騰訊安全總監(jiān):打擊黑客產業(yè)鏈
2009中國計算機網絡安全應急年會于2009年10月21日至24日在湖南長沙召開,本屆年會主題是“網絡促進發(fā)展 安全創(chuàng)造價值”。23日進入會議第二天,在分會之“ISP & ICP安全”會上,騰訊安全中心總監(jiān)楊勇表示,驗證碼的對抗絕對不亞于在木馬層面的對抗,經過長期的對抗現(xiàn)有的驗證碼是我們發(fā)現(xiàn)的比較好的對抗手段。
騰訊除了采用桌面對抗之外,還采用了大量的后臺對抗手段。如后臺保護,實時發(fā)現(xiàn)、限制,如“防曬號”。我們有四大后臺保護,對登錄、消息、財產、密碼進行保護;我們通過對“曬號”行為的區(qū)別,降低用戶的損失,加大敵人攻擊的成本。以下是騰訊安全中心總監(jiān)楊勇發(fā)言實錄:
主持人閆宏強:下面,請騰訊業(yè)務安全中心總監(jiān)楊勇先生介紹騰訊業(yè)務安全管理經驗,楊勇先生長期從事安全工作,目前主要負責騰訊業(yè)務安全中心管理和規(guī)劃工作,騰訊T4級安全規(guī)劃專家。
楊勇:謝謝。今天在座的是中國乃至亞洲的安全專家,我在這里向大家匯報騰訊業(yè)務安全的相關工作。我的題目是“攜手共進,同仇敵愾”。昨天,在和同行的交流中,其實內容更準確地說是“騰訊這幾年安全工作的血淚史”。
演講內容分為四個部分,首先向在座的各位專家和同行介紹騰訊的外在安全形勢;然后談談過去幾年中騰訊所做的應對措施;三是騰訊對于前景的展望;四是騰訊對于后勢的期望。
一、中國互聯(lián)網——網民快速增長。
目前,網民達到3億,互聯(lián)網普及率達到22.6%,一線城市如北京上海已達到60%的覆蓋率,二、三線城市的發(fā)展是非常地迅速。
二、中國互聯(lián)網——產業(yè)增長迅速。
中國互聯(lián)網產業(yè)規(guī)模2010年將超過千億,網絡游戲預計達到427億,是增長最快的行業(yè),在中國互聯(lián)網游戲產業(yè)已差距電影產業(yè)的總產值,第三方網上支付交易規(guī)模預計到2010年將接近萬億。工商已達到13萬億的網上交易規(guī)模,大家可以想象一下,增速是非常巨大的。
三、互聯(lián)網企業(yè)共同面臨的安全問題。
如盜號、偷錢、詐騙,還有大量的木馬、病毒、惡意代碼、私服、DDOS等等。
在互聯(lián)網領域的安全問題非常繁多,今天我的討論范圍主要是在業(yè)務安全方面,業(yè)務安全更多的指在業(yè)務邏輯方面的安全問題。比如前面提到的盜號、虛擬財產盜竊、垃圾消息種類,這些東西自我們觀察來看,大概在04、05年開始萌芽,也是中國互聯(lián)網的發(fā)展中面臨的安全問題。
例如騰訊對話聊天消息框。發(fā)一句消息請你用手機打電話聽歌,如果你打了電話的話,就會被聲訊扣費。大家知道,這和QQ沒有關系,這些人偷竊了QQ之后,然后對他的好友發(fā)送一些垃圾消息。后來變成12590,我們對12590進行了過濾,現(xiàn)在變成了豎排。
當我們把消息打擊得差不多的時候,漸漸引進了“邀請”模式,他們在網上發(fā)起你一起游戲的邀請,然后讓你打12590。我們對此進行打擊之后,又出現(xiàn)了在傳輸文件的時候,把文件名改成了一段垃圾消息。然后是騰訊客服的消息框,通知你中獎了,這是黑客根據(jù)騰訊的消息框畫出的仿真消息框,這是從QQ用戶里取出號碼的ID彈出來的消息框。還有群發(fā)垃圾消息的軟件,可以迅速地群發(fā)垃圾消息。
黑客為了達到規(guī)模效應,他們有相當多的自動化手段。這里截的圖是查詢工具,它可以查Q幣、密碼、會員等級、積分等等,它竊取號碼之后可以進行批量化的財產洗錢,可以批量化的把高端化用戶的財產清理出來,吸他們的Q幣。如果沒有Q幣的用戶,就會用這些號碼來發(fā)垃圾消息。
這些自動化工具使用度非常高,而且它可以使黑客批量地、快速地洗錢,批量地、快速地發(fā)垃圾消息,已經形成了一個規(guī)模效應,一旦一個產業(yè)形成了規(guī)模效應,就會引發(fā)一個灰色的產業(yè)鏈,會吸引很多低學歷的人去從事這個行業(yè)。大家知道,有很多學歷并不高,計算機知識掌握得并不多的年輕人會加入到這個行列中。
這個產業(yè)有與時俱進性,在07-09年騰訊游戲業(yè)務發(fā)展得比較快,黑客軟件也在不斷地發(fā)展,這些軟件已經加入了游戲業(yè)務。使用QQ的人并不陌生,這是曾經的一款驗證碼。當時,黑客洗錢完之后還不滿足,騰訊會提醒用戶異地登陸的消息,提醒用戶修改密碼。但是,黑客可以通過這些驗證碼在用戶改變密保之后,再把密保改回來。那么,我們通過加密ISP協(xié)議,他們就會調動我們的庫件進行改密保。在選秀節(jié)目中有投票選舉機制,黑客制作自動化注冊大量的QQ號碼來進行投票,或者發(fā)垃圾消息。
曬號工具:QQ用戶有時候中了多個黑客集團的多款木馬,黑客為了達到快速分類篩選洗錢的目的,首先會做一個號碼的驗證工作,這就是一個曬號工具。
我們對曬號工具進行了打擊和對抗,結果黑客馬上又想出了很好的對抗方法,它調用騰訊的軟件來進行密碼驗證,對于騰訊公司來說,他們的識別已經非常非常困難了。對于協(xié)議上來說,調用我們的軟件在協(xié)議上就沒有太多的區(qū)別了,這類軟件是非常非常多的。
掛機軟件:游戲廠商等廠商都有很多的掛機軟件,這些掛機軟件不但幫用戶掛機,而且同時可以竊取用戶的帳號和密碼,很多用戶是心甘情愿地把自己的帳號和密碼提供給了這些廠商。
敵人的產業(yè)鏈主要分為三部分,第一部分是通過木馬、注冊、釣魚的手段獲取號碼;第二部分是通過曬號、選號對號碼進行清洗;第三部分是通過盜號盜取用戶的裝備、賣靚號、垃圾消息來獲利。 騰訊在技術層面和非技術層面都在進行對抗。
木馬、病毒影響互聯(lián)網發(fā)展,黑色產業(yè)鏈猖獗,2008年85%的計算機主機感染過病毒;2008年木馬數(shù)量1389萬,新增量是2007年的48倍;2006年黑客地下產業(yè)鏈經濟高達2.6億,呈指數(shù)增長。
針對這樣一種嚴峻形勢,騰訊是怎樣應對的呢?首先,在QQ客戶端做查毒、鍵盤保護、內在保護的機制;同時,還研發(fā)了產品QQ醫(yī)生,它不僅幫助用戶治理,還加強用戶的保護,去查漏洞,去打補丁。但是,這還遠遠不夠,我們發(fā)現(xiàn)黑色產業(yè)鏈的理念是非常具有戰(zhàn)略性,也非常新穎的。我們曾經觀測到,黑客不再在內核層面或技術層面和內容商進行對抗,它通過速度和我們進行對抗,我們更新特征碼之后,他們通過更新的木馬,通過簡單地變形,通過速度來進行對抗,這樣傳統(tǒng)的對抗手段就失去意義了。而且,黑客產業(yè)鏈有一個天然的優(yōu)勢,他們不用考慮客戶桌面的穩(wěn)定性和安全性。但是,對于軟件供應商來說是不得不考慮的。
騰訊除了采用桌面對抗之外,還采用了大量的后臺對抗手段。如后臺保護,實時、發(fā)現(xiàn)、限制,如“防曬號”。我們有四大后臺保護,對登錄、消息、財產、密碼進行保護;我們通過對“曬號”行為的區(qū)別,降低用戶的損失,加大敵人攻擊的成本。
后臺保護的思路是什么呢?首先面臨的問題是如何發(fā)現(xiàn)的問題。其實,我們在數(shù)據(jù)挖掘中的“欺詐檢測”思路是比較簡單的,實際上就是一個“概率論”,如果一大堆球中有10%紅球,90%白球,隨機拿10個,8個或以上是紅球的概率約為千萬分之一。
比如,一個人登錄QQ號碼進行虛擬財產的購買和交易,一天之內不應該既出現(xiàn)在倫敦,又出現(xiàn)在法國,或者出現(xiàn)在北京,出現(xiàn)在湘潭,這顯然就是一個被盜用戶,這也是我們說的概率論。當然,模型也非常多,不能僅僅靠一個簡單地模型來進行對抗。
我們如何限制呢?一是通過驗證碼進行限制;雖然,這是我們目前找到遏制敵人攻擊的非常手段之一。二是異常通知;大家在QQ上可以看到臨時消息的彈出。三是層層攔截,如打擊惡意消費等等。我們有很多的規(guī)則,每一條規(guī)則可能不能全部攔截你,但每一條規(guī)則都在不斷地提醒我的用戶。在層層攔截上,如登錄、查詢、消費方面都會有很多防護手段,如驗證碼、密保驗證手段等等。
在這里向大家透露一個小消息,驗證碼的對抗絕對不亞于在木馬層面的對抗,騰訊最早的驗證碼,據(jù)我們發(fā)現(xiàn)敵人一般可以百分之百破掉,我們也根據(jù)敵人的思路采用了大量地驗證碼,經過長期的對抗現(xiàn)有的驗證碼是我們發(fā)現(xiàn)的比較好的對抗手段。國外的研究比較深入,很多的驗證碼只是一般的干擾線,基本上被識別率非常高。
那么,在對抗過程中分為幾大階段,第一階段是敵人的自動化;曬號、通過工具盜號等。第二階段是半自動化,不得不有人工介入,因為有了驗證碼手段,他必須輸入驗證碼。第三階段是全手工階段,這個時候敵人對我們攻擊還會獲得很大的利益,我們就進行用戶消息提醒,或者是異地登陸的限制。第四階段是集團化分布式階段,也是我們面臨的終極階段。對方實行產業(yè)型跨越,在網上如電子商務一樣給大家分配任務、領取任務,按件給操作者付錢。
賺錢聯(lián)盟。如果你想加入會員只要登記注冊就可以了,這個軟件從黑客的中央服務器拉取號碼,可能是騰訊的,也有可能是盛大的、百度的、阿里巴巴的帳號,雇員自備電腦和寬帶,只要輸入驗證碼,甚至這個會員都不知道是在發(fā)垃圾消息,或者盜號。軟件每登錄10個,會自動強制重撥IP,很多大學生在假期通過這些行為獲利,有很多人都不知道是盜號行為。這些點已經是分布式的,它不和我們進行集中對抗。
誠信投票。大家可以看到右側這邊有很多的任務可以自動領取,他們甚至還有類似于傳銷的分派任務,如果你想找到下家還可以獲取提成。大家現(xiàn)在看到的很多選秀節(jié)目,評獎機制很可能被黑客產業(yè)鏈利用。
騰訊安全中心的產品,敵人用分布對抗我們的集中,我們只有用分布對抗分布。首先,我們要加大密保手段,如密保卡、手機密保、密保令牌,用分布來對抗分布。除了現(xiàn)在的密保手段以外,我們更多的倡導“用戶自我保護”,對用戶進行教育。比較客觀地說,在這一點上騰訊落后于業(yè)界,尤其是網游和網銀界做得更好,我們正在向同行學習。騰訊在非技術層面也做了一些探索,法務工作是路漫漫其修遠兮,還在網絡上對用戶進行教育,進行傳導。
新形勢新安全是喜憂參半,在經濟危機中,互聯(lián)網經濟具有一定的“反周期”,很多人失業(yè)在家待業(yè),通過互聯(lián)網加入了黑客產業(yè)鏈。2009年2月28日刑法第七修正案增加的兩個條款就是一個很有力打擊黑客的法律依據(jù)。
騰訊正積極行動,狙擊惡意產業(yè)鏈,組織建立專業(yè)安全隊伍,增強產品安全功能,效果還是有一定的效果,還需要企業(yè)、政府機關、安全組織齊力對抗才能有效。騰訊現(xiàn)在的目標是學習,學習都在業(yè)界前面的人,如網游、網銀企業(yè),和他們一起合作對抗更多的敵人。
總結:形式上迫在眉睫,敵人集團化、產業(yè)化、手工化,難以識別;應對南征北戰(zhàn),在前端、后臺、產品各個地方苦苦奮戰(zhàn);前景:喜憂參半,憂的是獲利大代價小,經濟危機,喜的是國家、業(yè)界一起行動起來。我們呼吁互聯(lián)網業(yè)界企業(yè)共同攜手,打擊敵人,提供安全健康的網絡平臺。
在這里感謝騰訊公司領導和安全中心全體成員做的PP特,也感謝業(yè)界的朋友同仁和騰訊一起交流,還要感謝CNCERT/CC為我們提供的交流平臺,謝謝大家。
提問:在您講的過程中講到驗證碼,在互聯(lián)網的很多地方可以看到驗證碼的使用。QQ在手機登錄的話也可以用,現(xiàn)在很多用戶通過手機和我們聊天。如果在手機這么小的屏幕做驗證碼的話,您有沒有想到工作效果如何?客戶的感知會有多大?會不會使客戶因為驗證碼而離開QQ?因為,我是中國移動的,在這個問題的感知上有一些區(qū)別。
楊勇:謝謝,這個問題問得非常專業(yè),我們也遇到了這個問題。騰訊的手機QQ是要輸入驗證碼的,驗證碼對用戶確實有影響,這是毋庸置疑的,因為手機鍵盤操作輸入字母本身就有困難。但是,為什么要使用驗證碼呢?第一,騰訊認為驗證碼一定要有,但啟不啟用可以通過后臺控制,這同軍事上的原理很類似,一定要有這個戰(zhàn)略縱身,必須要有這個策略在這里;第二,對用戶肯定是有影響的,但在垃圾消息非常嚴重的時候,啟用這種策略對用戶的傷害其實是比較小的,不過也有很多的后臺邏輯減少對用戶的影響。
【編輯推薦】
