阿里云计算研究员吴翰清发表演讲
站长之家Chinaz.com 12月4日消息,以“创新、融合、发展”为主题的第二届中国地方与行业网站峰会将于2010年12月4-5日在杭州海外海国际会展中心举行,3000多名来自互联网各界的从业人士、站长、媒体与嘉宾参加了本次盛会,站长之家作为大会合作媒体参与了全程报道。
以下为引用内容:
各位站长、各位来宾大家下午好,今天我演讲的题目是“麻烦的终结者”,我觉得安全问题对于中小站长来说并不是业务发展上的重大阻力,并不是迈不过去的难关,安全问题更多的像是一种麻烦,非常讨厌,但是你又不得不去解决它,就像你的牙疼,你吃不下饭,睡也睡不香,所以这是非常令人头疼的,所以是一个麻烦的终结者。
我这个人特别怕麻烦,但是每当出现的时候,就意味着有麻烦出现了,所以我就会尽我的全力,把这些麻烦在尽量短的时间内解决掉。
首先自我介绍,我叫吴翰清,来自阿里巴巴集团信息安全中心,我是西安交通大学少年班毕业,2000年开始进行网络安全研究,有十年工作经验。
在05年加入阿里巴巴,先后负责阿里巴巴、支付宝、淘宝的安全评估工作,包括帮他们建立应用安全的体系化,现在我主要在阿里云负责云计算安全以及全集团应用安全和反钓鱼、反欺诈工作。
今天网站面临很多威胁,有各种各样威胁,有人在网站说发反动信息,美女的U盘丢了,隐私可能受到威胁,今天中小网站面临这些威胁也是我们曾经遇到过的。
淘宝、阿里巴巴、支付宝、阿里云、雅虎中国,这些网站也是从小网站成长起来的,我们曾经遇到过的问题,也是中小网站明天遇到的问题,因为明天中小网站也必然成为大网站,当有一天我们的站长们打开他的网页,发现他的站已经打不开了,这个原因可能非常多,可能是硬件坏了、磁盘坏了,也有可能IDC机房网络断了,也有可能被拒绝服务攻击了,这完全有可能发生的。
这是我们昨晚刚录的一段视频,这是我们自己的一个本地网站,我们使用一个应用层工具,发现两三秒钟之后,发现这个网站打不开了,把这个工具停掉,网站立马恢复正常,这是完全可能发生的,这个漏洞就是上个月,11月一个安全的权威大会上有向个国外的安全研究者所演示的web server层的漏洞,这和传统攻击不一样,它工作在应用层,传统保护方案可能失效。
它的攻击条件非常简单,刚才用一台PC把网站打爆掉,我们事后曾经利用这个漏洞测试过一些朋友网站,发现威力非常强大,包括我们自己内网的办公系统,也是刚刚一把工具打开,网站马上宕机掉。这种威胁中小企业都面临着,我在03年也做过一个网站,做得非常大,我不知道什么原因,不知道谁在拒绝服务攻击我,我的网站持续打不开,之后这个网站再也没有打开过了,我心灰意冷,就没有想再开起来了。
在02、03年的时候,我们没有技术条件解决这种问题,但是在今天,我们完全有可能解决,在安全性上叫可用性的问题,包括业务连续性,我们要让网站一直活着,不能让它打不买。我们如何解决拒绝服务攻击,在我的前面陈波介绍他在弹性云计算里面有很多方案,包括安全域,包括分布式防火墙,包括弹性云的环境当中有很多网络设备来保护网络层抗拒绝服务攻击,拒绝服务攻击分两种,第一种是前面陈波提到的,在网络层,传统的SNP flan攻击,我们通过弹性云很多方案已经保护的很好。
另外一种是在WEB Server层,在应用层,可能存在拒绝服务攻击,这是今天整个互联网都很缺乏手段的方式,但是我们部门已经把它解决掉了。我们在Web server层定制一些模块,对Web server进行保护,有一些攻击我们会保护的,我们分析网络连接、频率个地域、客户端连接信息,最终进行判断。
你担心漏洞吗,其实漏洞跟风险有一定距离,漏洞先要有人使用,然后再成为一个风险,什么人会去使用漏洞,这其实是一个很大的链条,漏洞会给我们带来什么,我们可以看一下,这是本地的测试网站,我们演示一次入侵过程,这是一个SQL出入的漏洞,像这种黑客工具,在网站可以随便下载到,而且有很多不同版本。
我们的攻击者尝试了一下网站后台,路径是Admin,发现路径是正确的,入侵过程当中,很多是靠猜,我跟很多资深黑客都聊过,他们有大概30%是靠运气才能够拿到一个系统权限,通过注入这个漏洞,找到了系统管理员这张表,然后找到用户名,现在正在破解密码,这时候攻击者把16位的MD5值放在表上查,马上找到了对应的密码,然后登录进网站后台,但是现在还没有完,在后台还有一个能够上传图片的功能,这里又有一个漏洞,这里没有对图片类型做验证,所以攻击者直接上传,现在他已经拿到了一个后门,可以为所欲为。
可以浏览C盘目录,包括下载文件,攻击者上传一个页面,证明他入侵过,这就是一个漏洞引发的血案。
我们不得不担心漏洞,因为漏洞最终会形成很严重的风险,代码是人写的,程序员是人,不是神,只要人写的代码,必然产生漏洞,漏洞不能别消灭,但是可以被控制。
这是我从国内现在比较著名的一个网站,叫“乌云”,这是一帮安全研究者弄出来的网站,会收集各个站点的漏洞,会通报给厂商。在这个列表上,这是我昨天刚抓到的,列举八月份到十二三号的很多大网站漏洞,很多大网站榜上有名,有网易、有QQ、有凤凰网,还有百度、新浪,都榜上有名,所以说大网站也会出现漏洞,小网站当然也会。