本文轉載自:雷鋒網
原文連結:http://www.leiphone.com/news/201606/rbi7widuqlk8hago.html
百度搜尋競價排名,滋養的最大産業可能并不是莆田醫院,而是很多三不管地帶,例如某些小衆行業。誰的關鍵詞排在第一,他的競争對手很可能會雇傭 ddos 把它打下來。這種生意組成了巨大的流量。
道哥把腳搭在茶幾上,為雷鋒網科普江湖的險惡。
【道哥 吳翰清】
這個資深黑客擁有諸多身份:寫“道哥的黑闆報”的“文藝網紅”;阿裡雲雲盾的負責人。在他心裡,第一個身份輕如鴻毛,第二個身份重若泰山。
保衛阿裡雲這個中國 35% 的網站都坐落其上的雲計算平台和上面的居民,道哥覺得自己守土有責,不容有失。探底黑産,描繪自己的作戰地圖,是他對自己職責要求的一部分。
他告訴雷鋒網一個秘訣:“想要知道中國的黑産有哪些行業,隻要看淘寶的禁限售闆塊就夠了。”ddos攻擊,敲詐勒索,暗網黑市,這些黑色産業,往往最終都會涉及到對阿裡雲上伺服器的攻擊。
站在他的角度看,這個世界充滿血雨腥風。
我們定義一個大的流量攻擊,一般是300g以上。實際上根據我們掌握的資訊,國内已經有組織可以打出一個t的 ddos 攻擊。而且,其中80%都是由同一個組織打出來的。這些組織的實際控制人大多都潛逃在國外。
驅動這些攻擊的原因非常簡單:錢。有人買就有人賣。道哥告訴雷鋒網,如今打出 10g 流量攻擊,隻需要幾百塊錢。
ddos 攻擊這個行業,最為經典的玩法是攻擊遊戲私服。由于私服本身具有違法性質,是以并不敢求助于警察,黑吃黑是行業的通則。2013年中國國家頂級域名“.cn”的根域名曾經被打攤,這件轟動一時的事件就是因為黑産攻擊誤傷了底層伺服器。
掌握巨大帶寬資源的黑客組織兩邊賺錢,一邊收人錢财替人攻擊,一邊敲詐被攻擊者謀取更高利益。他們甚至勾結 idc 機房,花錢買下機房所有的閑置帶寬,生意規模超出一般人的想象。
很不幸,所有拿熱錢的行業,都會被黑客盯上。p2p和網際網路金融就是本輪中槍的行業。
因為金融行業信譽非常重要,如果服務當機,就很有可能喪失使用者的信任,進而遭受擠兌,這可能會導緻破産。恰恰這個行業沒有很強的監管,有些涉及到私募或非法集資。這些都是黑客勒索的絕佳條件。
道哥講了黑産的兩種玩法
1、入侵 p2p 公司的伺服器,盜取使用者的資訊。把這些高價值的客戶資訊出售,由下家進行廣告和黑色推廣。 2、威脅 ddos 攻擊,敲詐勒索。如果妥協掏錢,過一段時間對方往往還會回來繼續勒索。
搞清黑客的目的,對于防禦至關重要。“根據判斷,下一個被黑産盯上的行業很有可能是直播行業。從現在的情況來看,這件事情已經發生了。”他說。
【某英文 ddos 敲詐信】
作為雲計算的信徒,道哥相信這種正在迅速攻城略地的計算變革,從某種程度上來說是安全的解藥。他舉了一個例子:
我曾經到網絡金融處參觀,他們的職能是監管各個銀行。在巨大的螢幕上,他們能夠實時監控各個系統有沒有出現漏洞。但是,他們隻能看到,卻無法迅速修補。因為它對應的1000多個業務主體,各自的系統模式都是不一樣的。 但是如果使用雲計算作為基礎,就可以統一 iaas 層,在很短的時間裡修複漏洞。
今年上半年,雲盾為雲上的幾萬個客戶共修複了46萬個漏洞。這個成績讓道哥頗為驕傲,他說在以前這不可想象。
縱然背靠阿裡雲,在和黑産的對抗中,防守一方也并不占優勢。他說:
很遺憾,攻擊者仍然走在前面。因為我我們還不能預測黑客下一步的動向。
這直接導緻了安全産品必須被動地等待攻擊發生,才可以采取“救火”行動。對于雲盾來說,從黑客暴露攻擊意圖,到攻擊被封堵,仍然有12個小時的周期。
黑産控制的網際網路攻擊如同疫情一樣,大多數情況下,被感染的主機都會繼續向周圍傳播惡意代碼。而面對以“光速”傳播的病毒,每一秒都至關重要。
2015年12月,有數千個客戶的雲伺服器對外瘋狂發包。雲盾緊急處置,發現黑客正在使用了一個弱密碼漏洞傳播惡意代碼。“幸虧這個漏洞在12個小時之内被修複,如果響應時間是24或48小時,就會造成更大的損失。”他說。
如果把網際網路的攻防簡化到一張地圖上,你可以看到無數漂浮于雲上的節點,黑産和安全人員拼盡全力争奪這些節點。
在如瘟疫一般擴散的惡意代碼眼裡,沒有大企業和小企業,隻有能夠攻下的伺服器和不能攻下的伺服器。
現在幾乎所有的安全公司都在服務頂端 3% 的大客戶,因為他們有充足的資源雇傭各種特種兵。但是很多并沒有很多安全預算的中小企業的死活卻沒人關心。
道哥覺得,雲盾應該為中小企業提供安全感。實際上物美價廉的解決方案隻有一種,那就是不需要耗費過多人工成本的軟體服務平台(saas),所謂優質的标準品。
接下來的問題就變成了:怎樣才能做出這樣的一個平台。
一個優秀的安全人員,可以通過分析網絡日志,找出伺服器被進攻的蛛絲馬迹,在黑産攻防版圖上拔掉敵人的一個據點。
但是對于道哥的雲盾來說,它面對着數以十萬計的雲伺服器,人工排查根本不是他的選項之一。如何把機器訓練成為安全專家才是解題方法。
一支火箭想要上天,其核心要素有兩個:發動機和燃料。機器學習很像一枚火箭,它的燃料是巨大的資料量,它的發動機是強大的計算能力。
對于阿裡雲雲盾來說,每天的增量資料是 300t,來自于阿裡雲客戶授權的全量資料。而計算資源,本身就是阿裡雲的巨大優勢。
結果是,雲盾通過純系統計算的方式,可以感覺到80%的入侵。道哥說,這個名額是同類系統的三倍。(其中的技術細節,可以參考雷鋒網的另一篇文章《阿裡雲雲盾葉敏:打造“機械戰警”》)
這個檢出率在某種程度上和人工檢查不相上下,道哥給出了一個場景:
如果一個客戶上傳了一個 webshell,如果安全專家分析全量的資料,可能要一周時間,現實情況中,往往不會這樣做。他們往往根據經驗,而不是完整的證據鍊條來判斷入侵。這種情況下就會出現失誤。而對于機器來說,它會分析全量資料,呈現出完整的證據鍊條。這樣的結果更加精準。
在成本和量級上,雲盾和人工沒有可比性。客觀來講,道哥在做的事情,離開阿裡雲很難複現。
由于雲計算服務商被政策強制要求保留六個月以上的曆史紀錄,是以在雲盾的大資料中,可以查詢任何一個ip在過去半年的行為。基于此,可以做出更多的關聯分析,例如:兩次攻擊事件之間的關系,一個黑産組織在盯着哪些伺服器等等。
如果說由各路黑客大神領軍的安全實驗室是特種兵的話,雲盾更像是一支常備部隊,保衛阿裡雲安全的基本态勢。
道哥自信地對雷鋒網說,雲盾面前并沒有明顯的技術困難。但是,鑒于阿裡雲隻掌握了三分之一的雲計算基礎資源,是以仍然有很多攻擊脫離阿裡雲的控制。在這種情況下,可用資料可能僅僅是一個 ip 的行為,在有限的資料下,如何利用計算能力,就成為了一個重點。
說來,很多人認識道哥,是因為喜歡他寫的“黑闆報”。
道哥的黑闆報”最早确實給我帶來了一些聲望。但我不是個作家。我希望的是做出一個好産品,讓産品代表我。
道哥如此解釋荒廢了自己在黑客界“估值頗高”的公衆号的原因。但是,這位黑客并不是生來就如此“任性”。
他為雷鋒網講了一段阿裡雲掌門人王堅的往事。
當時所有人都謠傳王堅博士要離開。
“糟糕”,是對阿裡雲最初兩年業績最廣泛的評價。作為阿裡雲的掌門人,王堅目睹兄弟部門已經磨刀霍霍,單等阿裡雲解散之後,瓜分兵馬糧草。
【原阿裡雲掌門人,現阿裡巴巴集團技術委員會主席王堅】
縱然相信雲計算未來一定會崛起,但是在遙遙無期的漫長等待面前,道哥終于扛不住,辭職了。出乎意料,王堅卻沒走。
他說他數次被逼到死角,退無可退,但是他真的沒走。他不僅一直堅信雲計算大有前途,還在一直不斷地投入自己的一切。馬雲不懂雲計算,但是最終他選擇相信博士這個人。
王堅的路上終于出現了第一個路标。阿裡雲用五千台計算機連接配接成一個巨大的伺服器,這就是5k項目。這個技術創舉一舉奠定了阿裡雲後來的江湖地位。
“王堅博士颠覆了我的世界觀”,道哥說,“當他邀請我回到阿裡雲的時候,我真正感覺到,這件事能成。”這種宗教般的使命感,讓道哥根本不在意他的“黑闆報”,一腔熱血死磕雲盾,才有了如上的全部對話。
回到這種使命感本身,該堅持堅持,該放棄放棄。做出選擇很簡單。
雷鋒網問道哥:“這個能代表你的産品就是阿裡雲雲盾嗎?”
道哥答:“我希望是。”
----------------------------------------------------------------
掃描下方二維碼,
關注阿裡雲安全官方微信