2012年1月11日,第六屆中國IDC產(chǎn)業(yè)年度大典在北京國家會議中心盛大開幕,本屆大會以“構(gòu)建云數(shù)據(jù)中心暨云應(yīng)用創(chuàng)新論壇”為主題,邀電信運營商、IDC企業(yè)、設(shè)備廠商、互聯(lián)網(wǎng)等業(yè)界同仁共同探討云計算時代下的IDC產(chǎn)業(yè)機遇與責(zé)任,現(xiàn)在是淘寶網(wǎng)的安全產(chǎn)品經(jīng)理張建偉先生發(fā)表演講:云安全入口之賬號安全。
張建偉:各位到場來賓大家好,借這個機會祝大家新年快樂。在年前,一般我們搞安全的逢年過節(jié)都是要加班的,為什么?因為從歷史數(shù)據(jù)看,一些安全事件統(tǒng)計上看,只要是過節(jié)的,有休閑時間的,安全問題就會翻倍,年前也是一個重點防護的時間段,但是不幸的是我們也看到行業(yè)安全問題。在這個敏感的時期,討論這個話題也是非常敏感的,但是我覺得這個問題跟我們想象的不太一樣,賬號泄漏這個問題不是說一家的問題,說我們自己泄漏了,我們自己遭殃,別人泄漏了我們看他們的熱鬧,不是的。賬號安全應(yīng)該是大家共同面臨的一個問題,也是整個行業(yè)將要解決的未來三到五年之內(nèi)持續(xù)不斷努力要解決的問題。
接下來我簡單介紹一下從我的角度看到的用戶安全問題。我先對自己做一個簡單介紹,我之前是做Unix系統(tǒng)攻防出身,后來關(guān)注Web安全,到現(xiàn)在關(guān)注業(yè)務(wù)安全。從我個人歷程上看,我是從一個技術(shù)架構(gòu)開始向業(yè)務(wù)轉(zhuǎn)型,更加關(guān)注業(yè)務(wù)層面的一些東西,為什么要關(guān)注業(yè)務(wù)層面的東西呢?在我看來技術(shù)層面的問題,基本上用技術(shù)就可以解決,跟業(yè)務(wù)打交道的,跟人打交道的時候,情況更加復(fù)雜,也是目前在安全領(lǐng)域,在民用安全領(lǐng)域最嚴重的一個問題。
說到云計算,我個人對云的了解不是特別多,我這邊抽象了一個概念,只要是一個黑盒子提供服務(wù),它可擴展,我大概就認為它是一個云?,F(xiàn)在我們到處在講云計算,普通用戶也知道這個情況了,但是普通于乎反饋回來的聲音是他們不懂什么叫云,我們云計算IDC的用戶不是普通用戶,而是我們的廠商,但是普通用戶看到的云,應(yīng)該是一個對他服務(wù)的可擴展的資源整體。從這個角度看,業(yè)務(wù)云的安全是這個樣子,我本身把一個數(shù)據(jù)存儲到云上,這個數(shù)據(jù)對于這朵云來說自身要對數(shù)據(jù)做一些凈化,或者用戶在使用這些數(shù)據(jù)的時候,可能有一些干擾,也要做一些數(shù)據(jù)凈化。從投入上看,數(shù)據(jù)凈化是投入最大的一塊。
簡單講,如果我們把NS網(wǎng)站,或者電子商務(wù)網(wǎng)站,也做一個云服務(wù)給客戶提供服務(wù),上面的數(shù)據(jù)凈化可以簡單看成是垃圾信息過、濾敏感信息過濾這些東西。一個封閉的系統(tǒng),除了我們自己把難備做好之外,數(shù)據(jù)要保證完整之外,更多的安全方向來自于和外部有接口的地方,一朵云什么時候和外部有接口?API照用。他要用這個云服務(wù),他怎么用的這個過程本身會出問題,對于一個給普通用戶提供服務(wù)的系統(tǒng)來說,身份認證這個環(huán)節(jié)是最薄弱的一個環(huán)節(jié),也是安全問題最嚴峻的一個環(huán)節(jié)。用戶在使用云的時候有一個客戶端,這個客戶端可能是一臺機器,可能也是一個云,也可能是一個瀏覽器,客戶端的安全也會給云安全帶來威脅。
還有,我們最近總說黑客技術(shù)越來越不如以前了,都開始搞坑蒙拐騙了,大家叫他社會公平學(xué)也罷,詐騙也罷,從我們遭遇的安全問題來說,這個上升的非常快。今天我來講,我不可能把這么多云安全問題全涉及到,我只對身份認證,賬號安全這一塊做簡單介紹。我的演講內(nèi)容分三個部分:第一,賬號安全概述第二,賬號安全防御。防御方面我講的不是很全面,安全不是一個很單一的技術(shù),是一套的解決方案,可能在每個環(huán)節(jié)上都要做一些措施,如果從頭講到尾可以講幾天。
第三,賬號安全的未來,賬號安全還有沒有未來。
賬號的定義:賬號代表用戶在服務(wù)實體擁有某種資格,我可以登錄上做什么,做什么,這個賬號如果被盜了,相當(dāng)于他的資格被盜了。如果看到云計算的后臺口令被盜,整個云的安全就無法得到很好的保證。
賬號信息:一般包含大家比較了解的用戶名和password,實際上一個賬號信息,最基礎(chǔ)的信息除了這兩項之外,還包括手機號碼,以及身份認證之后一個tickit,不同的賬號有不同的信息,主流的就這些。
用于身份認證的一些賬號信息,用戶所知道的,他能記得住的,他只要人在哪里這個信息就可以攜帶到哪里。
還有一些他所擁有的,不一定每個人都記得住自己的身份號碼,他要拿一個身份證,拿一個令牌,我們看到很多運維人員都有一個令牌,但是我們很少看到普通用戶隨身帶一個令牌?,F(xiàn)在銀行安全很多都是基于硬件令牌來做的,我們普通用戶很少帶,一個是容易丟,另外也不是天天買東西;還有一些認證信息是個人特征,比如說指紋、筆跡,指紋、筆跡傳統(tǒng)行業(yè)要用到,比如說IDC的機房也用到了指紋認證;還有聲音,聲音的認證在IT里面用得比較少,但是我們淘寶網(wǎng)正在探索,我們不會聲音作為一個認證技術(shù),但是可以作為一個參考。
賬號常見安全問題:
1、賬號關(guān)鍵信息泄漏或被盜
2、賬號權(quán)限/身份被劫持
3、垃圾賬號注冊。這個對于普通用戶來說可能感覺不到這個安全問題,但是對于一個提供服務(wù)的實體來說,有海量的垃圾信息,垃圾賬號注冊進來,勢必會干擾到他提供的服務(wù)。
4、賬號被拒絕服務(wù)。這個在銀行見的比較多,有人會嘗試你的密碼,輸你的用戶名密碼,嘗試N次之后,銀行覺得太有危險了,把你的賬號暫時凍結(jié)了,這個賬號就被拒絕服務(wù)了。常見有這么幾類,其實我們最關(guān)心的普通用戶應(yīng)該是前兩類,第一類是耳熟能詳,一講就明白的;第二類是偏技術(shù)了,普通人搞不太懂,可能就從業(yè)人員比較容易理解。
現(xiàn)在使用賬號密碼是最主流的身份認證方式,輸完用戶名密碼點登錄,就可以在網(wǎng)站上操作,這是最常見的方式。身份認證是賬號安全最關(guān)鍵的一個環(huán)節(jié),你這個信息記在腦子里頭,如果不進行認證,永遠不會被泄漏,你只有在去認證,在暴光過程中才可能出現(xiàn)問題。
賬號安全防御將基于多種風(fēng)險假設(shè),我們假設(shè)賬號泄漏,泄漏之后怎么辦,假設(shè)黑客可以入侵我們的服務(wù)器,我們應(yīng)該怎么辦;假設(shè)黑客已經(jīng)將賬號盜取,并且登錄,已經(jīng)得到權(quán)限,我們應(yīng)該怎么辦?這是我們防御的時候應(yīng)該思考的一些問題。
賬號安全問題現(xiàn)狀剛才說賬號的一個薄弱環(huán)節(jié)是身份認證,現(xiàn)在身份認證的一些基本類型:
1、基于口令的身份認證
2、Kerperos身份認證協(xié)議?;诳诹畹纳矸菡J證,現(xiàn)在大多數(shù)網(wǎng)站,或者是Web都是提供這樣的認證方式,一些機房、運維管理人員,他可能會用到kerperos這種協(xié)議,現(xiàn)在已經(jīng)升級到V5版本??诹钫J證和Kerperos認證都有它的缺陷,我在09年的時候發(fā)現(xiàn)Kerperos的一個缺陷,其實它有一個linda到現(xiàn)在還沒暴出來。
3、基于X509的身份認證4、基于生物特征的身份認證每個認證方式,如果你去仔細了解它,或者說讓專業(yè)發(fā)覺漏洞的人去研究,可能發(fā)現(xiàn)一些問題。對于普通用戶來說,身份認證只是一個麻煩,對于高手來說可能形同虛設(shè)。
基于密碼的身份認證,一般會涉及到賬號名稱、密碼這兩條靜態(tài)信息,認證周期有一個客戶端輸入、網(wǎng)絡(luò)傳輸、服務(wù)端認證,認證后的一個分配權(quán)限。這幾個環(huán)節(jié)里頭每一個環(huán)節(jié)出現(xiàn)問題,都會導(dǎo)致賬號安全問題,前兩者有可能被泄漏,有的用戶覺得密碼是一個隱私,是不能泄漏的,但是對賬號不太注意。其實,賬號、密碼作為兩個因子,在認證的時候是一樣的,包括傳輸過程,客戶端的一些安全,這個涉及的層面比較多,也是整個安全行業(yè)長期對抗的一個安全問題。
密碼的特點:之前我們不太清楚密碼的特點,我們只能說密碼不能小于6位,因為小于6位的話,現(xiàn)在的計算技術(shù)非常快,可以暴力的去破解。
1、普通用戶平均只能記住7個密碼,而且這7個密碼里頭兩到三個是常用的,另外那三個不一定馬上想起來。我們以前經(jīng)常看到一個安全側(cè)率,就是說要定期修改密碼,如果一個人只能記住兩個密碼,可能會把新密碼忘掉,這個賬號被自己封禁了。另外一種就是他改來改去就是這兩個密碼,等于沒改,在那里折騰,折騰的越多相當(dāng)于密碼暴光的次數(shù)越多,本身更是不安全的事情。我個人非常反感讓我不停改密碼,對于普通用戶來說他做不到不停更換新的密碼,這是運維人員,這是專業(yè)人員應(yīng)該做的,不應(yīng)該要求普通用戶。
2、用戶在不同網(wǎng)站的用戶和密碼很大程度是相同的。這個相同我個人是沒辦法的,因為我不是負責(zé)網(wǎng)站的,就算我負責(zé)網(wǎng)站,我也不知道用戶不同密碼是什么,這很大程度上是一種猜測,或者最近網(wǎng)絡(luò)謠言四起,就說N個網(wǎng)站被泄漏,發(fā)現(xiàn)N個網(wǎng)站相同度很高。
3、70%以上用戶都在存儲介質(zhì)上記錄過自己的密碼。
4、500種模式的弱口令就可以覆蓋82%的互聯(lián)網(wǎng)用戶。這個抽樣數(shù)據(jù)來源應(yīng)該是5000萬的規(guī)模,這5000萬代表國內(nèi)的活躍用戶程序,懂互聯(lián)網(wǎng)的人用500種密碼搞定82%的人,不懂安全的人可能是100%的命中率,一種模式是你的生日,19851212這種模式,但是另外一個用戶生日不一樣,每個人生日是不同的,但是隨著互聯(lián)網(wǎng)的發(fā)展,我們的數(shù)據(jù)天天在泄漏,我們就是追求極端的安全防御,但是泄漏是避免不了的,生日數(shù)據(jù)已經(jīng)不是什么隱私了。假設(shè)有一天所有身份證信息被泄漏了,身份證信息又會包含生日信息,以生日信息做密碼的就非常危險。
當(dāng)前階段密碼認證的安全威脅:1、至少90%以上的網(wǎng)站登錄過程都不適用https 2、黑客組織非法擁有大量賬號密碼數(shù)據(jù)3、密碼MD5和對應(yīng)明文的字典數(shù)據(jù)4、網(wǎng)站登錄只做單向認證,用戶密碼容易被騙,什么是單向認證?我把密碼告訴你,你看一下來確認我的身份,但是我不知道你是不是我要找的那個人。這個體現(xiàn)在一些安全問題比如說釣魚網(wǎng)站,用戶并不知道這個網(wǎng)站是不是淘寶網(wǎng),他可能把密碼輸進去,我們能做的是把單向認證改為雙向認證,單向認證,https是一種方向認證,但是https不管從AI上來講,還是用戶歐使用來上講,很難感覺是一個雙向的認證,還認為是單向的認證。
5、竊取身份證成功后的tickit比竊取密碼本身更加容易。從技術(shù)角度看,盜取一個tickit,要比盜取密碼更加容易,我們看到很多網(wǎng)站,國內(nèi)的都不能例外,我們在登錄的采用的https傳輸?shù)拿艽a是加密的,我們是破解不了的,但是一旦身份認證完成之后,https協(xié)議來換跳轉(zhuǎn)頁面,他買到的這個票tickit被人劫走,也容易盜取到密碼。
賬號被濫用的幾個主要途徑:
1、第三方泄漏
2、釣魚網(wǎng)站
3、口頭詐騙
為什么說第三方泄漏,我們不清楚是不是第三方泄漏,我們每天看到,我們在一兩年前就已經(jīng)看到,有人拿著千萬級別的用戶密碼數(shù)據(jù),來嘗試做登錄,我們做防御。如果一個黑客在攻一個系統(tǒng),攻不下去的時候,可能會轉(zhuǎn)向弱的系統(tǒng),當(dāng)黑客嘗試完所有的網(wǎng)站之后,覺得沒有價值了,這個數(shù)據(jù)不值錢了,就便宜賣給別人。當(dāng)有客戶直接操作的人,把這些數(shù)據(jù)專賣給垃圾消息的時候,這個數(shù)據(jù)就被泄漏了,從專業(yè)角度看,賬號泄漏絕對不是一個月之前的事情,而是一年前,兩年前,或者更久以前的事情。就算今天一個網(wǎng)站泄漏了,那也不明天被暴出來,而是價值利用的一點意義都沒有的時候再暴露出來。
SNS網(wǎng)站泄漏,是用的最多的,是黑客盯梢的重點。email網(wǎng)站泄漏,是現(xiàn)在常用的。我們的賬號體系大部分用中文名稱再登錄,就跟一個QQ號一樣,拿一個郵箱登錄QQ不太現(xiàn)實的,那個用戶除非他傻。我們也很有幸,我們的盜號量一直在下降,但是從外部來看盜號安全問題是嚴重的,今年沒有去年嚴重,只不過是今年利用完之后被扔出來了。
釣魚網(wǎng)站越來越猖獗,也是我們淘寶網(wǎng)重點防護的對象,釣魚網(wǎng)站有一個很大的特點,剛開始完全是騙子,到現(xiàn)在我完全可以注冊一個真的網(wǎng)站,我不模仿淘寶,你只要輸送用戶密碼,我送你100條短信。未來的釣魚網(wǎng)站沒有任何詐騙跡象,他就是一個普通網(wǎng)站讓你注冊,注冊完成之后就變成第三方泄漏,釣魚網(wǎng)站會向第三方靠攏。
口頭詐騙,是我們技術(shù)人員關(guān)注比較少的,從后臺數(shù)據(jù)來看,口頭詐騙這招屢試不爽,在賬號安全里面,我們最頭疼的不是黑客把數(shù)據(jù)破解了,一個用戶在能到一個電話之后,一步一步的操作,把資金轉(zhuǎn)給別人,這樣一些問題。這個問題暴露了基礎(chǔ)安全有待提高的現(xiàn)象,應(yīng)該說就算是專業(yè)的從業(yè)人員,每個人的安全素質(zhì)也是不一樣的,一個機房里面測試做得再好,如果他的保安人員意識特別差,高手來了也很容易進去。有人昨天給我開玩笑,搞IBC不需要什么高深的技術(shù),拿一包炸藥,炸掉IBC大樓,什么事情都解決了。一個大樓被炸掉的風(fēng)險究竟有多大,這個我們要評估,地震概率有多大,我們也要評估,我們做安全也不可能盡善盡美,就是安全的,賬號永遠不被泄漏,這個基本在理論上是不可能的,我們會評估我們的價值,我們該投入多少錢,風(fēng)險有多大,帶來的損失有多大,然后評估。
賬號被濫用前三種是我們比較頭大的,之前通過木馬,或者漏洞,大家了解的比較多,我不多介紹了,從數(shù)據(jù)來看已經(jīng)排到后面去了,現(xiàn)在木馬盜號,網(wǎng)游產(chǎn)業(yè)比較常見。
CNNIC調(diào)查報告,2011年上半年密碼被盜比例,如果一個用戶明確知道自己賬號被盜,這個意識還不錯的,基本上我的賬號被盜的時候,我是不知道的,高手是神不知鬼不覺的。這個調(diào)查已經(jīng)說明了,我們有四分之一的用戶賬號被盜過。
二、賬號安全防御
1、服務(wù)端賬號信息防泄漏,我們怎么防信息泄漏?舉一個例子,我們家里500萬,怎么擔(dān)心這個錢丟,花兩萬塊錢買一個保險柜,傻子才會這樣做,人家直接把保險柜拎走就可以了。我們應(yīng)該去做投資,做轉(zhuǎn)換。
2、身份認證協(xié)議改進。基于簡單口令的認證,適合不適合再這么搞下去,哪些認證協(xié)議應(yīng)該全行業(yè)大家一起推廣,也是大家要思考的。
3、賬號權(quán)限票據(jù)的監(jiān)控4、垃圾賬號注冊過濾服務(wù)端防泄漏:服務(wù)端不存儲明文,零知識認證過程。我的身份認證不能真的拿一個確切的身份信息,還是說我認證的過程中,不管是從開始到結(jié)束,對方是不知道我的具體信息的。
身份認證協(xié)議改進:多因素認證,加入一些其他認證條件,或者說我們身份證的這個升級大概這樣:口令認證、多因素認證、多因素雙向認證,你要驗證我,我也要驗證你一次。從安全成本來看,安全指數(shù)越高,成本越大。這就是一個企業(yè)如果要做這件事情它的難處。
淘寶用戶賬號安全產(chǎn)品、二次驗證產(chǎn)品,淘寶用戶安全業(yè)務(wù)架構(gòu),左邊羅列的安全風(fēng)險,右邊是針對這些風(fēng)險給用戶提供的一些工具,他可以選擇性的使用。中間是淘寶業(yè)務(wù),買賣側(cè)重點不同,二次驗證。
一次性口令認證OTP,就是圖上面顯示的,有一個密碼,30秒鐘,或者一分鐘變一次的。
UsrKey,U盾之類的東西,是把密鑰放在一個U盾里,這個密鑰是不能被倒出的,把隨即事件加密,加密完成之后發(fā)送給服務(wù)器,服務(wù)器對應(yīng)密鑰進行解密,如果解密了就OK了,如果解密不了這個密鑰就不對,不能進行身份認證。目前成熟的應(yīng)用:網(wǎng)上銀行、支付寶、網(wǎng)游。但是問題也比較多,我們可以想像,一個人他出門的時候兜里面要放五六個U盾。
八卦盾二次驗證演示,Login直接吐二維碼,Ajax.
三、賬號安全未來低成本,高體驗,安全指數(shù)要求不是特別好,差不多,能夠把安全風(fēng)險罩得住就可以。
賬號安全還有未來嗎?從賬號來看,用戶密碼來看是沒有未來的,互聯(lián)網(wǎng)過去20年泄漏1億賬號,如果是兩億已經(jīng)很不錯了。如果100之后,我們的安全問題只會越來越嚴重,我們所有的技術(shù)改進,都可以說讓用戶用起來更舒服,更高效,效果更好了,唯有安全比以前更好了,以前輸六位密碼就可以了,現(xiàn)在要輸十幾位的密碼,而且一直發(fā)郵件讓我更改密碼。如果行業(yè)不努力,沒有人比我們努力,如果我們從事安全的,從事IT的人不努力,我們不去埋頭干,最后就是所有用戶一起承擔(dān)。
認證手段的增加:指紋:瞳孔、面部、DNA、擊鍵頻率(鍵盤芭蕾)、聲音,我覺得比較不錯的是擊鍵頻率,鍵盤芭蕾,每個人輸?shù)拿艽a節(jié)奏不一樣,作為一個參考數(shù)據(jù)去認證,效果應(yīng)該也不錯。還有一些聲音方面的,就是的聲音輸入非常方便,不久之后會有相關(guān)的產(chǎn)品出來,或者說這些除了生物技術(shù)之外,還有更多的,我希望有更多的廠商看到這個機會,推出更好的產(chǎn)品。
賬號安全趨勢:
1、減少密碼使用次數(shù),業(yè)務(wù)無密碼化。讓用戶忘掉密碼,我們的業(yè)務(wù)也不要再用密碼了,我希望在不久的將來可以看到,在注冊一個網(wǎng)站的時候,不需要輸入密碼就可以注冊。
2、減少密碼因子在認證中的比重。如果密碼真的去不掉,在認證因子的比重應(yīng)該是逐步降低,采取其他更好的手段來進行身份認證。
3、分級認證取代單一認證,我們現(xiàn)在的認證基本上都是單一認證,為了用戶體驗,為了省事兒,認證一次,后面的權(quán)限就全有了。支付密碼,是一個動態(tài)密碼,靜態(tài)的密碼都不是一個心里安慰,真正一個專業(yè)黑客,拿著一個500數(shù)據(jù)可以搞定82%的人均。
今天就講這么多內(nèi)容,謝謝大家。