乌云章华鹏:成长型互联网企业的数据安全

8月30日下午,由七牛公司主办的主题为“数据重构未来”的“七牛·数据时代峰会”在上海国际时尚中心继续举行。乌云章华鹏就成长型互联网的数据安全发表了自己的精彩观点,以下为现场实录:

 
章华鹏:
好,谢谢大家,我们下午好,我是章华鹏,我不知道有没有一些企业做过漏洞。其实对乌云报出一些安全问题本身是一件好事,至少这些问题没有被黑客利用,而是被我们白帽子发现问题,提交到我们这样一个平台,而我们平台会把这些问题,给企业去修复,修复以后,我们才会去发现问题的思路公开出来,给白帽子去学习,乌云其实就是这样一个平台。
 
我做一个简单的自我介绍,我自己本身也是乌云的白帽子,也帮很多企业发现过一些问题,腾讯、阿里都发现过很多高位问题,我自己之前三年我在百度负责企业安全相关的事情,然后自己也去做过百度的安全产品,就是百度,我从今年开始来到乌云这边主要负责唐朝安全巡航这样一个产品,我给大家做一个简单的介绍。
 
我今天主要给大家分享,我们看到了成长型的一些互联网的公司,它的一些安全问题到底是什么?今天主要会从这三个方面做一个分享,首先我们去看一下,数据时代成长型互联网公司的现状是什么?基于这样一个现状,企业面临的安全问题会有哪些?当我们面临这些问题的时候,依托于这样一个的时代,我们会有什么新的解决方案的一些思考。
 
首先我们看一下成长型互联网的公司的现状,我们看到主要有三个特征,一个特征是说云端的基础设施的接入,第二个是数据的开放,这其实是我们互联网的本质的东西,第三是我们可以看到传统行业都在做互联网的转型,这是未来在中国传统企业和互联网企业一个大的趋势。
 
首先我们来看云端基础设施的接入,它主要有哪些?我们看一下它的特征,首先是数据源的多元化,我们传统文化大部分的数据从我们用户的PC端进行接入,现在我们可以看到,随着移动互联网的兴起,我们可以看到,包括移动终端以及智能设备的物联网包括车联网,整个数据源一个多元化已经呈现出来了,这样会导致一个问题,数据的存储边界正在消失。怎样理解,传统我们会做数据安全,更多考虑是说我们一些PC端数据,甚至说用户PC端的数据,我们企业内部的一些数据的安全。现在我们可以看到,包括用户的数据,比如说你的手机上的通讯录、短信甚至说你的照片、视频,都已经全部同步到云端,这个数据不仅仅是存储在你的舆论终端包括PC端,整个数据已经到云端,这个数据到云端以后,会导致整个数据存储的边界已经消失,所有的数据在云端可以在每一个环节被使用到。
 
第二个讲数据的开放互联,这个其实是我们讲到物联网本质的东西,随着成长型互联网公司的兴起,我们可以看到,像乌云,我们也是一个成长型的互联网公司,我们所擅长是一些安全方面的业务,我们会专注把这块东西做好。我们一些服务器的管理运维,一些数据的存储、处理,这是我们不擅长的,这些事情我们更愿意交给七牛做云存储很厉害,我们把这块交给他们来做,这样我们做我们的事会更专注这样我们在互联网行业里面更有竞争力。我们会看到我们会有更多的数据的开放。
 
第二个我们讲开放以后,我们可以看到数据流变得更加复杂,我乌云的数据并不仅仅存在乌云的自己数据的上,我的数据也可能在云端,整个数据流会变得更加复杂。
 
第三个,我们可以看到,传统的一些企业,已经在向互联网转型,我们可以看到两个很典型的例子。一个是P2P金融,我之前看了一个数据,到现在为止我们看到中国有千千家P2P金融企业正在做这样的业务。第二个我们可以看到滴滴打车、快的做的打车业务,在两年前我们很难想像打车,包括像金融交易我们把这些东西搬到互联网上来。我们通过一个手机可以打到车,通过一个手机可以做一些金融的投资,或者做一些借贷的这样的事情,在两年前很难想像,在近年来业务发展非常快。
 
在三个背景下它会产生什么样的问题呢?第一个云基础设施的安全,数据都流向了云端基础设施,安全问题肯定是非常重要的,像我们乌云,如果我们乌云把数据都存储到这里,我们会担心是否安全。第二个我们数据开放带来的安全问题,我们上下游安全的问题,也是我们会关心到的,因为我们的数据已经到那边去。第三个传统企业在做互联网转型的时候,他们会面临很大安全需求的一个难题,怎么去解决这样一些安全问题。
 
首先我们来看一下基础设施的安全,刚刚讲到了在这样一个背景下我们企业会做得越来越专注,我们在整个互联网生态圈里面,我们擅长只是其中的一个环节,比如说我们很擅长安全。那云作为互联网基础设施会承载越来越多的数据,像我们成长型的互联网公司,我们会把我们不擅长的技术交给云服务商他们做这些事情。同样我们把数据存储在云端以后,我们也很关心基础设施安全是什么。这样就会导致云基础设施,提供他们会一个挑战,数据集中化存储,导致它安全会变得更加重要,是一个非常重要的属性。因为所有的我们切入的企业都很关心,我们数据放在你这里是否安全,我们数据放在家里的时候我们安全是我们负责,当然我们不会讨论说这些问题。当我们把数据放在你们这边以后,会考虑云基础设施的安全问题是不是得到解决,是不是很安全。
 
首先我们来看一下我们在乌云看到的一些实际的做法。某互联网公司用户密码修改导致用户的浏览器的一些数据,包括像用户的通讯录还有短信,甚至通话记录的泄漏。看的标准我们就知道,这是一个非常严重的安全问题,就是一个云存储的基础设施的安全。我们来看一下漏洞的细节,很简单我们在乌云平台经常看到的漏洞,就是一个简单的逻辑的越权,导致账号米木的重置。这样1亿用户账号密码都是可以被另一个人重置。我们看一下具体的漏洞,其实就是很简单找回账号密码的逻辑,我相信任何一个互联网公司有自己账号体系的互联网公司,都会有这样的业务。用户密码不见了或者不记得了,需要去做一个找回密码的操作,找回密码还要到邮箱发一个链接,这样链接,对应的数学码对应的账号ID通过这个点击进去可以重置密码。白帽子发现修改QQID的时候,我修改成别人ID的时候,可以重置别人的密码,这导致这个平台所有用户都为受到威胁。
 
右边我们可以看到,备份的记录,包括手机短信,通话记录的任何信息都在里面。我不知道在座的各位,男性朋友,如果说你们的女朋友或者是老婆知道这个漏洞以后,拿这个查你的通话记录、短信你们会不会很紧张,就这样一个问题。
 
我们可以看到,它是一个云存储的服务提供商,用户把数据,都存储到这个云端以后,因为它云端的安全,导致说,用户的数据一个泄漏。
 
第二个主要是讲短信云服务的数据安全,也是某公司一个短信的服务配置,不断导致云端所有的用户信息泄漏。而且是时时泄漏,我们看一下具体的内容。这也是一个非常普遍的安全问题,就是一个管理后台的未授权方位,直接导致白帽子或者黑客通过这样一个管理后台,可以看到短信服务发出的所有短信记录。我们知道,今天我们去做任何网站的注册或者是密码修改甚至是银行的一些交易,一些关键的信息,比如说我们短信验证码,甚至我们的密码都会通过这个短信进行发送,如果说云端的短信服务提供商,它的短信记录全部被泄漏出去,不仅说短信信息内容泄漏,另外我们可以看到,同样还存在一些其他的安全问题。比如说Sql注入,直接可以导致数据库所有信息都会泄漏出去。也许说你今天拿手机注册了一个网站,你的密码刚刚注册完以后就被黑客知道了,拿这个密码可以登录你的账号。
 
第三个我们讲的是云引擎数据安全问题,这个的话,我们看到国内做一个云心情的工作,比如像百度、新浪甚至京东都做这样一些服务,看到这些标题是说,系统文件,其实像它这样一个业务,简单介绍一下,它通过一个数据搭建这样一个容器,这个容器里面,可以运行自己的代码,搭建自己的网站。通过自己把代码部署以后,通过它分配的一些运营,其他用户可以访问到,这是一个很简单的应用。
 
我们看一下这个漏洞具体的情况是什么样子的,其实就是这个漏洞主要是利用了文件压缩的特性,导致说,在云端进行代码部署的时候,能够绕过这个沙盒去读到同样在这里面的其他用户的文件数据。我们可以看到,首先就是说,就是一个压缩,我们首先创建一个链接我们把一个文件链接到系统的文件,因为沙盒里面只限制某一个用户访问自己的指定目录的代码文件,通过我创建这样一个链接,我可以链接到系统服务器上任意一个文件。我把这个链接的文件存储到这个压缩包以后,压缩到这个压缩包里面上传代码的时候,会有一个压缩的操作,这个文件就会链接到你服务端的稳健下去。这样我们就可以读取到系统的任意文件。我可以读取到引擎所有其他用户的代码。就这样一个问题。
 
上面讲的都是所有我们关于云基础设施安全问题,其实这样的问题,在我们乌云平台上还有非常多,这里面只是找一些很简单的例子给大家看一下。
 
第二个我们讲一些数据开放所带来的安全问题,首先进入我们刚刚也讲到了由于数据开放会导致我们的数据已经不仅仅是在你自己业务范围内,而且是我们整个数据流整个过程安全问题都会影响到你数据的安全。我们看一下具体的例子。
 
这是一个典型的电子商务合作联盟的漏洞,因为这个漏洞可以直接影响到50万网站组的信息,包括订单的数据,包括自身账号、密码,甚至广告一些的投放的操作,都可以被受影响。我们可以看到一个后台,就是说其实这也是一个在我们总乌云平台和我们乌云另外一个产品叫做乌云重策,我们看到漏洞的数据看,现在几乎占到所有漏洞的大概三分之一,我们可以看到说,也是这样一个漏洞,我们通过一个用户名,其实这个用户名很有意思,我们的一些白帽子,它会去拿一些中国常用的一些用户名,像李明、李强、张三、李四,这样一些中国人使用人名,我拿最常用的用户名配合一些很简单的口令,123456这样的一些密码做口令的尝试,这就是一个很简单的例子,也是一个非常常用的账号。然后密码123456更简单了,通过这样一个简单的账号密码,直接登录到这样一个后台,我们可以看到右边有广告组的邮箱、订单数、订单金额、佣金数左边像资源管理、财务管理、广告组的管理,相当于你作为一个接入方,电商网站你接入到这个平台以后,你很核心的订单数据在第三方的平台会遭受到影响。我可以随时知道你订单的数据、信息、金额。其实这个漏洞对于你自己平台没有问题,不是从你自己平台把数据泄漏出来,而是你的数据流向第三方平台以后,导致了这样一个安全问题。
 
第三个我们讲传统企业互联网转型的安全问题,首先我们可以看到说,不管是说P2P金融也好,现在兴起的一些从传统的企业向互联网转型的行业里,我可以看到有两大比较大的特征。像滴滴、快的这样用户数用户规模特别大,另外像P2P金融行业业务非常敏感,都涉及到金融的交易,对打车行业也是很敏感。如果每天你从哪里打车到哪里,这个数据泄漏出去,别人很容易知道你家在哪里,你在哪里上班,作息时间大家都知道。
 
另外一个我们可以看到一个很典型的问题,传统的企业,他们对于互联网的安全问题,并不熟悉。另外一个,安全人才的稀缺,我们知道在我们的品大概有两百万个白帽子中国技术人员不低于两百万。作为成长型向传统行业向互联网转型的企业来说的话,更难招到一些靠谱的人才。
 
我们可以看到,这个是我们在乌云搜索P2P行业的安全问题记录,我可以看到大多数这里一页都是2015年8月份的漏洞,我们可以看到主要从2014年到2015年P2P行业的兴起的时间比较符合,我们可以看到这个时间,P2P行业严重的漏洞,大概有279条,这个数据相比其他行业来说,是一个更加严重的数据。而且这里面所对应的安全问题,都是非常严重的。我们可以看到,用户的密码重置,导致用户的数据泄漏,像漏洞打包,特别多漏洞,就随便一看就是漏洞,然后是密码重置,都是非常严重的漏洞。
 
翼龙贷某站未授权,导致十几亿的资金缺失。我们看到一个真实的数据,也许是它自己造假的数据,我们可以看到一个十几亿的资金。从这样一个平台我们可以看到,查询各地区的放款总量,数据的体系,所有的用户信息,每日的信息统计,线上的充值,这部分大家都特别喜欢。其实这个漏洞也是一个特别简单的漏洞,就是一个后台未授权访问,直接导致它有这样一个域名,它不对外公开,但是它对外可以访问,但是并没有告诉大家。我们的白帽子可以直接通过一些途径找到这样一些域名,通过一些管理后台的识别,直接找到这样后台,进入这个后台以后,不需要任何技术含量,可以向你们公司、老板、管理人员对你们后台数据进行任何操作。我创建一个账户,就可以在账户里面随意输入金额。
 
前面是我们看到的互联网企业存在的一些安全问题,来之前我也找了一些现场的企业,我们看了一下随即挑了两个企业,可以看到400多个安全问题,将近200多个安全问题。在这里我从检测的数据来看在场大部分企业都是存在高危安全问题。
 
最后讲一下,我们针对这么严重的安全形势,我们对于安全问题的思考,去想一些解决方案,本身我们很了解这个问题。我们去思考怎么帮助企业解决这些问题。我们刚刚也可以看到,数据时代我们整个业务形态都在发展改变,传统的一些安全解决方案,已经无法满足现在的一些需求了。第三我们的一些思考,我们看一下。
 
新的解决方案,我经常讲的一句话,不是说你一个企业要解决问题,就买各种防火墙,我们可以看到核心的需求我要了解企业安全问题,基于这样一个核心需求,我们的一些方法首先我们搭建一个平台,然后我们把我们的强大的社区,接入进来。第三我们能够说,企业的话,他们可能不太擅长安全,我们把安全做得足够简单,一键就可以接入。首先搭建平台我们主要做的事情,我们连接我们乌云平台最优秀的白帽子安全专家,把他们的安全能力输送给更多的企业。我们可以看到这是我们社区的支持,我们有大概两万名的白帽子,我们有数十万的安全漏洞积累,第三个我们这样一个社区有能力根据全球的安全事件进行一个实时的预警。
 
企业接入这块我们希望能够给企业带来什么东西呢?我们能够帮这个企业,比黑客更提前发现安全风险;第二个我们依赖于这些风险数据能够帮助企业持续提升体验;第三个我们基于数据的管理,能够指导企业在内部中安全建设的时候,有一些实际的一些建议。
 
我要讲的就是这些,谢谢大家!