章華鵬:好����,謝謝大家,我們下午好����,我是章華鵬,我不知道有沒有一些企業(yè)做過漏洞���。其實(shí)對烏云報(bào)出一些安全問題本身是一件好事���,至少這些問題沒有被黑客利用,而是被我們白帽子發(fā)現(xiàn)問題��,提交到我們這樣一個(gè)平臺��,而我們平臺會把這些問題���,給企業(yè)去修復(fù)�����,修復(fù)以后���,我們才會去發(fā)現(xiàn)問題的思路公開出來,給白帽子去學(xué)習(xí)�����,烏云其實(shí)就是這樣一個(gè)平臺����。
我做一個(gè)簡單的自我介紹,我自己本身也是烏云的白帽子�,也幫很多企業(yè)發(fā)現(xiàn)過一些問題,騰訊����、阿里都發(fā)現(xiàn)過很多高位問題����,我自己之前三年我在百度負(fù)責(zé)企業(yè)安全相關(guān)的事情����,然后自己也去做過百度的安全產(chǎn)品,就是百度�,我從今年開始來到烏云這邊主要負(fù)責(zé)唐朝安全巡航這樣一個(gè)產(chǎn)品,我給大家做一個(gè)簡單的介紹����。
我今天主要給大家分享,我們看到了成長型的一些互聯(lián)網(wǎng)的公司�����,它的一些安全問題到底是什么���?今天主要會從這三個(gè)方面做一個(gè)分享���,首先我們?nèi)タ匆幌拢瑪?shù)據(jù)時(shí)代成長型互聯(lián)網(wǎng)公司的現(xiàn)狀是什么��?基于這樣一個(gè)現(xiàn)狀,企業(yè)面臨的安全問題會有哪些�?當(dāng)我們面臨這些問題的時(shí)候��,依托于這樣一個(gè)的時(shí)代�����,我們會有什么新的解決方案的一些思考���。
首先我們看一下成長型互聯(lián)網(wǎng)的公司的現(xiàn)狀��,我們看到主要有三個(gè)特征�����,一個(gè)特征是說云端的基礎(chǔ)設(shè)施的接入��,第二個(gè)是數(shù)據(jù)的開放��,這其實(shí)是我們互聯(lián)網(wǎng)的本質(zhì)的東西����,第三是我們可以看到傳統(tǒng)行業(yè)都在做互聯(lián)網(wǎng)的轉(zhuǎn)型��,這是未來在中國傳統(tǒng)企業(yè)和互聯(lián)網(wǎng)企業(yè)一個(gè)大的趨勢。
首先我們來看云端基礎(chǔ)設(shè)施的接入��,它主要有哪些�?我們看一下它的特征,首先是數(shù)據(jù)源的多元化���,我們傳統(tǒng)文化大部分的數(shù)據(jù)從我們用戶的PC端進(jìn)行接入��,現(xiàn)在我們可以看到��,隨著移動互聯(lián)網(wǎng)的興起�����,我們可以看到�����,包括移動終端以及智能設(shè)備的物聯(lián)網(wǎng)包括車聯(lián)網(wǎng)�����,整個(gè)數(shù)據(jù)源一個(gè)多元化已經(jīng)呈現(xiàn)出來了��,這樣會導(dǎo)致一個(gè)問題���,數(shù)據(jù)的存儲邊界正在消失�。怎樣理解���,傳統(tǒng)我們會做數(shù)據(jù)安全��,更多考慮是說我們一些PC端數(shù)據(jù),甚至說用戶PC端的數(shù)據(jù)����,我們企業(yè)內(nèi)部的一些數(shù)據(jù)的安全。現(xiàn)在我們可以看到�,包括用戶的數(shù)據(jù),比如說你的手機(jī)上的通訊錄�����、短信甚至說你的照片���、視頻����,都已經(jīng)全部同步到云端,這個(gè)數(shù)據(jù)不僅僅是存儲在你的輿論終端包括PC端����,整個(gè)數(shù)據(jù)已經(jīng)到云端,這個(gè)數(shù)據(jù)到云端以后�,會導(dǎo)致整個(gè)數(shù)據(jù)存儲的邊界已經(jīng)消失,所有的數(shù)據(jù)在云端可以在每一個(gè)環(huán)節(jié)被使用到��。
第二個(gè)講數(shù)據(jù)的開放互聯(lián)��,這個(gè)其實(shí)是我們講到物聯(lián)網(wǎng)本質(zhì)的東西����,隨著成長型互聯(lián)網(wǎng)公司的興起,我們可以看到��,像烏云���,我們也是一個(gè)成長型的互聯(lián)網(wǎng)公司��,我們所擅長是一些安全方面的業(yè)務(wù)�����,我們會專注把這塊東西做好�����。我們一些服務(wù)器的管理運(yùn)維���,一些數(shù)據(jù)的存儲�����、處理��,這是我們不擅長的�,這些事情我們更愿意交給七牛做云存儲很厲害��,我們把這塊交給他們來做�,這樣我們做我們的事會更專注這樣我們在互聯(lián)網(wǎng)行業(yè)里面更有競爭力�����。我們會看到我們會有更多的數(shù)據(jù)的開放�。
第二個(gè)我們講開放以后,我們可以看到數(shù)據(jù)流變得更加復(fù)雜�,我烏云的數(shù)據(jù)并不僅僅存在烏云的自己數(shù)據(jù)的上,我的數(shù)據(jù)也可能在云端��,整個(gè)數(shù)據(jù)流會變得更加復(fù)雜。
第三個(gè)����,我們可以看到,傳統(tǒng)的一些企業(yè)���,已經(jīng)在向互聯(lián)網(wǎng)轉(zhuǎn)型��,我們可以看到兩個(gè)很典型的例子�。一個(gè)是P2P金融��,我之前看了一個(gè)數(shù)據(jù)�,到現(xiàn)在為止我們看到中國有千千家P2P金融企業(yè)正在做這樣的業(yè)務(wù)。第二個(gè)我們可以看到滴滴打車��、快的做的打車業(yè)務(wù)����,在兩年前我們很難想像打車,包括像金融交易我們把這些東西搬到互聯(lián)網(wǎng)上來�����。我們通過一個(gè)手機(jī)可以打到車���,通過一個(gè)手機(jī)可以做一些金融的投資�,或者做一些借貸的這樣的事情,在兩年前很難想像�,在近年來業(yè)務(wù)發(fā)展非常快�。
在三個(gè)背景下它會產(chǎn)生什么樣的問題呢?第一個(gè)云基礎(chǔ)設(shè)施的安全�����,數(shù)據(jù)都流向了云端基礎(chǔ)設(shè)施���,安全問題肯定是非常重要的�����,像我們?yōu)踉疲绻覀優(yōu)踉瓢褦?shù)據(jù)都存儲到這里�����,我們會擔(dān)心是否安全��。第二個(gè)我們數(shù)據(jù)開放帶來的安全問題����,我們上下游安全的問題��,也是我們會關(guān)心到的�,因?yàn)槲覀兊臄?shù)據(jù)已經(jīng)到那邊去�����。第三個(gè)傳統(tǒng)企業(yè)在做互聯(lián)網(wǎng)轉(zhuǎn)型的時(shí)候����,他們會面臨很大安全需求的一個(gè)難題,怎么去解決這樣一些安全問題�����。
首先我們來看一下基礎(chǔ)設(shè)施的安全���,剛剛講到了在這樣一個(gè)背景下我們企業(yè)會做得越來越專注�����,我們在整個(gè)互聯(lián)網(wǎng)生態(tài)圈里面����,我們擅長只是其中的一個(gè)環(huán)節(jié),比如說我們很擅長安全�。那云作為互聯(lián)網(wǎng)基礎(chǔ)設(shè)施會承載越來越多的數(shù)據(jù),像我們成長型的互聯(lián)網(wǎng)公司�,我們會把我們不擅長的技術(shù)交給云服務(wù)商他們做這些事情。同樣我們把數(shù)據(jù)存儲在云端以后����,我們也很關(guān)心基礎(chǔ)設(shè)施安全是什么。這樣就會導(dǎo)致云基礎(chǔ)設(shè)施��,提供他們會一個(gè)挑戰(zhàn)�����,數(shù)據(jù)集中化存儲���,導(dǎo)致它安全會變得更加重要���,是一個(gè)非常重要的屬性。因?yàn)樗械奈覀兦腥氲钠髽I(yè)都很關(guān)心�����,我們數(shù)據(jù)放在你這里是否安全����,我們數(shù)據(jù)放在家里的時(shí)候我們安全是我們負(fù)責(zé),當(dāng)然我們不會討論說這些問題���。當(dāng)我們把數(shù)據(jù)放在你們這邊以后����,會考慮云基礎(chǔ)設(shè)施的安全問題是不是得到解決��,是不是很安全�。
首先我們來看一下我們在烏云看到的一些實(shí)際的做法。某互聯(lián)網(wǎng)公司用戶密碼修改導(dǎo)致用戶的瀏覽器的一些數(shù)據(jù)�����,包括像用戶的通訊錄還有短信��,甚至通話記錄的泄漏�。看的標(biāo)準(zhǔn)我們就知道��,這是一個(gè)非常嚴(yán)重的安全問題��,就是一個(gè)云存儲的基礎(chǔ)設(shè)施的安全����。我們來看一下漏洞的細(xì)節(jié)���,很簡單我們在烏云平臺經(jīng)常看到的漏洞���,就是一個(gè)簡單的邏輯的越權(quán)���,導(dǎo)致賬號米木的重置。這樣1億用戶賬號密碼都是可以被另一個(gè)人重置��。我們看一下具體的漏洞��,其實(shí)就是很簡單找回賬號密碼的邏輯���,我相信任何一個(gè)互聯(lián)網(wǎng)公司有自己賬號體系的互聯(lián)網(wǎng)公司���,都會有這樣的業(yè)務(wù)。用戶密碼不見了或者不記得了�����,需要去做一個(gè)找回密碼的操作����,找回密碼還要到郵箱發(fā)一個(gè)鏈接,這樣鏈接�����,對應(yīng)的數(shù)學(xué)碼對應(yīng)的賬號ID通過這個(gè)點(diǎn)擊進(jìn)去可以重置密碼���。白帽子發(fā)現(xiàn)修改QQID的時(shí)候�,我修改成別人ID的時(shí)候����,可以重置別人的密碼,這導(dǎo)致這個(gè)平臺所有用戶都為受到威脅��。
右邊我們可以看到���,備份的記錄�,包括手機(jī)短信���,通話記錄的任何信息都在里面�。我不知道在座的各位,男性朋友��,如果說你們的女朋友或者是老婆知道這個(gè)漏洞以后����,拿這個(gè)查你的通話記錄、短信你們會不會很緊張���,就這樣一個(gè)問題����。
我們可以看到��,它是一個(gè)云存儲的服務(wù)提供商���,用戶把數(shù)據(jù)���,都存儲到這個(gè)云端以后,因?yàn)樗贫说陌踩?�,?dǎo)致說����,用戶的數(shù)據(jù)一個(gè)泄漏�。
第二個(gè)主要是講短信云服務(wù)的數(shù)據(jù)安全����,也是某公司一個(gè)短信的服務(wù)配置,不斷導(dǎo)致云端所有的用戶信息泄漏����。而且是時(shí)時(shí)泄漏�,我們看一下具體的內(nèi)容。這也是一個(gè)非常普遍的安全問題�����,就是一個(gè)管理后臺的未授權(quán)方位����,直接導(dǎo)致白帽子或者黑客通過這樣一個(gè)管理后臺,可以看到短信服務(wù)發(fā)出的所有短信記錄�����。我們知道��,今天我們?nèi)プ鋈魏尉W(wǎng)站的注冊或者是密碼修改甚至是銀行的一些交易�����,一些關(guān)鍵的信息,比如說我們短信驗(yàn)證碼����,甚至我們的密碼都會通過這個(gè)短信進(jìn)行發(fā)送,如果說云端的短信服務(wù)提供商�����,它的短信記錄全部被泄漏出去���,不僅說短信信息內(nèi)容泄漏��,另外我們可以看到�����,同樣還存在一些其他的安全問題�。比如說Sql注入��,直接可以導(dǎo)致數(shù)據(jù)庫所有信息都會泄漏出去�����。也許說你今天拿手機(jī)注冊了一個(gè)網(wǎng)站,你的密碼剛剛注冊完以后就被黑客知道了��,拿這個(gè)密碼可以登錄你的賬號���。
第三個(gè)我們講的是云引擎數(shù)據(jù)安全問題����,這個(gè)的話����,我們看到國內(nèi)做一個(gè)云心情的工作���,比如像百度����、新浪甚至京東都做這樣一些服務(wù)��,看到這些標(biāo)題是說�,系統(tǒng)文件,其實(shí)像它這樣一個(gè)業(yè)務(wù)�,簡單介紹一下����,它通過一個(gè)數(shù)據(jù)搭建這樣一個(gè)容器�����,這個(gè)容器里面����,可以運(yùn)行自己的代碼�,搭建自己的網(wǎng)站。通過自己把代碼部署以后���,通過它分配的一些運(yùn)營���,其他用戶可以訪問到,這是一個(gè)很簡單的應(yīng)用�����。
我們看一下這個(gè)漏洞具體的情況是什么樣子的����,其實(shí)就是這個(gè)漏洞主要是利用了文件壓縮的特性,導(dǎo)致說����,在云端進(jìn)行代碼部署的時(shí)候�,能夠繞過這個(gè)沙盒去讀到同樣在這里面的其他用戶的文件數(shù)據(jù)����。我們可以看到,首先就是說��,就是一個(gè)壓縮����,我們首先創(chuàng)建一個(gè)鏈接我們把一個(gè)文件鏈接到系統(tǒng)的文件,因?yàn)樯澈欣锩嬷幌拗颇骋粋€(gè)用戶訪問自己的指定目錄的代碼文件�����,通過我創(chuàng)建這樣一個(gè)鏈接���,我可以鏈接到系統(tǒng)服務(wù)器上任意一個(gè)文件。我把這個(gè)鏈接的文件存儲到這個(gè)壓縮包以后�,壓縮到這個(gè)壓縮包里面上傳代碼的時(shí)候,會有一個(gè)壓縮的操作�,這個(gè)文件就會鏈接到你服務(wù)端的穩(wěn)健下去。這樣我們就可以讀取到系統(tǒng)的任意文件�。我可以讀取到引擎所有其他用戶的代碼。就這樣一個(gè)問題�����。
上面講的都是所有我們關(guān)于云基礎(chǔ)設(shè)施安全問題�,其實(shí)這樣的問題,在我們?yōu)踉破脚_上還有非常多�,這里面只是找一些很簡單的例子給大家看一下���。
第二個(gè)我們講一些數(shù)據(jù)開放所帶來的安全問題��,首先進(jìn)入我們剛剛也講到了由于數(shù)據(jù)開放會導(dǎo)致我們的數(shù)據(jù)已經(jīng)不僅僅是在你自己業(yè)務(wù)范圍內(nèi)���,而且是我們整個(gè)數(shù)據(jù)流整個(gè)過程安全問題都會影響到你數(shù)據(jù)的安全。我們看一下具體的例子���。
這是一個(gè)典型的電子商務(wù)合作聯(lián)盟的漏洞�����,因?yàn)檫@個(gè)漏洞可以直接影響到50萬網(wǎng)站組的信息����,包括訂單的數(shù)據(jù),包括自身賬號����、密碼,甚至廣告一些的投放的操作���,都可以被受影響����。我們可以看到一個(gè)后臺�,就是說其實(shí)這也是一個(gè)在我們總烏云平臺和我們?yōu)踉屏硗庖粋€(gè)產(chǎn)品叫做烏云重策,我們看到漏洞的數(shù)據(jù)看���,現(xiàn)在幾乎占到所有漏洞的大概三分之一����,我們可以看到說��,也是這樣一個(gè)漏洞�����,我們通過一個(gè)用戶名�����,其實(shí)這個(gè)用戶名很有意思�����,我們的一些白帽子��,它會去拿一些中國常用的一些用戶名����,像李明、李強(qiáng)����、張三、李四����,這樣一些中國人使用人名,我拿最常用的用戶名配合一些很簡單的口令��,123456這樣的一些密碼做口令的嘗試�����,這就是一個(gè)很簡單的例子,也是一個(gè)非常常用的賬號����。然后密碼123456更簡單了,通過這樣一個(gè)簡單的賬號密碼�����,直接登錄到這樣一個(gè)后臺��,我們可以看到右邊有廣告組的郵箱��、訂單數(shù)�����、訂單金額����、傭金數(shù)左邊像資源管理、財(cái)務(wù)管理��、廣告組的管理���,相當(dāng)于你作為一個(gè)接入方�����,電商網(wǎng)站你接入到這個(gè)平臺以后�,你很核心的訂單數(shù)據(jù)在第三方的平臺會遭受到影響����。我可以隨時(shí)知道你訂單的數(shù)據(jù)、信息���、金額���。其實(shí)這個(gè)漏洞對于你自己平臺沒有問題,不是從你自己平臺把數(shù)據(jù)泄漏出來�����,而是你的數(shù)據(jù)流向第三方平臺以后�,導(dǎo)致了這樣一個(gè)安全問題。
第三個(gè)我們講傳統(tǒng)企業(yè)互聯(lián)網(wǎng)轉(zhuǎn)型的安全問題�,首先我們可以看到說,不管是說P2P金融也好�����,現(xiàn)在興起的一些從傳統(tǒng)的企業(yè)向互聯(lián)網(wǎng)轉(zhuǎn)型的行業(yè)里,我可以看到有兩大比較大的特征�����。像滴滴��、快的這樣用戶數(shù)用戶規(guī)模特別大�,另外像P2P金融行業(yè)業(yè)務(wù)非常敏感,都涉及到金融的交易����,對打車行業(yè)也是很敏感。如果每天你從哪里打車到哪里��,這個(gè)數(shù)據(jù)泄漏出去����,別人很容易知道你家在哪里,你在哪里上班�,作息時(shí)間大家都知道。
另外一個(gè)我們可以看到一個(gè)很典型的問題���,傳統(tǒng)的企業(yè)���,他們對于互聯(lián)網(wǎng)的安全問題,并不熟悉��。另外一個(gè)�����,安全人才的稀缺���,我們知道在我們的品大概有兩百萬個(gè)白帽子中國技術(shù)人員不低于兩百萬����。作為成長型向傳統(tǒng)行業(yè)向互聯(lián)網(wǎng)轉(zhuǎn)型的企業(yè)來說的話���,更難招到一些靠譜的人才����。
我們可以看到���,這個(gè)是我們在烏云搜索P2P行業(yè)的安全問題記錄����,我可以看到大多數(shù)這里一頁都是2015年8月份的漏洞,我們可以看到主要從2014年到2015年P(guān)2P行業(yè)的興起的時(shí)間比較符合�,我們可以看到這個(gè)時(shí)間,P2P行業(yè)嚴(yán)重的漏洞�����,大概有279條��,這個(gè)數(shù)據(jù)相比其他行業(yè)來說����,是一個(gè)更加嚴(yán)重的數(shù)據(jù)。而且這里面所對應(yīng)的安全問題�,都是非常嚴(yán)重的。我們可以看到�,用戶的密碼重置,導(dǎo)致用戶的數(shù)據(jù)泄漏�,像漏洞打包,特別多漏洞�����,就隨便一看就是漏洞���,然后是密碼重置�,都是非常嚴(yán)重的漏洞。
翼龍貸某站未授權(quán)����,導(dǎo)致十幾億的資金缺失。我們看到一個(gè)真實(shí)的數(shù)據(jù)��,也許是它自己造假的數(shù)據(jù)�����,我們可以看到一個(gè)十幾億的資金�。從這樣一個(gè)平臺我們可以看到���,查詢各地區(qū)的放款總量���,數(shù)據(jù)的體系,所有的用戶信息��,每日的信息統(tǒng)計(jì)�����,線上的充值����,這部分大家都特別喜歡���。其實(shí)這個(gè)漏洞也是一個(gè)特別簡單的漏洞,就是一個(gè)后臺未授權(quán)訪問�����,直接導(dǎo)致它有這樣一個(gè)域名�����,它不對外公開���,但是它對外可以訪問�����,但是并沒有告訴大家���。我們的白帽子可以直接通過一些途徑找到這樣一些域名,通過一些管理后臺的識別����,直接找到這樣后臺�����,進(jìn)入這個(gè)后臺以后����,不需要任何技術(shù)含量���,可以向你們公司、老板����、管理人員對你們后臺數(shù)據(jù)進(jìn)行任何操作。我創(chuàng)建一個(gè)賬戶��,就可以在賬戶里面隨意輸入金額��。
前面是我們看到的互聯(lián)網(wǎng)企業(yè)存在的一些安全問題�,來之前我也找了一些現(xiàn)場的企業(yè),我們看了一下隨即挑了兩個(gè)企業(yè)�,可以看到400多個(gè)安全問題,將近200多個(gè)安全問題�����。在這里我從檢測的數(shù)據(jù)來看在場大部分企業(yè)都是存在高危安全問題。
最后講一下�,我們針對這么嚴(yán)重的安全形勢,我們對于安全問題的思考�����,去想一些解決方案����,本身我們很了解這個(gè)問題。我們?nèi)ニ伎荚趺磶椭髽I(yè)解決這些問題��。我們剛剛也可以看到�����,數(shù)據(jù)時(shí)代我們整個(gè)業(yè)務(wù)形態(tài)都在發(fā)展改變�����,傳統(tǒng)的一些安全解決方案�����,已經(jīng)無法滿足現(xiàn)在的一些需求了。第三我們的一些思考�,我們看一下。
新的解決方案�����,我經(jīng)常講的一句話�,不是說你一個(gè)企業(yè)要解決問題,就買各種防火墻���,我們可以看到核心的需求我要了解企業(yè)安全問題�,基于這樣一個(gè)核心需求���,我們的一些方法首先我們搭建一個(gè)平臺,然后我們把我們的強(qiáng)大的社區(qū)�,接入進(jìn)來。第三我們能夠說�,企業(yè)的話,他們可能不太擅長安全����,我們把安全做得足夠簡單,一鍵就可以接入��。首先搭建平臺我們主要做的事情,我們連接我們?yōu)踉破脚_最優(yōu)秀的白帽子安全專家���,把他們的安全能力輸送給更多的企業(yè)���。我們可以看到這是我們社區(qū)的支持,我們有大概兩萬名的白帽子����,我們有數(shù)十萬的安全漏洞積累,第三個(gè)我們這樣一個(gè)社區(qū)有能力根據(jù)全球的安全事件進(jìn)行一個(gè)實(shí)時(shí)的預(yù)警�����。
企業(yè)接入這塊我們希望能夠給企業(yè)帶來什么東西呢�����?我們能夠幫這個(gè)企業(yè)����,比黑客更提前發(fā)現(xiàn)安全風(fēng)險(xiǎn);第二個(gè)我們依賴于這些風(fēng)險(xiǎn)數(shù)據(jù)能夠幫助企業(yè)持續(xù)提升體驗(yàn)��;第三個(gè)我們基于數(shù)據(jù)的管理�,能夠指導(dǎo)企業(yè)在內(nèi)部中安全建設(shè)的時(shí)候����,有一些實(shí)際的一些建議��。
我要講的就是這些���,謝謝大家�!
