阿里云计算吴翰清：谈阿里云安全

　　12月4日，由阿里巴巴集团、阿里云计算以及phpwind三方联合主办的第二届中国地方与行业网站峰会将今在杭州海外海国际会展中心隆重举行。本届峰会以“创新 融合 发展”为主题，有来自全国各地的2500多名互联网从业人士、媒体和专家参与此次大会。

　　图为阿里云计算研究员吴翰清

　　以下是分会场“无线应用与技术创新专场”阿里云计算研究员吴翰清演讲实录：

　　各位站长、各位来宾大家下午好，今天我演讲的题目是“麻烦的终结者”，我觉得安全问题对于中小站长来说并不是业务发展上的重大阻力，并不是迈不过去的难关，安全问题更多的像是一种麻烦，非常讨厌，但是你又不得不去解决它，就像你的压疼，你吃不下饭，睡也睡不香，所以这是非常令人头疼的，所以是一个麻烦的终结者。

　　我这个人特别怕麻烦，但是每当出现的时候，就意味着有麻烦出现了，所以我就会尽我的全力，把这些麻烦在尽量短的时间内解决掉。

　　首先自我介绍，我叫吴翰清，来自阿里巴巴集团信息安全中心，我是西安交通大学少年班毕业，2000年开始进行网络安全研究，有十年工作经验。

　　在05年加入阿里巴巴，先后负责阿里巴巴、支付宝、淘宝的安全评估工作，包括帮他们建立应用安全的体系化，现在我主要在阿里云负责云计算安全以及全集团应用安全和反钓鱼、反欺诈工作。

　　今天网站面临很多威胁，有各种各样威胁，有人在网站说发反动信息，美女的U盘丢了，隐私可能受到威胁，今天中小网站面临这些威胁也是我们曾经遇到过的。

　　淘宝、阿里巴巴、支付宝、阿里云、雅虎中国，这些网站也是从小网站成长起来的，我们曾经遇到过的问题，也是中小网站明天遇到的问题，因为明天中小网站也必然成为大网站，当有一天我们的站长们打开他的网页，发现他的站已经打不开了，这个原因可能非常多，可能是硬件坏了、磁盘坏了，也有可能IDC机房网络断了，也有可能被拒绝服务攻击了，这完全有可能发生的。

　　这是我们昨晚刚录的一段视频，这是我们自己的一个本地网站，我们使用一个应用 层工具，发现两三秒钟之后，发现这个网站打不开了，把这个工具停掉，网站立马恢复正常，这是完全可能发生的，这个漏洞就是上个月，11月一个安全的权威大会上有向个国外的安全研究者所演示的web server层的漏洞，这和传统攻击不一样，它工作在应用层，传统保护方案可能失效。

　　它的攻击条件非常简单，刚才用一台PC把网站打爆掉，我们事后曾经利用这个漏洞测试过一些朋友网站，发现威力非常强大，包括我们自己内网的办公系统，也是刚刚一把工具打开，网站马上宕机掉。这种威胁中小企业都面临着，我在03年也做过一个网站，做得非常大，我不知道什么原因，不知道谁在拒绝服务攻击我，我的网站持续打不开，之后这个网站再也没有打开过了，我心灰意冷，就没有想再开起来了。

　　在02、03年的时候，我们没有技术条件解决这种问题，但是在今天，我们完全有可能解决，在安全性上叫可用性的问题，包括业务连续性，我们要让网站一直活着，不能让它打不买。我们如何解决拒绝服务攻击，在我的前面陈波介绍他在弹性云计算里面有很多方案，包括安全域，包括分布式防火墙，包括弹性云的环境当中有很多网络设备来保护网络层抗拒绝服务攻击，拒绝服务攻击分两种，第一种是前面陈波提到的，在网络层，传统的SNP flan攻击，我们通过弹性云很多方案已经保护的很好。

　　另外一种是在WEB Server层，在应用层，可能存在拒绝服务攻击，这是今天整个互联网都很缺乏手段的方式，但是我们部门已经把它解决掉了。我们在Web server层定制一些模块，对Web server进行保护，有一些攻击我们会保护的，我们分析网络连接、频率个地域、客户端连接信息，最终进行判断。

　　你担心漏洞吗，其实漏洞跟风险有一定距离，漏洞先要有人使用，然后再成为一个风险，什么人会去使用漏洞，这其实是一个很大的链条，漏洞会给我们带来什么，我们可以看一下，这是本地的测试网站，我们演示一次入侵过程，这是一个SQL出入的漏洞，像这种黑客工具，在网站可以随便下载到，而且有很多不同版本。

　　我们的攻击者尝试了一下网站后台，路径是Admin，发现路径是正确的，入侵过程当中，很多是靠猜，我跟很多资深黑客都聊过，他们有大概30%是靠运气才能够拿到一个系统权限，通过注入这个漏洞，找到了系统管理员这张表，然后找到用户名，现在正在破解密码，这时候攻击者把16位的MD5值放在表上查，马上找到了对应的密码，然后登录进网站后台，但是现在还没有完，在后台还有一个能够上传图片的功能，这里又有一个漏洞，这里没有对图片类型做验证，所以攻击者直接上传，现在他已经拿到了一个后门，可以为所欲为。

　　可以浏览C盘目录，包括下载文件，攻击者上传一个页面，证明他入侵过，这就是一个漏洞引发的血案。

　　我们不得不担心漏洞，因为漏洞最终会形成很严重的风险，代码是人写的，程序员是人，不是神，只要人写的代码，必然产生漏洞，漏洞不能别消灭，但是可以被控制。

　　这是我从国内现在比较着名的一个网站，叫“乌云”，这是一帮安全研究者弄出来的网站，会收集各个站点的漏洞，会通报给厂商。在这个列表上，这是我昨天刚抓到的，列举八月份到十二三号的很多大网站漏洞，很多大网站榜上有名，有网易、有QQ、有凤凰网，还有百度、新浪，都榜上有名，所以说大网站也会出现漏洞，小网站当然也会。

　　我们怎么解决漏洞的，现在我所带的团队是一支国内非常专业的团队，在圈子里的朋友可能都知道我们团队里面招了很多各个安全领域里面的专家，有无线领域专家，客户端专家、网络层专家、应用层专家，我们这些人研究出很多方法，来想怎样控制漏洞。现在阿里巴巴全集团下有几千人工程师团队，每天写代码，每周发布的项目有三十个，小需求有两百个，这样的代码量非常大，但是我们的目标是要检查每一行代码的安全，但是我们只有三十多个人，所以我们选择了四两拨千斤的方法。我们总结一些常见的代码问题，自己定制一些检测工具，对每一行代码进行检查，保证程序员写出来的代码是安全的。

　　我们现在还定制化自己的安全扫描器，扫描了包括淘宝、B2B、支付宝在内的六千万网页，这件事情是今天任何一个商用安全扫描器做不到的事情，但是我们做到了。这六千万是我们精选出来可能造成安全危害的页面，我们会在第一时间把扫描漏洞通报给业务方，通报给应用，通报给程序员，我们会在第一时间掌控漏洞，我们要跑在黑客前面，要比黑客更早的发现漏洞所在。

　　当漏洞变成风险的时候，我们站长可能担心杀毒软件突然弹出一个框说你的网站上面有木马，这件事情是非常令人头疼和讨厌的，给我们网站声誉也带来非常大的风险，正是因为有一个黑色产业链在不断谋求发展，不断在追寻利益，可能很多在座的朋友都已经从前些时间，在中央电视台报道过黑色产业链，一条木马产业链，他们怎样盈利的，最主要盈利点，在这个环节盗用游戏帐号、网银帐号，然后卖掉，这是数十亿的产业林，在网站上面攻击我们用户，大网站用户、中小网站用户，这条产业链攻击目标是最终用户，所以这些用户也是我们中小网站用户重合的，所以这有是他们利益的驱动所在，所以我们很多站长想不明白，为什么这些黑客莫名其妙跑到我们网站上，会来攻击我，这是他们的利益点所在，因为每年有几十亿利益驱动在背后，所以会想尽千方百计找流量，大网站攻不进去就找小网站，小网站也能给他们带来可观流量，导致他们最后获得丰厚收入。

　　就像苍蝇不盯无缝蛋，有漏洞就有黑客攻击可能，不能抱有侥幸心理。我们如何解决挂马的风险，挂马的问题非常头疼，我这里有两个数字，一个是十万，一个是十分钟，阿里巴巴集团有一套系统能够定时周期性检测这个网站是不是挂马，业界普遍两种做法，一个是检测原代码，看是否有危害JS或者说一些脚本，另外一种做法就是用类似虚拟机做法，在虚拟机实际访问网页，然后在后台有一系列杀毒软件判断是不是被挂马，我们两者皆用，目前监控十万网页，这十万网页是我们精选出来阿里巴巴、淘宝、支付宝可能存在管马风险的网页。

　　十分钟是指我们能在十分钟之内把十万个网页当中如果某一个网页挂马，就能发出警报，这跟扫描不太一样，扫描周期比较长，而挂马检测周期非常短，这就是我们能解决挂马的思路，目前这个方法也是得到实践认可，确实能够从里面发现很多问题在在。最让人头疼的是这些挂马很可能并不是我们自己网站出现问题，很有可能是我们的外部合作者，比如说广告，如果内容供应商页面里面挂马了，访问我们的时候，杀毒软件也会报警，这就冤枉了，我们没做错事，却背黑锅，这个工作非常有意义。

　　还有发现另外一条产业链，有一条比这个隐藏的更深、更可怕、更难抓到的产业链，这套产业链也有巨大利益在背后驱使，也是环环相扣，也有前后层级关系，但是在现在的媒体中报道的非常少。垃圾注册是万恶之源，这条产业链从垃圾注册当中开始，现在我发现很多网站，包括大网站的很多邮箱、很多论坛，都存在着大量垃圾注册用户，这些垃圾注册用户对他们网站自身并不会造成危害，但是对整个互联网产生巨大的影响，这些垃圾帐号能够拿来干什么，第一是做广告，点击欺诈、广告欺诈，很多广告联盟，包括百度、雅虎，可能都有这样一批人在背后做广告推广。然后发反动政治言论，这些都是垃圾帐号发出来的，没有人用自己真实帐号发，很多时候我们在上网的时候，碰到陌生人发一条消息，是广告或者说反动言论，有的朋友心里面非常愤怒，就会进去骂，其实对只是一个机器人，你这样骂它都是没有意义的，这都是垃圾注册惹的祸。

　　还有是刷等级，可能存在一些行为，把低等级会员刷成高等级会员，还有领红包，我们给团队一些推广费用，给好处，但是没有一个有效措施落到有效客户这里，大部分推广费用落到垃圾注册口袋，最终可能只有一个组织在收钱。

　　另外也会消耗大量的流量和资源消耗，侧面反映就是我们的经费、我们的钱、我们的服务器，每年会消耗成本，如果能够控制垃圾注册，也就能够降低我们的维护成本，我们如何成为清洁工的，首先现在大垃圾注册，大部分是由机器人自己在发，我们要做的事情就是人机识别，想到人机识别，就是是别人和机器，大家第一反应就是验证码，如果有一个好的验证码，能够很快识别出是人还是机器，但是验证码有验证码的问题，而我们有一套专门解决方案，通过用户行为分析，判断到底是人还是机器，我们准确率已经达到99.999%，在十万个分析里面，有一个误报，这是我们目前的现状。

　　我们通过分析这个人发的一些频率，包括他的来源是不是代理IP，我们建立很大的代理IP库，抓全国、全世界代理IP，判断我们来源是否可信，我们还会在后端有一些规则分析用户行为到底是不是一个正常用户行为，从而判断出这是不是一个垃圾注册。通过我们努力，在前段时间，垃圾注册量有一个这样的下降，这个具体数据比较敏感，不能放在这儿，红色的是正常用户，蓝色的是垃圾注册，我们发现有一个明显下降，这个效果是非常明显的，这样网站的业务干净了，也就安全很多，包括诈骗、钓鱼风险小很多，更不会有人上来发反动言论，垃圾注册是万恶之源，是这条产业链的所有源头。

　　钓鱼在金融行业是重灾区，这个图显示在金融行业有80%存在钓鱼情况，包括所有的外部商家，包括想要在金融平台提供服务的网站，这和中下站长存在密切关系，如果你想给用户提供在线支付业务，可能成为钓鱼网站的目标，钓鱼网站我们怎么解决的，这个图是中国反钓鱼联盟，是下属于CNNIC的机构，它出具的一个报表，在10月份淘宝钓鱼网站有2400多个，这个全是我给他的，包括我们也提供像财付通这些钓鱼网站，我们把数据给他，其实这个报表并不是说淘宝网站上最多，而是我们检测能力最强，强到什么程度，第一个数字五千万，我们现在每天检查五千万URL，五秒之内如果有新的钓鱼网站出现，就会被我们的系统捕捉掉，我们现在把钓鱼网站运营成本和周期，从最开始一周压缩到一天，现在正在向一分钟迈进，也就是说一个钓鱼网站以前能用一周，现在只能用一天了，用一天之后，这个网站马上失效，会在杀毒软件厂商失效，ICD机房会把服务器下线，我们正在向一分钟努力，现在已经有阶段性成果，这也是我们的下一阶段目标。

　　我的职责就是终结麻烦，中小网站面临各种各样的安全问题，面临各种各样的麻烦，有网站被DDOS，网站被入侵，数据被偷走，网站被挂马，杀毒软件报警，网站垃圾消息满天飞，我们尽全力解决，我们的安全之路是定制化、平台化思想，为什么要定制化，我们最开始做安全之初，也考虑做安全商用服务和产品，但是发现这些安全商用服务和产品并不能跟上互联网节奏，并不能为我们的需求实施定制化解决方案，我们最终选择自己来做，我刚才讲的所有东西都是我们自己做的，都是我们自己写的，这就是我们的安全之路，今天介绍这些，谢谢大家。