時(shí)至今日,云服務(wù)的價(jià)值已為眾多組織和機構肯定,業(yè)內利用云服務(wù)取得巨大成功的案例也愈來(lái)愈多,如WhatsApp、Pinterest、Mailbox等。然而不容忽視的是,規模的擴大及目標價(jià)值的增長(cháng)吸引了更多來(lái)自黑暗世界的目光,每起安全事件影響的惡劣程度亦是水漲船高。例如,今年代碼托管服務(wù)商Code Spaces由于被黑客惡意刪除全部數據而被迫關(guān)閉。為此,在A(yíng)WDC 2014期間,《程序員》雜志采訪(fǎng)了阿里肖力及大賽三等獎得主“香米”團隊,圍繞剛剛結束的ALICTF 2014(阿里巴巴安全技術(shù)競賽)對當下互聯(lián)網(wǎng)的安全形勢進(jìn)行了交流與探討。
互聯(lián)網(wǎng)安全現狀及發(fā)展趨勢
“阿里云盾每天都會(huì )幫助用戶(hù)攔截數億次的密碼暴力破解攻擊,每周2000起DDoS流量攻擊,最大攻擊流量超過(guò)300GB”,在討論中阿里巴巴安全部資深總監肖力表示,目前國內互聯(lián)網(wǎng)安全形勢非常嚴峻——只要服務(wù)器或網(wǎng)站在互聯(lián)網(wǎng)上開(kāi)放,就會(huì )遭遇密碼暴力破解、網(wǎng)站W(wǎng)eb攻擊、DDoS攻擊等。
同時(shí),單看DDoS攻擊,2013年阿里云每周攻擊數只有當下的四分之一,最大攻擊流量不超過(guò)100GB。然而僅僅一年時(shí)間,每天攻擊數就增長(cháng)了4倍,最大攻擊流量較去年往期更提升了3倍。
肖力指出,這種變化無(wú)疑意味著(zhù)在黑客攻擊能力提升的同時(shí),攻擊成本卻在不停下降。從而,在這種趨勢下,怎樣保護好云計算平臺及每個(gè)用戶(hù)的安全為服務(wù)提供商帶來(lái)了非常大的挑戰。
且談云模式下的挑戰和發(fā)展
對比傳統企業(yè)安全,肖力表示,云計算安全最大的挑戰就是要保護好每一個(gè)用戶(hù)的安全,這其中的差別就在于:傳統企業(yè)安全是保護自身,因此安全防御體系只需要針對一個(gè)用戶(hù)設計;而云服務(wù)可能有幾萬(wàn)甚至是幾十萬(wàn)個(gè)用戶(hù),每個(gè)用戶(hù)的系統、業(yè)務(wù)場(chǎng)景都不一樣,因此,安全防御體系要適應各種復雜的環(huán)境和業(yè)務(wù)是非常大的挑戰。
“例如DDoS檢測及防御,傳統的檢測防御思路可以解決99.9%的用戶(hù)安全問(wèn)題,也有可能誤殺了0.1%的用戶(hù)網(wǎng)站正常流量。但這對云服務(wù)來(lái)說(shuō)是完全不可接受的,因此在安全防御體系設計上也有更高要求,必須通過(guò)大數據的挖掘技術(shù),更加智能地分析,才能更好地解決每一個(gè)用戶(hù)遇到的攻擊場(chǎng)景。”
對于云服務(wù)提供商在安全領(lǐng)域所遭受的挑戰,肖力還認為,由于目前中小網(wǎng)站甚至大型網(wǎng)站缺乏專(zhuān)業(yè)的安全人員,所以在黑客面前,開(kāi)發(fā)者甚至各企業(yè)幾乎毫無(wú)還手之力,就如之前OpenSSL、Struts2等漏洞造成了大量網(wǎng)站被黑及用戶(hù)數據泄露。因此,服務(wù)提供商必須為用戶(hù)挑起這個(gè)擔子,盡可能的讓這些業(yè)務(wù)或網(wǎng)站免受安全問(wèn)題困擾,正如當下阿里云安全系統所為——每天幫助用戶(hù)攔截攻擊,遇到業(yè)內高危安全漏洞時(shí)第一時(shí)間進(jìn)行掃描,在發(fā)現存在漏洞用戶(hù)時(shí)及時(shí)通知并協(xié)助修補。
之所以會(huì )出現缺乏安全人員的情況,肖力將其主要歸結于安全人員所需具備的素質(zhì):首先,安全人員一定要對安全技術(shù)有足夠的好奇心和熱情,這是最重要的因素,因為當最新的漏洞被揭露,最新的安全技術(shù)及信息公布時(shí),安全人員必須主動(dòng)得去了解及學(xué)習;其次,非常高的知識面,因為安全往往會(huì )覆蓋技術(shù)的各個(gè)領(lǐng)域,而本次ALICTF 2014的出題正是基于這個(gè)考慮。
ALICTF 2014考量范圍
本次競賽共分熱身賽、資格賽、總決賽3個(gè)賽段,吸引了超過(guò)2000支以上的團隊參與,其中熱身賽和資格賽分別使用挑戰模式和解題模式,專(zhuān)業(yè)范圍覆蓋無(wú)線(xiàn)端安全、Linux內核安全、VPC網(wǎng)絡(luò )安全、數據保護安全、Web安全、逆向工程、安全數據分析、代碼安全等眾多領(lǐng)域。到了總決賽,阿里更選擇了對攻模式,對Web安全、逆向工程、網(wǎng)絡(luò )數據分析、LXC安全、Java安全五大技術(shù)領(lǐng)域進(jìn)行考校。被問(wèn)及出題思路,肖力表示,這次競賽出題方向和業(yè)內Defcon CTF比賽還是有區別的,一方面命題偏向于企業(yè)安全攻防所遇到的問(wèn)題,更偏實(shí)戰;另一方面此次出題都是基于阿里云計算平臺和云產(chǎn)品環(huán)境,例如針對云盾、VPC、ECS、OSS進(jìn)行的安全技術(shù)挑戰。
為了對本次大賽及國內高校大學(xué)生安全技術(shù)方面有更深入的了解,我們聯(lián)系到了本次競賽的三等獎得主,由3名同學(xué)組成的“香米”團隊。
“香米”看ALICTF 2014
“香米”團隊由鄭旻、傅裕斌和張凱組成,其中鄭旻是香港中文大學(xué)計算機系博士,傅裕斌和張凱分別來(lái)自杭電和浙大,前者負責做二進(jìn)制方面的逆向和攻擊,后者則從事Web方面的防護和攻擊。值得一提的是,鄭旻曾在騰訊、百度以及美國硅谷的FireEye實(shí)習。
回顧整個(gè)參賽歷程,鄭旻表示,在熱身賽階段,出題者給參賽者留出充足的時(shí)間用去解決一些開(kāi)放性問(wèn)題,主要考察參賽團隊的創(chuàng )新能力;預選賽是要求在規定時(shí)間內解決一些基本題目,主要考察參賽團隊在安全技術(shù)方面的基本功;總決賽階段是所有隊伍在真實(shí)環(huán)境下進(jìn)行安全攻防,主要考察團隊協(xié)作、應變和學(xué)習能力。
“區別于以往標的習題和作業(yè),雖然有一些奇思妙想,但是都以標準答案為主,八九不離十。但是在總決賽中,阿里云搭建了一個(gè)完完整整的實(shí)踐環(huán)境,每個(gè)人都要維護自己的服務(wù),真正的實(shí)踐環(huán)境就是這樣。平時(shí),大家都是在學(xué)校做題,這種實(shí)踐環(huán)境非常難得,讓我們知道如何去維護自己的服務(wù),并去尋找對方的漏洞。”在論及總決賽,鄭旻仍然回味無(wú)窮。
對于如何在總決賽中取得高分,鄭旻從防護和攻擊兩個(gè)方面進(jìn)行了分享:防護方面要保證自己的服務(wù)不被攻擊,比如要編寫(xiě)守護進(jìn)程保證服務(wù)的正常運行,并且要在沒(méi)有源碼的情況下給有漏洞的程序打補丁等;攻擊方面,要逆向分析別的隊伍服務(wù)中的漏洞,并寫(xiě)出相應的攻擊程序用來(lái)獲取其他隊伍的分數。而在攻防的同時(shí),還要分析網(wǎng)絡(luò )中的流量,通過(guò)分析流量包來(lái)獲取其他隊伍的的攻擊手段;同時(shí)在遇見(jiàn)一些前所未見(jiàn)的攻擊時(shí),同學(xué)們還必須現場(chǎng)搜索,可謂是現學(xué)現賣(mài),鄭旻分享說(shuō)。
多租戶(hù)模式下的系統安全變革
在被問(wèn)及云時(shí)代的安全挑戰時(shí),鄭旻表示,傳統的服務(wù)器安全包括物理、網(wǎng)絡(luò )、操作系統、應用四個(gè)層面。物理層面,無(wú)需多說(shuō),讓服務(wù)器更經(jīng)得住考驗;操作系統層面,例如Linux、Windows,管理員需要及時(shí)給系統打補丁,在沒(méi)有官方補丁的情況下,管理員還必須要自己定位并進(jìn)行相應的修復;應用層面,隨著(zhù)應用功能的豐富,必然會(huì )出現一些邏輯上的漏洞,因此你需要從這個(gè)方面進(jìn)行檢測;網(wǎng)絡(luò )層面,需要解決一些類(lèi)似DDoS類(lèi)型的攻擊。
此外,云服務(wù)器安全除了傳統的安全還多了一層云平臺安全。因為云服務(wù)是很多用戶(hù)的數據和程序都保存在同一個(gè)服務(wù)器,為了保證不同用戶(hù)之間的隱私安全,云服務(wù)采用沙盒機制來(lái)限制每個(gè)用戶(hù)的訪(fǎng)問(wèn)權限,因此如何保證沙盒的安全是云服務(wù)安全的重點(diǎn)。
從無(wú)到有,淺析移動(dòng)互聯(lián)網(wǎng)安全
鄭旻主攻的方向是移動(dòng)安全研究,在談及移動(dòng)互聯(lián)網(wǎng)安全時(shí)明顯更加津津樂(lè )道了。期間,他分享道:
“在前幾年的時(shí)候,各大傳統互聯(lián)網(wǎng)公司剛剛進(jìn)入移動(dòng)互聯(lián)網(wǎng)領(lǐng)域,在安全方面的防護幾乎為零,像明文傳輸用戶(hù)密碼之類(lèi)的漏洞屢見(jiàn)不鮮。隨著(zhù)這幾年的發(fā)展,大家的安全意識越來(lái)越高了,但隨著(zhù)App功能越做越多,難免會(huì )有邏輯上的設計缺陷,造成用戶(hù)隱私泄漏。另一方面,Android系統屢屢爆出嚴重安全漏洞,在A(yíng)ndroid 4.4以下的操作系統,黑客可以非常容易地獲取手機的控制權。互聯(lián)網(wǎng)公司應該多多鼓勵用戶(hù)升級手機系統,否則在不安全的系統上運行的任何程序都沒(méi)有安全可言。”
阿里巴巴安全技術(shù)競賽篇后語(yǔ)
對于A(yíng)LICTF 2014各個(gè)參賽團隊的表現,肖力表示,這次競賽聚集了當前全國校園最好的一批安全技術(shù)同學(xué),他們在比賽中展示了非常豐富的參賽經(jīng)驗,其中清華大學(xué)團隊在攻防對抗思路和經(jīng)驗方面尤其突出;同時(shí),通過(guò)這次比賽,他們還發(fā)現大部分參賽隊伍在更貼近企業(yè)安全需求的Java安全、網(wǎng)絡(luò )安全及大數據安全技術(shù)領(lǐng)域還是比較欠缺。
