萬達林鵬:我的電商安全觀
責編:rhliu |2016-06-29 14:43:49林鵬:大家好,我叫林鵬,來自萬達電商,傳說中國民老公電商,但是不要問我王思聰,我也沒見過。我的電商安全觀,這個名字我可能駕馭不了,我希望把我自己在做電商一些安全的經驗分享給大家,避免讓大家踩坑。
問一下大家,“6·18”有多少來賓聽說過飛凡的“6·18”?至少大家聽過萬達廣場,應該去過吧。前兩天在6月份的時候,萬達電商,我們行業O2O,主要還是圍繞萬達廣場里面的活動進行的一些活動。
我在當當網和網信金融都呆過,第三是現在的飛凡網,也就是萬達電商。今天我PPT主要議程兩個,一個是我對傳統互聯網安全的看法,第二是對新來的“6·18”對我們一些黃牛刷單的看法。
我做安全的同學,我之前發布在我自己的微博上,一般中小企業或者一些成型的企業基本上的架構大家都是差不多的。分為幾個大的部分。第一塊E.L.K,主要的功能點還是在日志分析,日志分析我去年講過一些案例,包括日志分析的昨天、今天與明天。基本上每一個公司或者每一個做安全的人員我相信對日志這個東西必須得有一定的了解,必須掌握一些日志的分析方法,這對你來說,其實我覺得相當于一個最基本的吃飯。有了這個日志可以看到好多的信息,我曾經把日志比做一個寶藏,大家看到日志從里面能挖掘出來各種各樣的東西。
第二個部分,我們在開源的時候用的一個叫IDS,從網絡的IDS,它的角色類似于WAP的角色,可以自定義一些規則,很簡單的一些規則,這樣可以發現大部分網絡上的攻擊。大家現在都知道網絡的攻擊還是以Web為主,部署這些可以對Web的攻擊做一些攔截。
三是OSSEC,也是我們之前在當當網用的最簡單的主機的…,一開始我們并不看好,后來這個東西非常有效。這個東西可以干什么用?主要干一個事兒,根據我們的經驗大部分的主機…可能會出現兩個問題,第一個文件被修改,第二文件被創建。正常情況下也會有文件被修改,文件被創建,使用…就可以發現這樣一個東西。如果發現這種類型的事件相信大家應該知道如果發現文件變更了,把變更的文件發送到自己掃描的服務器上掃描,這樣可以避免大部分網頁被傳送。主要的這些東西只是一個大體的思路,而不是具體的一些工具,工具也是有的,但是怎么用。
開源肯定有開源不好的地方,性能或者穩定性什么的比較慢。所以,這塊給大家提供一個思路。文件發生變化我們把文件傳到自己的掃描服務器上掃描,如果沒有問題不報警,有問題我們再進行處理。
下面有一個流程。好多的攻擊或者好多入侵并不是程序員有問題,比較冷漠或者不遵守一些規矩,不遵守一些流程造成的問題。有好多因為自己的比如程序員為了圖個方便在自己的網站開一個后門,也不叫后門,為了便于管理,這些后門有可能被黑客發現或者設置一些弱口令。這種完完全全靠技術訪問可能是防不住的,因此可能需要一些流程上的東西幫大家管理。這點我們集團做的比較好。集團有的時候上線,因為他們的人非常少,所有的上線都要經過他們的審核,這樣就會形成一個隊列。當他們審的時候,如果發現一個項目上線的時候安全審核不通過,他會把這個項目從這個隊列里移出來,相當于會排到最后,這樣對項目整個周期非常長,相信誰都不愿意的。所以,他們在上線的時候一定會注意到安全的問題,這樣無形中也給安全工程師提高了安全的話語權。如果上線上得慢會影響到你的一些績效。所以,他們一定會重視這塊。
這些流程和制度,也許大家覺得沒什么用,現在做到稍微大一點的時候會發現有的時候完全靠技術真的Hold不住,需要一些流程制度。
我們做的平臺,我們之前找了一間國內公司做了滲透測試,效果還是比較不錯的,我們這邊發現百分之七八十的攻擊范圍。大家可以理解為一個規則配置的東西。右邊的是檢測出來的一個,你只要配置好規則,這個規則是怎么配置的我相信如果做安全工程師的應該都知道黑客常用的一些工具有什么特征或者常見的攻擊有什么樣的特征,這樣的話才可以好好的配比規則。怎么配置規則,怎么讓規則做最好的生效是需要花一定的時間研究的,也需要大家了解黑客攻擊的方法。
常見的一個情景。我們一般會看到外部的一些攻擊,對于外部的一些攻擊大家一般怎么做的?這個我相信如果說是安全工程師的話,至少要做到以下三點。分三個階段,第一個階段肯定是響應。有個黑客掃你或者進行注入或者進行別的東西,如果你不響應或者連看見都沒看見,這事兒有點說不過去了,公司肯定覺得養我們這種人沒用,至少你有發現問題的能力,至少你應該處理。響應最簡單的辦法是把他IP封了。第二個層次是分析,其實就是看他最近或者是他想干嘛或者他對那些系統造成了哪些威脅或者他攻擊了哪些系統。正常來說大家也可以看看日志有沒有對它進行分析,至少分析出他對我們的攻擊是不是成功的攻擊,也需要花一些時間。
如果有基于…的…注入,它的返回值正常的和不正常的,…長度不同,可以根據這個判斷出來有沒有真正的SQL注入。前臺沒有配置好出現SQL注入一定會看到…里存在的報錯。如果存在SQL報錯的話,它這個攻擊是成功的。第二部分,一定要進行分析,這是安全功能要注意的。
數據挖掘也是一樣,最起碼看到黑客就想到最近一周或者最近一個月他想做,比如看到一些刷單的用戶到底在干嘛,他們是通過什么辦法進行刷單的,他們有沒有其他的,這些靠數據挖掘來做,數據挖掘部分我們現在先不談。
做到這三點,我覺得算是一個標準的安全工程師應該做的事兒。我覺得我在電商的時候做的事兒雖然沒有做到第三點,但是前兩點我做的還可以。
下面的問題來了,我這里面一個坑,我想問大家一個問題,大家如果有在現在公司打算做一輩子的請舉一下手?應該沒有吧。絕大部分人應該都不會呆一輩子,至少有跳槽的打算。如果大家有跳槽的打算,這些資產我建議大家一定要做一些保留,至少給自己一份,以后在別的地方也可以用到,這是前提允許的情況下。比如這些攻擊的IP,這些東西我相信在現在的公司如果留著,拿走一份問題也不是那么大。這些攻擊IP和代理IP在以后的工作中會發生很大的作用,至少有一點,我們的安全不是為了安全而安全,安全也是一個輔助,輔助我們的業務安全,業務安全里有一個很大的部門,用戶的登陸信息,登陸里包括盜號或者賬戶被盜之類的東西,我們夠可以用這些攻擊的IP形成一個類似于IP庫,我們可以把這些東西算進去。如果有一個用戶在代理IP里出現過或者他在攻擊IP里出現過就說明他可能會存在一些問題,這樣我們就可以用這些IP進行一些收集。
大家這些資產也算是知識資產,不是鼓勵大家跳槽,大家做工作的時候千萬不要把日志或者報警報完就完事,一定要把這些收集下來,這些都是各位做安全工程師的一些資本。
還有幾個也不算是黑科技的黑科技,有些東西大家都在用,只不過給大家起拋磚引玉的作用,這也是從攜程學來的,我們也在做這個事兒。有的時候大家肯定都會上線,開發一定會上線,有的時候上線是不經過運維的,也不會經過安全組的審核。我們會把新增的UI記錄下來,我們會通過被動的掃描來檢測這些新增的UI。這個可以做在線上,線上可以發現一些新增的UI,還有一些地方可以做在測試環節,我相信大家每個公司都應該有測試,每發布一個新的功能,從技術來說一定是QA最先得到。所以,這個放到QA環節,比如監測一下他們的流量,發現新的UI記錄下來,然后使用一個掃描器把這些新增的UI記錄下來進行掃描,或多或少也會幫大家攔一些常規的安全問題,比如信息泄露。
前面是一些傳統的安全的東西。第二講講業務安全。業務安全之前講的也很多,尤其P2P平臺,這次講講“6·18”的時候跟羊毛黨也好,黃牛也好,相當于對抗的一個事兒。
業務安全我們現在主要前面兩個,第一個是黃牛黨或者薅羊毛,第三是刷單,第三可能程序員寫程序時寫出的一些問題,第三它藏的比較隱蔽也不太容易找,主要說說黃牛黨。這里面又有第二個維度的東西大家可以收集,如果有同學做業務安全或者做一些相當于數據安全或者一些業務上的東西,可以把一些黑名單什么的做一個節點,比如電話的黑名單、身份證的黑名單,銀行卡的黑名單,可以把這些東西做一個積累,這些積累以后別的地方也都可以用得上。一個活動下來基本上抓住20萬手機號。
講一下“6·18”的例子。活動接口APP的版本,我們當時的活動是一個會員拉新的活動,新用戶可以注冊,注冊完了以后返5塊錢,老用戶如果推薦他注冊的話,推薦4個用戶就發20塊錢。這個時候我們就發現一個問題,發現一個什么問題?第一個是注冊,注冊完了之后他還可以參加一個活動,類似于手機搖一搖的活動,大家都知道有搖一搖的抽獎,我們當時新的APP也發布了,新的APP才可以參加這個活動,但是當時就忘了一件事兒,因為新的APP使用的是老版本的接口,結果就發現有一些人直接用老的接口,因為新的接口我們會進行了一些加補用不了,這幫人發現新的接口不太好玩,他們就開始用老的接口刷我們。大家做活動的時候如果會員拉新的時候一定要注意一下自己的APP新的程度,再注意一下活動接口是不是有老的活動結口也可以參與到這個活動,如果這樣的話就一定會吃虧的。
第二,活動的內容與風控。現在做風控的人挺多的,大部分企業都偏向從傳統的安全往風控上轉,好多公司不說兩句風控的事兒都覺得自己挺沒面子的。這利民我要說一個事兒,“6·18”我們抽獎,當時也是抽小米手機,我們吸取上一次的教訓,活動接口也是新的,APP也扎住了,肯定是保證他們從這條路來不了。后來他們比較瘋狂。第一天下午我們發的版,第二天我看到他們14:39我們的APP就給破解了,他們就可以接著刷單了。其中有幾個時間段發現刷單的人特別少,我們那個活動叫小米搖一搖,搖完以后隨機中獎,概率也不是太高。當時我們一開始的策略,大家都是一個概率一起搖,搖到什么時候能搖到就完事,正常概率,后來有一個運營發現有人在刷,有一個運營他們把這個活動配置錯了,配置成了秒殺,發現那個時間段都出去了,但是沒有一個被刷的,活動的內容也可以給大家參考一下。
還有一些活動的內容,我們返利的時候,有的時候可以讓對方投一些錢進去,他們刷的人就會少一些。當然,還有幾個事兒,還有一個隨機減的活動,這個活動可以隨機減免一定的金額。這種活動下對客戶來說可能是沒有太大的,會有一些比較好的優惠活動,但是我們會發現更多的參與到活動中的這種人可能是商家,我們的商家可能會參與到刷單的行動中。比如每活動一單減5塊錢他就多下幾單,他就相當于減那5塊錢的差價。這是活動的內容。這些東西有的時候是看你的活動內容,更多也可以看你風控去解決。
我們“6·18”遇到的刷單,有幾組數據,我們查到一個注冊的IP地址,這幫人想參加我們活動一定要先注冊一些小號才能參加一些活動,這是一個特征下的。統計學具體的東西我就不說了。我想跟大家說一個事,有的刷單也不能說他們笨,其實你只要發現了他們其中一些規律,你完完全全可以抵擋住他們的刷單,為什么他們不做成隨機的東西而是做成有規律的?我們統計學的一些單可以抵擋住至少60%的刷單是沒有問題的,小米手機80%被我們扣掉了。
一個特征在每個時間段內注冊的手機號,16號10點的時候,到了15點的時候一個特征值注冊的數量就已經超過了七千多次。之前打碼平臺,短信驗證碼他們可以用打碼平臺,圖形驗證碼他們也可以用云的打碼平臺通過。
我們跟他們斗智斗勇,我們開始的活動在APP上進行,這幫人發現在APP上注冊有問題,他們就跑到我們另一個地方進行注冊。比如我們還有一個手機移動端,他們到M站注冊,我們把這個接口封掉他們又跑到其他地方注冊。如果你作為安全行業對自己公司的業務不太熟的話,不是太好玩的。他們的打碼平臺大家可以搜一下。如果你手里有一堆打碼數據的平臺,這樣會對你的業務安全會有非常多的影響。大家也可以找一些公司做一些咨詢。
我想說我真正的觀點,做安全的人和其他的做攻擊的人,這個游戲坦克大戰,做安全的人我自我感覺一個黃,一個綠的兩個坦克,不管它怎么進攻或者防守有一個核心的東西就是自己的老窩,對于黑客或者對于攻擊者來說,他們是不用考慮后果的,他們的目的只有一個問題,他們獲勝大家都知道兩個條件,黃的和綠的坦克打死,第二是老窩,我們一定是身后有一些保護的東西,我們制定策略的時候,而且還要保證業務不受影響。當然,我們制定策略的時候,還要保證我們用戶體驗,他們自己都不知道用戶體驗是什么。我們盡量使用戶體驗好,這是我們要做的工作。當然,對我們來說,尤其是安全決策的人來說,你下的每一條策略,每制定一條策略要對策略百分之百的了解,我們之前犯了一個錯誤,比如我們判斷設備合法性當時差點犯了一個錯誤,我們當時不太了解iOS的原理,我們發現有好多iOS的設備Map地址和…是一樣的,Map地址是48位的,所有Map地址等于…的拉入黑名單,后來我拿自己的手機試了一下,發現iPhone是有這個特性,它的Map地址或者可能是我們的開發自己做的,這個不是太確定,至少在我們的公司網站上Map地址和…,如果這條策略下發下去肯定會出事。
如果你對策略不了解的情況下一定不要亂下策略。還有一個問題,對一個東西不管你多忙,如果下這個策略,你一定要驗證這個策略,在下這個策略之前一定要驗證,不管你多忙,只要你用這個策略。刷單刷的很嚴重的情況下,我如果不驗證這個策略一定會有一些正常的用戶被封死,做安全策略的時候一定要考慮。這就是我要講的,謝謝大家。
上一篇:亞數翟新元:加密無處不在