【亿邦动力讯】8月2日消息,在2018思路零售数字化服务大会上,丁牛科技CEO姜海发表了题为《黑客视角看电商》的演讲。他指出,信息化程度越来越高,线上交流的方便性也越来越好。黑客攻击也有变化,由原来的单打独斗、自己找漏洞的方式慢慢向集团化抱团取暖方式来进入。而针对这样的变化有两个最重要的问题。第一,如何比攻击者更快的发现漏洞,降低自己的风险,而提高他们的攻击成本。第二,能否有方法及时获取攻击技术,知己知彼。
据悉,大会以“赋能”为主题,由亿邦动力网、思路网主办,本届大会将从红利市场、数字场景、数字营销、数字供应链、数字零售服务对接、跨境电商服务对接等多个主论坛和分论坛切入,带领企业洞察进化方向。
丁牛科技CEO姜海
温馨提示:本文为速记初审稿,保证现场嘉宾原意,未经删节,或存纰漏,敬请谅解。
以下是演讲实录:
姜海:大家好!我是丁牛科技的姜海。昨天8月1日建军节,一个特殊的日子,曾经也是我的节日,我就是一位老兵。21年的军旅生涯,我一直在做一件事情就是国家的网络安全。老兵不死,离开单位以后我和原单位的网络安全技术专家,还有清华大学、国防科技大学博士、白帽团队的创始人,我们一起成立了丁牛,丁牛就是庖丁解牛,我们希望用庖丁解牛的技术来解决网络安全的问题。
丁牛的安全创始团队曾经多次承担国家和军队重大科研项目和重大安保任务。我们今年带着高校学生第一次参加了XCTF的全球挑战赛,并取得了第13名的成绩。21年的工作与黑客打了20多年的交道,对黑客也很了解,今天从黑客视角来分析一下。
黑客怎么看我们的电商,首先是信息收集,然后是自动化扫描,这两个阶段是相对比较普通的,利用自动化的工具就可以做的。第三个环节就是逻辑漏洞的挖掘,这块是我们最关注的。我们的业务逻辑设置往往在这个地方被他们薅了羊毛。下面是利用前面找到的这些漏洞,我们看怎么去利用它,黑客会采用什么样的方法。比如说在这个地方可以获取到比较敏感的用户数据、订单数据和最终的数据库,这是他们利用漏洞的一些方式。
今年一个海外代购网站的澳大利亚分站曝出的几百万订单信息泄露,就是使用了不安全的网络。最后一步,内网渗透则需要比较高级的技术,只有少数高级的黑客能够做到这一步,这一步如果被他们做穿的话,我们所有的东西就一览无余了。而如果真的很不幸遇到这样的黑客,对你实施了一系列攻击,第一时间联系我们,让我们帮你解决网络安全的问题。
下面分享一个案例,是如何通过公开漏洞来实施高效自动化攻击的例子。首先,黑客会找一些电商平台经常使用到的框架,找一找有没有最新曝出公开的漏洞。2018年6月14日刚刚曝出一款CMS的漏洞,CMS通常是在搭建电商平台的时候会使用到的一些成熟的框架或者是模板,在座的各位有必要关注这个漏洞,这款CMS在全国的市场占有率70%。我们经常会使用一些搜索,去搜索我们想要的答案,黑客也有自己的搜索引擎,他们利用自己的搜索引擎可以搜到我们一些机器、服务,包括IP。这里,我们也利用这样的搜索引擎来搜索这款CMS在全球的部署情况。在国内有25000多家企业部署了这款CMS,在国外的覆盖率也非常高。通过这个搜索可以得到所有的真实IP,这些IP就是下一步可以做到打击的目标。黑客使用自动化成熟的工具,结合内部漏洞就可以实施自动化、批量化处理。
你可能会想,可能黑客不会盯上我,不会瞄上我来干,为什么这么巧专门来攻击我。但实际上可能你想多了,他们有时候在使用自动化和批量化攻击的时候,不知道你是谁,也许不需要知道你是谁,只是用这样的攻击方式刚好扫到了你。今年7月刚曝出了最大的信息泄露事件,某快递公司上亿条的快递信息泄露,类似这样的事件只要随便一搜就搜到很多。上千万损失的数据泄露事件屡见不鲜。但是《网络安全法》出台给我们强制性的要求,对黑客提出了明确法律的界定和惩罚机制、措施。尤其做电商平台和用户信息打交道的各位老板也有必要关注一下《网络安全法》,因为不仅限制了黑客对我们实施攻击他的罪行,同时也对我们自己应该有效保护用户的数据提出了要求。看到两个案例都是去年《网络安全法》刚刚颁布的时候就发生的,因为没有实施对自己系统很好的防护,导致黑客利用我们的弱点对我们实施攻击,导致我们自己也要承担责任。
为什么会有这么多的攻击,为什么法律的约束仍然让黑客还要铤而走险?因为黑产。黑客是黑产当中的第一个环节,也是我们遇到最头疼的环节。黑客拿到数据之后他会首先找数据中间商做转销,数据中间商对数据的分类和清洗非常精细。甚至无法想象,他们比一个专业大数据分析公司对数据的分类和清洗还要精细。用户名、密码、信用卡、手机、身份证信息等等这些他们会分类分批次的销售,剩下的数据会打包统一出售。黑产这些年的发展分工非常精细,涉及到15个工种、150万人参与,交易规模达到千亿。千亿规模是我们很多行业都希望达到的规模,而黑产就达到这样恐怖的规模。
我们梳理了一般用户购物的流程,涉及到很多电商平台的流程和环节,这些环节可能都存在漏洞。下面我们来说说都有什么样的漏洞以及黑客如何利用这些漏洞。登录是整个网站第一个入口,也是黑客第一道门,在这个时候黑客会采用什么方式?你可能听过听过一个词叫“撞库”,“撞库”是什么意思呢?举个例子,比如我手里有一个钥匙,溜进了一个小区,小区每个住户都可以当作一个线上平台,我用这样的钥匙一个一个去试,直到找到一把钥匙,这个逻辑很简单。但架不住这些年数据泄露情况很严重,一般的黑客手里都掌握了几十亿数量的用户名和密码信息。这个弱点就是“撞库”最基本的敲门砖,黑客用手里的用户名和密码的信息去尝试登录不同的网站。这样“撞库”的成功率大概在3%。我想说这3%的概率虽然不高,但是千万不要小看,因为数据的统计显示每年美国因为3%的概率会损失60亿美金。
现在的平台大家都增加了验证码机制来限制撞库的方式,黑客也在进步,新一代的验证码技术他们也在研究,包括利用机器学习的方式来实现自动化验证码识别。
支付环节是利益最集中的环节,也是黑客最关注的环节,在这个环节黑客脑洞非常大,主要针对的是我们的业务逻辑。看一下他们的脑洞有多大:修改支付价格、修改支付状态、修改优惠券的数量和金额等等,在这个环节攻击手法有十几种。
举两个例子:第一,我在某电商平台的账户有一千元,想买两百元的商品,把这个商品放在购物车提交,在支付环节我通过抓包方式来修改,把两百元修改成负的两百元,就是一千加上两百元,账户不仅没有少,反而多了。第二,他们如何操作修改购买数量,挑选两个商品,一个商品100块,一个商品99块,这两个商品的价差非常小。如何操作?还是一样把它放入购物车提交订单支付,100块钱的商品付款数量为1,99块的商品付款为负1,在合计金额的时候,成功用两个商品的价差1元买到了商品。而这个环节要提醒各位的最多是业务逻辑漏洞。
刚才看到整个购物流程所有环节中可能出现的漏洞,也希望给到大家一些安全的建议,如何做安全防护,如何调整自己的业务逻辑,起到比较好的安全效果。把所有环节当中一些安全建议做成安全手册,比如登录的时候如何防止黑客撞库,浏览商品的时候如何防止越权查看信息,订单系统如何防止花式刷单。
接下来讲讲我眼中的黑客。我们看到黑客是如何实施攻击的,那些是比较常见的和我们信息相关的一些业务,比如经常听到薅羊毛、抓包这样的情况。但是黑客也有他自己一些体系化思想和成长的方式。
除了从公开漏洞寻找有没有可能找到公开的漏洞来实施像刚才演示的小例子,以这样的方式去攻击。黑客也有其他的方法,比如流量劫持、手工测试、调阅文件等等这些常见的方法。甚至会不惜重金从暗网购买内容来进行攻击,如果还不行的话,那该怎么办呢?他们仍然不会死心,会转变思路,会尝试从你的员工,从你的管理体制当中去寻找有可能渗透的脆弱点。一些极端的黑客甚至会包装自己的学历,包装自己的经历,作为网络安全技术从业多少年职业的形象到你的公司去应聘,打入你的公司,打通对外的通道,而他在你的公司上演真实版的电商安全“无间道”。
此外,信息化程度越来越高,线上交流的方便性也越来越好。黑客攻击也有变化,由原来的单打独斗、自己找漏洞的方式慢慢向集团化抱团取暖方式来进入。尤其最近几年对网络安全技术讨论越来越多,很多人愿意共享对于网络安全技术的分享和思路,越来越多人编写自动化的攻击工具或者是扫描工具。这些都极大的降低了黑客入门的门槛,而且极大的缩短了黑客成长路径。想想我当时刚刚从事网络安全行业的时候,要找一些资料,比如十几年前要找缓存漏洞、溢出的漏洞方法是相当困难,那时网络也不发达,而且相关资料也很少。但现在只要在网上搜索几个关键词会有一大批的消息告诉你。黑客的年龄也越来越低,我有一位朋友,就是“少年出道”的典范,13岁时候QQ号被盗了,一气之下他就出道了。他不断学习网络安全技术,特别擅长刚才提到的业务逻辑漏洞,大家都叫他“逻辑帝”。后来他技术越来越精湛,成为了国内知名的白帽子团队的创始人,现在他是丁牛科技的一员。
看到了黑客的巨大利益,黑客的体系化和攻击方法,所有入口去尝试有没有脆弱点、有没有可能进入的方式。在真正去做防护的时候,做安全防护要做得好是一件非常困难的事情。黑客每天都在变,他们每天都在想着如何挖到最新的漏洞,他们每天都在琢磨怎么样去实现最新的攻击技术。他们是一帮对技术有极强驱动力的人,面对这样的情况我们应该怎么办?我们要搞清楚情况本质问题在哪。漏洞是因为自身设计的缺陷导致,有没有从内部在系统上线之前做很好的检测来降低自己的风险,数据统计显示,做一个深度的、全面的检测,可以有效的抵挡90%的攻击。
风控策略问题,面对正常的客户设计了很多策略,而黑客每天都在琢磨我们的策略设计的是什么规律,能否有可能绕过,因为我们不了解最新的攻击技术,所以我们没有办法对黑产和黑客形成有效的打击。
后台流量神器拦住了很多恶意客户,但是你不知道还有多少你没有拦截到,这些问题的本质是因为我们不了解最新的攻击技术。
针对这样的变化应该采取什么措施?有两个最重要的问题,核心就是速度。第一,如何比攻击者更快的发现漏洞,降低自己的风险,而提高他们的攻击成本。第二,能否有方法及时获取攻击技术,知己知彼。基于以上考虑,我们希望利用人工智能的方式解决最快的检测和最及时的更新学习的问题,所以打造了基于人工智能的网络安全检测系统“智人”,它凝聚了丁牛安全团队检测经验和知识,智人内置的动态分布式爬虫机制可以帮助我们检测每一个漏洞隐患点,黑客懂的攻击技术他也懂,黑客忘的他不会忘,内置数千种检测功能和精准验证机制可以提高每一个漏洞检测的准确度。全天候在线服务可以帮助我们盯着系统每一个微小配置变动和功能迭代可能暴露出来的问题。
举个例子,一个正常的网站需要3个高级安全人员平均3天做一次检测,而智人只需要两个小时。同时,丁牛科技也打造了自己的安全众测平台“知守”,它汇聚了上百名白帽子,每天为企业提供安全贡献,就像AlphaGo通过和自己对弈提高下棋能力,智人每天通过知守平台学习最新攻击样本,迭代自己对攻击技术的认知,可以这样说,智人已经是丁牛的一个虚拟的安全专家和团队一起为企业做安全服务。
两年多的时间,丁牛科技参与了国家重大的安保任务,我们也承担了多项大型国企的安全测试和服务,为大数据企业、云平台、IDC服务商、电商平台等等不同的行业提供应急响应和安全技术的支撑,和北京邮电大学、广州大学建立了联合科研的机制,这些都保证了丁牛在这个行业中的口碑和对技术不断更新的能力。
丁牛的安全团队,创始团队曾经一直都在为国家和军队提供安全服务,而今天我们希望用曾经为国家提供的安全服务的技术来为企业安全赋能,谢谢大家!
