阿里安全構(gòu)筑“正義聯(lián)盟”:要在系統(tǒng)安全里找到上帝視角

蒸米希望在系統(tǒng)安全研究里獲得上帝視角。

這個(gè)角色很像

《頭號(hào)玩家》里的綠洲創(chuàng)始人阿諾克,

他不參與游戲闖關(guān),

卻是整個(gè)游戲真正的主宰者。

阿里安全構(gòu)筑“正義聯(lián)盟”:要在系統(tǒng)安全里找到上帝視角

“這不僅僅是一個(gè)游戲,我說的是現(xiàn)實(shí)世界中的生死”。

《頭號(hào)玩家》的這句經(jīng)典臺(tái)詞,或許能夠闡釋白帽黑客的價(jià)值,當(dāng)越來越多的數(shù)據(jù)、隱私、財(cái)富留存在比特世界里,黑客軍團(tuán)的每一次得手,都是對(duì)現(xiàn)實(shí)世界的入侵、傷害、摧毀。

在0、1字節(jié)組成的比特世界里,來勢(shì)洶洶的黑產(chǎn)和黑客軍團(tuán),從未停止過進(jìn)攻之手,這些“小偷”、“強(qiáng)盜”們已經(jīng)構(gòu)筑了年產(chǎn)值千億級(jí)別的中國(guó)黑灰產(chǎn)業(yè)。

阿里巴巴旗下的各電商平臺(tái),正是黑客們覬覦已久的富礦,每天,黑客們會(huì)發(fā)起4000萬惡意訪問來阿里尋找安全漏洞,黑產(chǎn)軍團(tuán)通過爬蟲發(fā)起17億次的惡意訪問。

今天,我們故事的主角,就是阿里安全實(shí)驗(yàn)室的幾位年輕白帽子———過去,他們隱身于0、1世界,以“化名”行走江湖,但他們才是虛擬世界里的超人、蝙蝠俠、正義聯(lián)盟。

作為一個(gè)技術(shù)小白,黑客過去存在于我的想象之中,他們是類似電影《黑客軍團(tuán)》里男主那樣的人物:身懷絕技,智商爆棚,但情商很低,神經(jīng)質(zhì)、沉默寡言、社交障礙。。。。

不過,當(dāng)我采訪了阿里安全實(shí)驗(yàn)室的三位90后(以及準(zhǔn)90后)安全專家后,我的猜想被打臉了,他們性格各異,但都具有兩個(gè)共性:興趣和質(zhì)疑精神。

蒸米,阿里安全獵戶座實(shí)驗(yàn)室研究專家,曾是2015年校招中在上萬應(yīng)聘者中唯二的超級(jí)明星“阿里星”,F(xiàn)IT 2016評(píng)選的”年度最佳安全研究員” (全國(guó)僅一位)。

他對(duì)安全研究的興趣,非常類似于《頭號(hào)玩家》里的男主。住在貧民窟的男主帕西瓦爾沉迷在綠洲游戲里闖關(guān),因?yàn)殛J關(guān)成功,就能成為綠洲世界的主宰者,獲得財(cái)富自由————始于個(gè)人欲望,機(jī)緣巧合之下,才成為綠洲世界的拯救者。

蒸米小時(shí)候沉迷于游戲,遭到父母阻撓,設(shè)了系統(tǒng)密碼,藏起電源,蒸米因此學(xué)會(huì)了破解密碼,然后把老風(fēng)扇的電源焊接到電腦上,“要是中電死了都有可能”。在被憤怒的父母強(qiáng)制轉(zhuǎn)學(xué)后,為了去網(wǎng)吧免費(fèi)打游戲,蒸米甚至想方設(shè)法破解了電腦上的網(wǎng)管程序。

如果說黑產(chǎn)軍團(tuán)的第一原動(dòng)力是每年高達(dá)千億的利益,那么,非此不可的興趣和熱愛,就是支撐所有白帽黑客安身于此的第一原動(dòng)力。

“如果你沒興趣,你干不了這個(gè)。”蒸米的同事,91年的安全專家團(tuán)控說。團(tuán)控是阿里安全很年輕也成長(zhǎng)比較快的一個(gè)白帽子?;诿麨椤皟?nèi)核空間鏡像攻擊”的重大發(fā)現(xiàn),他連續(xù)受邀在全球頂級(jí)安全大會(huì)BlackHat、HITB上演講。通俗來說,他發(fā)現(xiàn)了ARM的一個(gè)瑕疵,而ARM處理器的市場(chǎng)份額超過90%,一旦這個(gè)瑕疵被黑客利用,幾乎所有的手機(jī)用戶都會(huì)遭遇影響。

阿里安全構(gòu)筑“正義聯(lián)盟”:要在系統(tǒng)安全里找到上帝視角

上圖:團(tuán)控在2018年3月的blackhat上演講

之所以能發(fā)現(xiàn)這個(gè)漏洞,是因?yàn)閳F(tuán)控在2016年時(shí),研究了ARM的芯片手冊(cè),“普通開發(fā)者,不會(huì)有人看這個(gè)東西?!?/p>

而奠定蒸米江湖地位的,是其發(fā)現(xiàn)并命名了影響上億設(shè)備的iOS病毒XcodeGhost和影響上億設(shè)備的Android app漏洞WormHole 。

專注于iOS系統(tǒng)多年,蒸米每次都會(huì)第一時(shí)間進(jìn)行分析,“運(yùn)氣只在一時(shí),我們這個(gè)行業(yè)很像醫(yī)生,你要慢慢熬,要看積累的?!?/p>

并非所有黑客都是科班出身,比如團(tuán)控和蒸米多次提及的TK,過去曾是婦科醫(yī)生,“學(xué)醫(yī)已經(jīng)很累了,要是沒有興趣,還能有時(shí)間去看這個(gè)代碼嗎?”

蒸米、團(tuán)控、白小龍等人研究的領(lǐng)域,聚焦于底層的系統(tǒng)安全層面,這些研究難度系數(shù)極高,具有極大的不確定性。

每個(gè)系統(tǒng)漏洞和瑕疵,從發(fā)現(xiàn),到公開、到發(fā)表,再到被修復(fù),通常需要半年到一年,“中間這個(gè)時(shí)間,你壓力很大的,你的滿足感在哪里呢?就是你享受這個(gè)過程?!眻F(tuán)控說。

團(tuán)控的“內(nèi)核空間鏡像攻擊”,從2016年初發(fā)現(xiàn)線索,到2018年公開演講,受到業(yè)界承認(rèn),整整耗費(fèi)了兩年。

被業(yè)界公認(rèn)為“大神”的蒸米,依然處于高壓當(dāng)中,“可能你一個(gè)月發(fā)現(xiàn)好幾個(gè)漏洞,也可能好幾年發(fā)現(xiàn)不了一個(gè),然后你為啥還要一直做這個(gè),沒有興趣撐不下去。”

對(duì)于那些游弋在浩瀚無垠的二進(jìn)制大洋中的白帽黑客們來說,興趣,幾乎是克服寂寞、孤獨(dú)、高壓誘惑的唯一解藥。

“畢生夢(mèng)想,就是操作系統(tǒng)發(fā)展歷史上,作出有自己貢獻(xiàn)的一筆?!卑仔↓堈f,“就靠這個(gè)撐著了”。

蒸米并不是那種看起來很乖巧的員工,采訪中,他負(fù)責(zé)DISS,搭檔白小龍負(fù)責(zé)點(diǎn)贊。

阿里安全構(gòu)筑“正義聯(lián)盟”:要在系統(tǒng)安全里找到上帝視角

上圖:蒸米(右一)和白小龍(左一)在2018年4月的歐洲信息安全會(huì)議HACK IN THE BOX(HITB)上演講之后合影

但無論是挑剔的蒸米、還是穩(wěn)重的白小龍、溫和的團(tuán)控,質(zhì)疑、批判和對(duì)抗、逆向思維,才是他們性格的底色。

從2015年入職至今,蒸米的研究領(lǐng)域一直聚焦在iOS領(lǐng)域———軟硬一體化、高度自控的iOS,已經(jīng)是現(xiàn)存最完美的操作系統(tǒng),看似無懈可擊,但持續(xù)奠定蒸米業(yè)內(nèi)大神地位的,就是其能夠持續(xù)的發(fā)現(xiàn)iOS系統(tǒng)的瑕疵和漏洞?!癷OS系統(tǒng)公認(rèn)最安全,你能發(fā)現(xiàn)漏洞,成就感就更強(qiáng)?!?/p>

iOS最新發(fā)布的11.3版本,蒸米發(fā)現(xiàn)了一個(gè)用戶態(tài)的漏洞,白小龍發(fā)現(xiàn)了一個(gè)內(nèi)核層面的漏洞,“控制了用戶層的東西,才可以去攻擊內(nèi)核,把整個(gè)內(nèi)核攻陷了之后,就能夠占領(lǐng)整個(gè)系統(tǒng)。”

隨著iOS、安卓系統(tǒng)的安全系數(shù)逐漸提高,發(fā)現(xiàn)漏洞的難度正在指數(shù)化增加,這就要求白帽黑客們必須對(duì)操作系統(tǒng)具有自上而下的全局把控能力。

“安全是沒有邊界的,非常深?yuàn)W?!闭裘渍f,把系統(tǒng)的一個(gè)模塊搞懂,可能就需要半年,“很多開發(fā)人員,把功能實(shí)現(xiàn)了,但是他可能不知道這個(gè)函數(shù)還有其他用法?!?/p>

換句話說,搞系統(tǒng)安全的人,一定要超越開發(fā)人員,才能發(fā)現(xiàn)這個(gè)看似完美程序中的瑕疵、弱點(diǎn)和漏洞。

“你覺得你像那個(gè)殺人游戲里的法官角色嗎?你能看到誰在睜眼,誰在閉眼?知道誰是殺手,誰是警察,誰是貧民?”我問蒸米。

“我們希望是這樣,上帝視角,但還正在努力吧?!闭裘渍f。這個(gè)角色很像《頭號(hào)玩家》里的綠洲創(chuàng)始人阿諾克,他不參與游戲闖關(guān),卻是整個(gè)游戲真正的主宰者。

但這些安全大神們的“英雄之舉”,難以被公眾感知,因?yàn)?,最佳的安全防護(hù),其實(shí)是在漏洞被利用、影響用戶之前,就被發(fā)現(xiàn)和修補(bǔ),這是所謂的無感知安全。

甚至連開發(fā)人員都不理解他們?cè)诟墒裁?。普通公眾?huì)把盜QQ等行為等同于黑客,“我們都不愿意說自己做安全的,我們把自己定義為做操作系統(tǒng)的?!闭裘渍f。

白帽黑客和黑產(chǎn)黑客們最大的區(qū)別在于,黑產(chǎn)黑客只要抓住一個(gè)漏洞,針對(duì)性攻擊,就能斬獲頗豐。但維護(hù)安全的白帽黑客們,其攻防則符合木桶理論,“系統(tǒng)安全性的整體水位與最脆弱的組件水位相同”,換句話說,在通往羅馬的路徑上,黑產(chǎn)黑客們只需找到一條道路,但蒸米等維護(hù)安全的正義聯(lián)盟,則需要窮盡所有的路徑,然后才能嚴(yán)防死守,堵住所有漏洞。

在踐行“正義聯(lián)盟”職責(zé)的同時(shí),誘惑卻無處不在。團(tuán)控的重大發(fā)現(xiàn),從著手研究,再到業(yè)界承認(rèn),至少要花上兩年時(shí)間。兩年間,一個(gè)個(gè)的獨(dú)角獸企業(yè)同期崛起,比如以27億美金售賣給美團(tuán)的摩拜單車,創(chuàng)始團(tuán)隊(duì)因此實(shí)現(xiàn)了財(cái)務(wù)自由。

蒸米感嘆這個(gè)時(shí)代的所有東西都在變快,“大學(xué)時(shí)我一個(gè)刀塔游戲能玩四年,去年王者榮耀20分鐘一局,然后跳一跳幾分鐘,現(xiàn)在刷抖音,一個(gè)視頻才幾秒”。

蒸米等人也并非不食人間煙火?!斑@個(gè)環(huán)境,就讓你越來越浮躁了,我也要關(guān)心房子、關(guān)心車子,關(guān)心孩子,我自己做基礎(chǔ)研究我覺得特別好,但這個(gè)掣肘實(shí)在太多了?!卑仔↓堈f。

風(fēng)口很多很快,除了阿里等巨頭,幾乎很少有公司愿意投入類似系統(tǒng)安全這樣的基礎(chǔ)研究層面。

但慢歸慢,基礎(chǔ)研究薄弱的致命缺陷,在中美貿(mào)易戰(zhàn)中暴露無疑,遭受美國(guó)芯片斷供威脅的電信巨頭中興,幾乎立刻進(jìn)入了休克狀態(tài)。

4月25日,心有戚戚的蒸米發(fā)了一條微博,“感謝美國(guó)毛衣(貿(mào)易)戰(zhàn)讓很多人醒悟,也許下一個(gè)風(fēng)口就是基礎(chǔ)科學(xué)/系統(tǒng)安全~”,然后又點(diǎn)贊了聲稱要自主研發(fā)空調(diào)芯片的格力。

在芯片大戰(zhàn)爆發(fā)后,阿里全資收購(gòu)中國(guó)大陸唯一的自主嵌入式CPU IP Core公司中天微,過去四年間,阿里已經(jīng)投資了5家芯片企業(yè)。

過上更為富裕的生活并非難事。在黑市上,一套蘋果越獄的漏洞價(jià)值五六十萬,而遠(yuǎn)程越獄的漏洞甚至價(jià)值百萬。不少基礎(chǔ)安全研究者跳槽去剛剛起風(fēng)的區(qū)塊鏈公司,動(dòng)輒年薪數(shù)百萬。

從這個(gè)意義上來說,那些繼續(xù)堅(jiān)守系統(tǒng)安全和基礎(chǔ)研究的蒸米等人,就變得更為可貴了。但蒸米保持了長(zhǎng)期的樂觀,“現(xiàn)在,就必須做好完全的準(zhǔn)備,站在風(fēng)口上,等風(fēng)來,然后抓住這個(gè)風(fēng)。”

盡管橫向來看,中國(guó)多數(shù)公司對(duì)系統(tǒng)安全的重視程度,可能與美國(guó)巨頭還有差距。但從縱向來看,包括阿里在內(nèi)的中國(guó)公司,對(duì)安全的重視程度正在提升。

在阿里等公司,安全可以分為兩類,第一類是服務(wù)于集團(tuán)內(nèi)部的業(yè)務(wù)安全,第二類則是產(chǎn)業(yè)鏈上下游的全行業(yè)安全。

阿里對(duì)安全的重視,起源于黑產(chǎn)軍團(tuán)的一次次進(jìn)攻,隨后,安全部門才不斷壯大。

阿里安全構(gòu)筑“正義聯(lián)盟”:要在系統(tǒng)安全里找到上帝視角

上圖:4月27日,阿里巴巴集團(tuán)首席風(fēng)險(xiǎn)官鄭俊芳(左一)在北京展覽館阿里展區(qū)向公安部網(wǎng)絡(luò)安全保衛(wèi)局副局長(zhǎng)鐘忠(左二)、北京市公安局副局長(zhǎng)張?。ㄓ乙唬┙榻B阿里安全八大實(shí)驗(yàn)室的核心技術(shù)能力

阿里巴巴集團(tuán)首席風(fēng)險(xiǎn)官鄭俊芳介紹,2005年前后,“阿里安全”還是集團(tuán)技術(shù)團(tuán)隊(duì)下設(shè)的一支幾個(gè)人組成的小隊(duì),那時(shí)候,抵御攻擊的手段靠得是頭疼醫(yī)頭、腳疼醫(yī)腳的被動(dòng)攻防。

彼時(shí),阿里平臺(tái)上商家的競(jìng)爭(zhēng)極為激烈,A商家看到B商家銷量大好,會(huì)買通黑客對(duì)B發(fā)動(dòng)DDOS攻擊,消耗平臺(tái)的帶寬和服務(wù)器資源,導(dǎo)致服務(wù)器運(yùn)轉(zhuǎn)遲滯。

阿里當(dāng)時(shí)的解決方案就是把受到攻擊的B店鋪采取屏蔽處理,讓攻擊者失去目標(biāo),以恢復(fù)服務(wù)器正常運(yùn)轉(zhuǎn)。

雖然危機(jī)暫時(shí)解除,但作為受害者的商家B,卻再次成為了犧牲品。

于是,2009年,阿里正式設(shè)立安全部,如今,阿里生態(tài)體系的網(wǎng)絡(luò)安全部門,已經(jīng)積累了高達(dá)數(shù)千人的專業(yè)團(tuán)隊(duì)。

而黑產(chǎn)軍團(tuán)對(duì)阿里的攻擊,也成指數(shù)倍增加。過去的一年里,阿里巴巴集團(tuán)共受到2015次DDOS攻擊,最大攻擊流量777Gbps。

“這個(gè)數(shù)字意味著什么?打個(gè)比方,整個(gè)杭州城的網(wǎng)民同時(shí)在線所使用的帶寬,都遠(yuǎn)不及此?!编嵖》冀忉尅?/p>

但這些貪婪的黑客們,最終失望而歸。12年間,阿里安全從被動(dòng)應(yīng)對(duì)升級(jí)到主動(dòng)防御,從人肉防守,到技術(shù)、算法主導(dǎo),在今天,對(duì)抗DDOS攻擊的任務(wù)早已交給了“無人值守”的自動(dòng)化防控產(chǎn)品。

攻防的根本目的在于讓攻擊方成本上升而放棄攻擊--防控能力越高,黑客付出的成本就越高。舉個(gè)例子,過去,黑客發(fā)動(dòng)一次攻擊要花費(fèi)1元錢,如今,黑客打開一個(gè)保險(xiǎn)箱的成本就要100元,而保險(xiǎn)箱里可能只有50元,“得不償失”之后,黑客們幾乎喪失了所有可乘之機(jī)。

蒸米曾親歷了去年雙11的那場(chǎng)攻防戰(zhàn),“沒出任何不可控的風(fēng)險(xiǎn)”,松了一口氣的蒸米,還輕輕松松跑去和逍遙子合影一張。

但作為全球最大的電商平臺(tái),深處整個(gè)比特世界的核心位置,阿里安全的要義,不僅僅局限于集團(tuán)內(nèi)部,還必須對(duì)外開放。

“比如說,安卓和iOS有漏洞的話,我們的淘寶、支付APP根植在這個(gè)操作系統(tǒng)上,也有風(fēng)險(xiǎn)的?!眻F(tuán)控解釋說。

因此,阿里安全在滿足了集團(tuán)業(yè)務(wù)的需要外,還走上了對(duì)外開放的路徑。早在2012年,阿里就集合外部力量,建立ASRC(阿里安全應(yīng)急響應(yīng)中心)。去年12月30日,阿里又正式加入First(事件應(yīng)急響應(yīng)與安全小組)國(guó)際組織,與85個(gè)國(guó)家的414個(gè)應(yīng)急響應(yīng)相關(guān)組織建立聯(lián)系,其他組織成員包括谷哥、微軟、亞馬遜等國(guó)際互聯(lián)網(wǎng)巨頭。

在這些宏大的集團(tuán)戰(zhàn)略之外,對(duì)蒸米等人產(chǎn)生直接影響的,可能是阿里安全剛剛成立的八大安全實(shí)驗(yàn)室,由雙子座實(shí)驗(yàn)室、獵戶座實(shí)驗(yàn)室、潘多拉實(shí)驗(yàn)室、歸零實(shí)驗(yàn)室和錢盾反詐實(shí)驗(yàn)室、米諾斯實(shí)驗(yàn)室、圖靈實(shí)驗(yàn)室以及螞蟻金服光年實(shí)驗(yàn)室組成。每個(gè)實(shí)驗(yàn)室都有明確的研究領(lǐng)域,可以讓研究員們長(zhǎng)期聚焦于自己的專業(yè)領(lǐng)域,而阿里也借此構(gòu)建一個(gè)全面、縱深的安全技術(shù)矩陣。

蒸米復(fù)盤阿里三年,對(duì)自己的進(jìn)步還算滿意,“從簡(jiǎn)單的發(fā)現(xiàn)漏洞,到知道漏洞為什么會(huì)產(chǎn)生,如何能夠利用漏洞,然后能夠控制整個(gè)操作系統(tǒng)?!?/p>

三位白帽黑客,沒有一個(gè)冒出過離開行業(yè)的念頭。蒸米在朋友圈轉(zhuǎn)發(fā)了超級(jí)黑客HD Moore的故事,他擁有大約價(jià)值270億人民幣的比特幣,但依然在寫代碼,“你們?cè)谧械娜讼胍幌胗辛诉@么多的錢,是不是還會(huì)做現(xiàn)在的事情?!?/p>

這個(gè)問題,蒸米也許在問自己,而且他已經(jīng)有了答案。

極客網(wǎng)企業(yè)會(huì)員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2018-05-02
阿里安全構(gòu)筑“正義聯(lián)盟”:要在系統(tǒng)安全里找到上帝視角
這個(gè)角色很像《頭號(hào)玩家》里的綠洲創(chuàng)始人阿諾克,他不參與游戲闖關(guān),卻是整個(gè)游戲真正的主宰者。

長(zhǎng)按掃碼 閱讀全文