有哪些�?當(dāng)我們面臨這些問題的時候,依托于這樣一個的時代���,我們會有什么新的解決方案的一些思考�。
首先我們看一下成長型互聯(lián)網(wǎng)的公司的現(xiàn)狀����,我們看到主要有三個特征��,一個特征是說云端的基礎(chǔ)設(shè)施的接入�,第二個是數(shù)據(jù)的開放�����,這其實是我們互聯(lián)網(wǎng)的本質(zhì)的東西�,第三是我們可以看到傳統(tǒng)行業(yè)都在做互聯(lián)網(wǎng)的轉(zhuǎn)型�����,這是未來在中國傳統(tǒng)企業(yè)和互聯(lián)網(wǎng)企業(yè)一個大的趨勢���。
首先我們來看云端基礎(chǔ)設(shè)施的接入���,它主要有哪些?我們看一下它的特征����,首先是數(shù)據(jù)源的多元化,我們傳統(tǒng)文化大部分的數(shù)據(jù)從我們用戶的PC端進行接入�����,現(xiàn)在我們可以看到����,隨著移動互聯(lián)網(wǎng)的興起��,我們可以看到�,包括移動終端以及智能設(shè)備的物聯(lián)網(wǎng)包括車聯(lián)網(wǎng)��,整個數(shù)據(jù)源一個多元化已經(jīng)呈現(xiàn)出來了�����,這樣會導(dǎo)致一個問題�����,數(shù)據(jù)的存儲邊界正在消失�����。怎樣理解�,傳統(tǒng)我們會做數(shù)據(jù)安全,更多考慮是說我們一些PC端數(shù)據(jù)�����,甚至說用戶PC端的數(shù)據(jù)����,我們企業(yè)內(nèi)部的一些數(shù)據(jù)的安全。現(xiàn)在我們可以看到�����,包括用戶的數(shù)據(jù)�,比如說你的手機上的通訊錄、短信甚至說你的照片����、視頻,都已經(jīng)全部同步到云端���,這個數(shù)據(jù)不僅僅是存儲在你的輿論終端包括PC端����,整個數(shù)據(jù)已經(jīng)到云端�����,這個數(shù)據(jù)到云端以后���,會導(dǎo)致整個數(shù)據(jù)存儲的邊界已經(jīng)消失�,所有的數(shù)據(jù)在云端可以在每一個環(huán)節(jié)被使用到。
第二個講數(shù)據(jù)的開放互聯(lián)��,這個其實是我們講到物聯(lián)網(wǎng)本質(zhì)的東西���,隨著成長型互聯(lián)網(wǎng)公司的興起��,我們可以看到���,像烏云,我們也是一個成長型的互聯(lián)網(wǎng)公司�����,我們所擅長是一些安全方面的業(yè)務(wù)�,我們會專注把這塊東西做好。我們一些服務(wù)器的管理運維�����,一些數(shù)據(jù)的存儲����、處理,這是我們不擅長的����,這些事情我們更愿意交給七牛做云存儲很厲害�,我們把這塊交給他們來做��,這樣我們做我們的事會更專注這樣我們在互聯(lián)網(wǎng)行業(yè)里面更有競爭力�。我們會看到我們會有更多的數(shù)據(jù)的開放����。
第二個我們講開放以后,我們可以看到數(shù)據(jù)流變得更加復(fù)雜��,我烏云的數(shù)據(jù)并不僅僅存在烏云的自己數(shù)據(jù)的上����,我的數(shù)據(jù)也可能在云端,整個數(shù)據(jù)流會變得更加復(fù)雜����。
第三個,我們可以看到�����,傳統(tǒng)的一些企業(yè)��,已經(jīng)在向互聯(lián)網(wǎng)轉(zhuǎn)型,我們可以看到兩個很典型的例子���。一個是P2P金融�,我之前看了一個數(shù)據(jù)��,到現(xiàn)在為止我們看到中國有千千家P2P金融企業(yè)正在做這樣的業(yè)務(wù)���。第二個我們可以看到滴滴打車�����、快的做的打車業(yè)務(wù)�����,在兩年前我們很難想像打車����,包括像金融交易我們把這些東西搬到互聯(lián)網(wǎng)上來�����。我們通過一個手機可以打到車��,通過一個手機可以做一些金融的投資,或者做一些借貸的這樣的事情��,在兩年前很難想像���,在近年來業(yè)務(wù)發(fā)展非?��?臁?br />
在三個背景下它會產(chǎn)生什么樣的問題呢�?第一個云基礎(chǔ)設(shè)施的安全����,數(shù)據(jù)都流向了云端基礎(chǔ)設(shè)施,安全問題肯定是非常重要的���,像我們?yōu)踉?��,如果我們?yōu)踉瓢褦?shù)據(jù)都存儲到這里,我們會擔(dān)心是否安全��。第二個我們數(shù)據(jù)開放帶來的安全問題����,我們上下游安全的問題����,也是我們會關(guān)心到的�,因為我們的數(shù)據(jù)已經(jīng)到那邊去。第三個傳統(tǒng)企業(yè)在做互聯(lián)網(wǎng)轉(zhuǎn)型的時候��,他們會面臨很大安全需求的一個難題���,怎么去解決這樣一些安全問題��。
首先我們來看一下基礎(chǔ)設(shè)施的安全���,剛剛講到了在這樣一個背景下我們企業(yè)會做得越來越專注,我們在整個互聯(lián)網(wǎng)生態(tài)圈里面�,我們擅長只是其中的一個環(huán)節(jié),比如說我們很擅長安全����。那云作為互聯(lián)網(wǎng)基礎(chǔ)設(shè)施會承載越來越多的數(shù)據(jù),像我們成長型的互聯(lián)網(wǎng)公司����,我們會把我們不擅長的技術(shù)交給云服務(wù)商他們做這些事情。同樣我們把數(shù)據(jù)存儲在云端以后,我們也很關(guān)心基礎(chǔ)設(shè)施安全是什么�。這樣就會導(dǎo)致云基礎(chǔ)設(shè)施,提供他們會一個挑戰(zhàn)����,數(shù)據(jù)集中化存儲,導(dǎo)致它安全會變得更加重要�����,是一個非常重要的屬性�����。因為所有的我們切入的企業(yè)都很關(guān)心����,我們數(shù)據(jù)放在你這里是否安全�,我們數(shù)據(jù)放在家里的時候我們安全是我們負(fù)責(zé),當(dāng)然我們不會討論說這些問題�。當(dāng)我們把數(shù)據(jù)放在你們這邊以后,會考慮云基礎(chǔ)設(shè)施的安全問題是不是得到解決�,是不是很安全。
首先我們來看一下我們在烏云看到的一些實際的做法��。某互聯(lián)網(wǎng)公司用戶密碼修改導(dǎo)致用戶的瀏覽器的一些數(shù)據(jù),包括像用戶的通訊錄還有短信��,甚至通話記錄的泄漏�����?����?吹臉?biāo)準(zhǔn)我們就知道���,這是一個非常嚴(yán)重的安全問題��,就是一個云存儲的基礎(chǔ)設(shè)施的安全�。我們來看一下漏洞的細(xì)節(jié)�,很簡單我們在烏云平臺經(jīng)常看到的漏洞���,就是一個簡單的邏輯的越權(quán)�,導(dǎo)致賬號米木的重置�。這樣1億用戶賬號密碼都是可以被另一個人重置。我們看一下具體的漏洞�����,其實就是很簡單找回賬號密碼的邏輯,我相信任何一個互聯(lián)網(wǎng)公司有自己賬號體系的互聯(lián)網(wǎng)公司����,都會有這樣的業(yè)務(wù)。用戶密碼不見了或者不記得了��,需要去做一個找回密碼的操作����,找回密碼還要到郵箱發(fā)一個鏈接,這樣鏈接�����,對應(yīng)的數(shù)學(xué)碼對應(yīng)的賬號ID通過這個點擊進去可以重置密碼����。白帽子發(fā)現(xiàn)修改QQID的時候�,我修改成別人ID的時候,可以重置別人的密碼�,這導(dǎo)致這個平臺所有用戶都為受到威脅。
右邊我們可以看到�,備份的記錄,包括手機短信,通話記錄的任何信息都在里面��。我不知道在座的各位���,男性朋友��,如果說你們的女朋友或者是老婆知道這個漏洞以后����,拿這個查你的通話記錄����、短信你們會不會很緊張,就這樣一個問題���。
我們可以看到�,它是一個云存儲的服務(wù)提供商����,用戶把數(shù)據(jù),都存儲到這個云端以后�����,因為它云端的安全,導(dǎo)致說���,用戶的數(shù)據(jù)一個泄漏�����。
第二個主要是講短信云服務(wù)的數(shù)據(jù)安全����,也是某公司一個短信的服務(wù)配置�����,不斷導(dǎo)致云端所有的用戶信息泄漏����。而且是時時泄漏,我們看一下具體的內(nèi)容�。這也是一個非常普遍的安全問題,就是一個管理后臺的未授權(quán)方位����,直接導(dǎo)致白帽子或者黑客通過這樣一個管理后臺�����,可以看到短信服務(wù)發(fā)出的所有短信記錄。我們知道����,今天我們?nèi)プ鋈魏尉W(wǎng)站的注冊或者是密碼修改甚至是銀行的一些交易,一些關(guān)鍵的信息���,比如說我們短信驗證碼�,甚至我們的密碼都會通過這個短信進行發(fā)送���,如果說云端的短信服務(wù)提供商���,它的短信記錄全部被泄漏出去,不僅說短信信息內(nèi)容泄漏�,另外我們可以看到,同樣還存在一些其他的安全問題���。比如說Sql注入��,直接可以導(dǎo)致數(shù)據(jù)庫所有信息都會泄漏出去���。也許說你今天拿手機注冊了一個網(wǎng)站�����,你的密碼剛剛注冊完以后就被黑客知道了�����,拿這個密碼可以登錄你的賬號��。
第三個我們講的是云引擎數(shù)據(jù)安全問題�����,這個的話���,我們看到國內(nèi)做一個云心情的工作,比如像百度�����、新浪甚至京東都做這樣一些服務(wù)��,看到這些標(biāo)題是說���,系統(tǒng)文件�����,其實像它這樣一個業(yè)務(wù)�,簡單介紹一下�����,它通過一個數(shù)據(jù)搭建這樣一個容器����,這個容器里面,可以運行自己的代碼��,搭建自己的網(wǎng)站��。通過自己把代碼部署以后����,通過它分配的一些運營,其他用戶可以訪問到�,這是一個很簡單的應(yīng)用。
我們看一下這個漏洞具體的情況是什么樣子的�,其實就是這個漏洞主要是利用了文件壓縮的特性,導(dǎo)致說����,在云端進行代碼部署的時候���,能夠繞過這個沙盒去讀到同樣在這里面的其他用戶的文件數(shù)據(jù)。我們可以看到�,首先就是說,就是一個壓縮��,我們首先創(chuàng)建一個鏈接我們把一個文件鏈接到系統(tǒng)的文件��,因為沙盒里面只限制某一個用戶訪問自己的指定目錄的代碼文件�,通過我創(chuàng)建這樣一個鏈接,我可以鏈接到系統(tǒng)服務(wù)器上任意一個文件����。我把這個鏈接的文件存儲到這個壓縮包以后,壓縮到這個壓縮包里面上傳代碼的時候�����,會有一個壓縮的操作�����,這個文件就會鏈接到你服務(wù)端的穩(wěn)健下去。這樣我們就可以讀取到系統(tǒng)的任意文件��。我可以讀取到引擎所有其他用戶的代碼�����。就這樣一個問題�����。
上面講的都是所有我們關(guān)于云基礎(chǔ)設(shè)施安全問題��,其實這樣的問題�����,在我們?yōu)踉破脚_上還有非常多�,這里面只是找一些很簡單的例子給大家看一下�。
第二個我們講一些數(shù)據(jù)開放所帶來的安全問題,首先進入我們剛剛也講到了由于數(shù)據(jù)開放會導(dǎo)致我們的數(shù)據(jù)已經(jīng)不僅僅是在你自己業(yè)務(wù)范圍內(nèi)����,而且是我們整個數(shù)據(jù)流整個過程安全問題都會影響到你數(shù)據(jù)的安全。我們看一下具體的例子�����。
這是一個典型的電子商務(wù)合作聯(lián)盟的漏洞,因為這個漏洞可以直接影響到50萬網(wǎng)站組的信息�����,包括訂單的數(shù)據(jù)����,包括自身賬號、密碼�����,甚至廣告一些的投放的操作�����,都可以被受影響����。我們可以看到一個后臺,就是說其實這也是一個在我們總烏云平臺和我們?yōu)踉屏硗庖粋€產(chǎn)品叫做烏云重策���,我們看到漏洞的數(shù)據(jù)看�����,現(xiàn)在幾乎占到所有漏洞的大概三分之一���,我們可以看到說�,也是這樣一個漏洞��,我們通過一個用戶名���,其實這個用戶名很有意思����,我們的一些白帽子��,它會去拿一些中國常用的一些用戶名����,像李明��、李強�����、張三、李四��,這樣一些中國人使用人名����,我拿最常用的用戶名配合一些很簡單的口令,123456這樣的一些密碼做口令的嘗試���,這就是一個很簡單的例子����,也是一個非常常用的賬號�����。然后密碼123456更簡單了��,通過這樣一個簡單的賬號密碼����,直接登錄到這樣一個后臺,我們可以看到右邊有廣告組的郵箱��、訂單數(shù)��、訂單金額、傭金數(shù)左邊像資源管理���、財務(wù)管理���、廣告組的管理,相當(dāng)于你作為一個接入方����,電商網(wǎng)站你接入到這個平臺以后,你很核心的訂單數(shù)據(jù)在第三方的平臺會遭受到影響���。我可以隨時知道你訂單的數(shù)據(jù)��、信息���、金額����。其實這個漏洞對于你自己平臺沒有問題,不是從你自己平臺把數(shù)據(jù)泄漏出來��,而是你的數(shù)據(jù)流向第三方平臺以后�����,導(dǎo)致了這樣一個安全問題。
第三個我們講傳統(tǒng)企業(yè)互聯(lián)網(wǎng)轉(zhuǎn)型的安全問題�,首先我們可以看到說,不管是說P2P金融也好��,現(xiàn)在興起的一些從傳統(tǒng)的企業(yè)向互聯(lián)網(wǎng)轉(zhuǎn)型的行業(yè)里����,我可以看到有兩大比較大的特征。像滴滴���、快的這樣用戶數(shù)用戶規(guī)模特別大��,另外像P2P金融行業(yè)業(yè)務(wù)非常敏感��,都涉及到金融的交易�����,對打車行業(yè)也是很敏感���。如果每天你從哪里打車到哪里,這個數(shù)據(jù)泄漏出去���,別人很容易知道你家在哪里����,你在哪里上班,作息時間大家都知道��。
另外一個我們可以看到一個很典型的問題��,傳統(tǒng)的企業(yè)��,他們對于互聯(lián)網(wǎng)的安全問題�,并不熟悉。另外一個��,安全人才的稀缺����,我們知道在我們的品大概有兩百萬個白帽子中國技術(shù)人員不低于兩百萬。作為成長型向傳統(tǒng)行業(yè)向互聯(lián)網(wǎng)轉(zhuǎn)型的企業(yè)來說的話��,更難招到一些靠譜的人才���。
我們可以看到,這個是我們在烏云搜索P2P行業(yè)的安全問題記錄����,我可以看到大多數(shù)這里一頁都是2015年8月份的漏洞�,我們可以看到主要從2014年到2015年P(guān)2P行業(yè)的興起的時間比較符合�����,我們可以看到這個時間����,P2P行業(yè)嚴(yán)重的漏洞,大概有279條��,這個數(shù)據(jù)相比其他行業(yè)來說����,是一個更加嚴(yán)重的數(shù)據(jù)。而且這里面所對應(yīng)的安全問題����,都是非常嚴(yán)重的。我們可以看到�,用戶的密碼重置,導(dǎo)致用戶的數(shù)據(jù)泄漏���,像漏洞打包�,特別多漏洞,就隨便一看就是漏洞����,然后是密碼重置,都是非常嚴(yán)重的漏洞����。
翼龍貸某站未授權(quán),導(dǎo)致十幾億的資金缺失���。我們看到一個真實的數(shù)據(jù)����,也許是它自己造假的數(shù)據(jù)�,我們可以看到一個十幾億的資金。從這樣一個平臺我們可以看到����,查詢各地區(qū)的放款總量,數(shù)據(jù)的體系�,所有的用戶信息,每日的信息統(tǒng)計����,線上的充值,這部分大家都特別喜歡�。其實這個漏洞也是一個特別簡單的漏洞,就是一個后臺未授權(quán)訪問��,直接導(dǎo)致它有這樣一個域名���,它不對外公開��,但是它對外可以訪問��,但是并沒有告訴大家��。我們的白帽子可以直接通過一些途徑找到這樣一些域名��,通過一些管理后臺的識別�,直接找到這樣后臺�����,進入這個后臺以后��,不需要任何技術(shù)含量����,可以向你們公司���、老板、管理人員對你們后臺數(shù)據(jù)進行任何操作����。我創(chuàng)建一個賬戶,就可以在賬戶里面隨意輸入金額����。
前面是我們看到的互聯(lián)網(wǎng)企業(yè)存在的一些安全問題,來之前我也找了一些現(xiàn)場的企業(yè)�����,我們看了一下隨即挑了兩個企業(yè)�����,可以看到400多個安全問題����,將近200多個安全問題。在這里我從檢測的數(shù)據(jù)來看在場大部分企業(yè)都是存在高危安全問題�。
最后講一下����,我們針對這么嚴(yán)重的安全形勢��,我們對于安全問題的思考��,去想一些解決方案���,本身我們很了解這個問題。我們?nèi)ニ伎荚趺磶椭髽I(yè)解決這些問題����。我們剛剛也可以看到,數(shù)據(jù)時代我們整個業(yè)務(wù)形態(tài)都在發(fā)展改變����,傳統(tǒng)的一些安全解決方案,已經(jīng)無法滿足現(xiàn)在的一些需求了����。第三我們的一些思考,我們看一下���。
新的解決方案���,我經(jīng)常講的一句話�,不是說你一個企業(yè)要解決問題��,就買各種防火墻����,我們可以看到核心的需求我要了解企業(yè)安全問題,基于這樣一個核心需求�����,我們的一些方法首先我們搭建一個平臺����,然后我們把我們的強大的社區(qū),接入進來�。第三我們能夠說,企業(yè)的話��,他們可能不太擅長安全�����,我們把安全做得足夠簡單�,一鍵就可以接入���。首先搭建平臺我們主要做的事情,我們連接我們?yōu)踉破脚_最優(yōu)秀的白帽子安全專家�����,把他們的安全能力輸送給更多的企業(yè)��。我們可以看到這是我們社區(qū)的支持����,我們有大概兩萬名的白帽子����,我們有數(shù)十萬的安全漏洞積累,第三個我們這樣一個社區(qū)有能力根據(jù)全球的安全事件進行一個實時的預(yù)警��。
企業(yè)接入這塊我們希望能夠給企業(yè)帶來什么東西呢�����?我們能夠幫這個企業(yè)�����,比黑客更提前發(fā)現(xiàn)安全風(fēng)險;第二個我們依賴于這些風(fēng)險數(shù)據(jù)能夠幫助企業(yè)持續(xù)提升體驗���;第三個我們基于數(shù)據(jù)的管理�,能夠指導(dǎo)企業(yè)在內(nèi)部中安全建設(shè)的時候��,有一些實際的一些建議����。
我要講的就是這些,謝謝大家��!
