雷锋网按:这次和百度安全实验室聊的话题围绕一个字:门。之所以聊这个话题,是因为前不久百度安全实验室刚在 GeekPwn 2017 上破解一款被广泛应用的新型智能门锁。
经过几个小时的畅谈,雷锋网发现,破解智能门锁对百度安全实验室来说算不上大的挑战。真正的挑战来自网络世界那些数不清的门 —— 网站的门(网址安全)、账户的门(账号安全)、黑产的大门(DDoS攻击、伪基站、羊毛党……),每一扇“门”都牵扯到无数网民信息安全和利益,且每一扇门都可能引发激烈的技术较量。
△ 2017 GeekPWN 破解果加互联网智能锁开锁瞬间
理论上来说,世上所有智能门锁都有办法破解,只是时间和成本问题。
百度安全实验室的 X-team 负责人黄正刚从世界黑客大会 GeekPwn 2017 回来没几天。会上,他的同事“小灰灰”破解了一款智能儿童手表,而他则上演了一出瞬间让智能门锁形同虚设的犀利攻击。
“从对这款门一无所知到成功破解,花了三周。”
“有个同事住的自如寓恰好用的是这款智能锁,所以就破解一下试试。挺巧的。”
“用逆向工程的方法搞定了它的通信协议,就破解成功了。”
一项能轻易打开千家万户门锁的黑客破解技术,怎么听起来那么简单 ? “谁说很简单 ?! 你要不看看二进制长什么样?” 黄正一个反问把我噎了回去。在此之前,我已见识过所谓的逆向工程,在不懂二进制的人来说,那就是天书。
△ 前不久爆发的Wannacry 病毒样本分析“天书”
破解一个智能门锁,其实并不简单。一段加密的信息从云端传输到设备,破解者看不到数据的流向,也不知道哪一段数据是谁处理的。他只能在茫茫的反复编译代码中,仔细观察每一个函数变化的含义,分析出它们的对应关系。
就像是给你一部没有字幕的印度电影,让你仅靠观察演员的肢体动作,完全猜出对白内容。逆向工程难度绝不亚于以上情形。
我们面前摆着几百个函数,哪个函数是给智能锁加密的,哪一个函数是解密的,只有通过类似于肉眼观察的方法去一点点尝试,最后终于找到了一个函数,才有可能把这个密文变成明文,期间还要考虑加密算法的参数,比如锁的ID、网关的 ID等等……
黄正说破解智能门对他来说不难,但也不简单。百度安全实验室更看重的是破解背后的意义,漏洞就是创新产品身上的刺,找出漏洞并且帮助厂商修复,就是在“拔刺”。而事实也如此,果加智能门锁在收到百度安全的破解信息后积极响应并紧急修复了漏洞,为其智能产品的安全性带来了极大提升。
对于百度安全实验室来说,破解一款智能门锁也就花了两三个星期,的确算不上挑战,毕竟门锁是死的,摆在那儿等你去破解。对他们来说,真正算得上挑战,是另外一些“门”,这些门背后可能潜藏着一整支黑产团伙,对抗也不可能一两周内完成,它是场旷日持久的网络攻坚战。
有人曾把网络世界比作一道无尽的步行街。不同的网址是分列在街旁的一扇扇大门:
你推开“www.taobao.com”这扇门 ,就走进了琳琅满目的商场。
你推开“www.baidu.com”这扇门,就可以轻松把你传送到想去的门前。
你推开“www.icbc.com.cn”这扇门,就能进入“爱存不存”的钱庄。
然而,
有些门看起来朴实无华,一旦吃瓜群众误入,里面的木马病毒就会趁机“上身”。
有些门挂着类似银行的招牌,走进去却是骗人钱财的钓鱼网站。
有些门通向地下赌场,人们锦衣玉食进去,光着屁屁出来。
有些门口点着粉色小灯,里面尽是些能让人“强撸灰飞烟灭”的东西。
当你推开一扇门,可能并不知道自己将会身处险境。这时,你需要一只手,在那一瞬间把你拉回人间。百度安全就是这样一只手。
△危险网站提示
简单来说,百度对抗恶意网站的方式可以概括为两大“法宝”:
为了防止你误入黑产布置的陷阱,百度的“战斗爬虫“提前帮你推开每一道门,到房间里寻找每一个跳转、加密,把所有的“机关暗道”都记录下来。
爬虫记录下的网站内容,交给安全引擎。无论是赌博、钓鱼、色情还是正常网站,都有它们各自的特征。安全引擎会像一位老刑警,仔细分辨出每一个不太正常的网站,然后把危险告诉你。
但黑产从不束手就擒,他们会用各种姿势来抵抗,让检测成本变得越来越高。百度商业安全部资深架构师耿志峰向雷锋网举了几个简单的例子:
许多恶意网站植入恶意代码时,会把它们变成一个个分散、加密的字符串,原本 0.1 毫秒就能检测出来,现在需要花费十几秒。
仿冒网站做成了一整张图片,把文字也嵌在图片里。那样我们就得借助 OCR(图片中的文字识别技术)或者图片相似度检测技术才能找出仿冒网站的特征。虽然这对于精于人工智能的百度来说没有技术难度,却提高了检测的资源成本。
△钓鱼网站可能利用图片来试图规避检测
时不时,做恶意网站的黑产们也和百度安全玩起了“躲猫猫”:
有的恶意网页被加载之后,先静默两秒才会执行恶意脚本,避开前来“巡逻”的“战斗爬虫”
有的恶意网页会把百度和其他安全公司的 IP 列入“黑名单”,一旦发现被这些 IP 访问,就装作“乖宝宝”,自始至终不展开恶意行为,只对普通网民面露凶光。
更绝的是,有的黑产把一些大安全公司所在的省份所有的 IP 直接加入“黑名单”。一个销售虚假产品的网站,在北上广地区看起来是正常的,但是在偏远地区以及四五线小城市看起来才是露处原形。
面对这些情况,百度也有针对策略,比如在全国各个地方“布点”去模拟用户,让”战斗爬虫“看起来更像是真实用户,不被恶意网站察觉。但这同样需要付出更大的成本代价。
“悍匪”的黑产有时还会想办法反咬一百度一口:
一位网站站长忽然投诉百度,说自己的网站被在百度的搜索结果里,被标注成了恶意篡改网站,可他自己输入网址进去一个看,并没有发现异样。
这位管理员不知道的是,黑客入侵网站的服务器并挂进了赌博、色情信息后,做了一个特殊处理。网民通过搜索引擎进入网站,它就显示成一个赌博网站;直接输入网址进去,就显示成正常网站。
网站管理员一般都是直接输入网址进入自家网站。于是,当网站的用户被恶意页面纠缠时,网站管理员被蒙在鼓里。
一位百度安全实验室的工程师告诉雷锋网:
百度每天要为网民标注成千上万的钓鱼、仿冒、欺诈网站,很难做到每个网站标注都通知到站长,有时收到一些被误解的投诉,老实说,我们做安全技术的心里也憋屈,但也理解站长们的想法。百度安全还是希望能正面去解决一些问题,提高整体网站安全环境。
若把账号比作门,网上每一天都有些贼眉鼠眼的人到处溜达,拿着从别处偷来的钥匙四处试锁,也就是业内所说的“撞库”。一旦成功“撞”开一把锁,他们就闯进屋子洗劫一空。
传统的解决思路是验证码,但它会影响用户体验,也存在一定盲区。从攻防的角度来看,百度安全实验室希望找到更好的解决方式,比如:
在坏人开始四处开锁之前,百度安全实验室提前去搜罗网上泄露的“钥匙”,在自家用户的门前试验,自己撞自己的库,一旦成功打开房门,就将其视为“高危用户”保护起来。这叫“存量检测”。
同时,他们也实时监控网上的数据泄露情况,随时和用户手里的钥匙做比对,做到“实时检测”。
更直接一些,百度安全实验室希望直接揪出坏人:
如果一扇门前出现了一个人很可疑的人,比如高危IP、异常位置 IP、恶意的手机(EMA号)等,那么他就会被列为重点排查对象,需要进行更复杂的验证。
除了“样貌”的异常,行为的异常也会被捕捉,百度安全实验室的专家告诉雷锋网:
如果有人拿了一堆账号天天来我的登录接口上晃悠,一直不停地在试,那么他就很有可能是撞库者,这并不难发现。关键在于之后如何定位他们,并留下证据交给警方。
这些数据都会放在百度大脑里进行不断地学习,从而快速识别出哪些是黑产的恶意行为,哪些是正常的访问。
夺门而入的小流氓
一家正常营业的商店大门忽然涌入一帮小流氓,不买东西却占着正常顾客的位置,没事还捏捏方便面,退个货,让整个商店无法正常经营。
这事每天都在网络世界上演,这就是 DDoS(分布式拒绝服务)攻击。
△ 图片来自网络
今年 3月底,百度安全刚刚发布了《2016年 DDoS 攻击报告》,总结了去年发生的 DDoS(分布式拒绝服务攻击)的整体情况。对抗 DDoS 也正是百度安全实验室的另一个重头戏。
据雷锋网了解,目前解决 DDoS 大致有三种方法:
清洗:识别出异常的流量 —— 把前来捣乱的小流氓揪出去。
压制:对来自攻击源的流量进行限速处理 —— “斧头帮不得入内”
硬抗:一个节点硬扛不住就把流量分摊到多个节点,然后继续硬抗。
然而,监测、清洗和压制都非常被动,能防住攻击却也耗费自身大量资源。网上就有一个说法:“用买苹果有线耳机的钱,黑客就能打垮一家网站”。因此,攻击溯源能力就显得非常重要。解决 DDoS 攻击最直接彻底的方式只有一个:抓人,抓住派流氓捣乱的幕后黑手。
DDoS 攻击溯源需要很强的追踪能力,而百度安全实验室就扮演者追踪者的角色。
如何找出派小流氓捣乱的幕后黑手?抓住几个小流氓严刑拷打,打到他招供为止。这种“严刑拷打”的方法到了真实的网络攻防对抗,也就是上文提到的“逆向工程”。
百度安全实验室的工程师告诉雷锋网:
以现在很的僵尸网络攻击为例,成千上万的设备被植入僵尸蠕虫后,只需要一个人,一台设备就能控制他们发动一场超大规模的 DDoS 攻击。
但是,只要背后有人在发号施令,就意味着这些设备一定会通过某种方式和幕后的主控端通信。样本里一定有相关的信息。解开其中的通信协议,就可能追踪到幕后的IP地址。
2016年4月,百度安全帮助一家网络游戏公司解决了一起长达43天的针对性 DDoS 攻击,并协助警方成功抓捕发动攻击的黑产犯罪嫌疑人。6月,百度云加速疑遭黑产报复,服务因超大规模 DDoS 攻击,大量用户受到影响。7月4日,发动该次攻击的刘某被公安机关抓获。
攻击溯源,协助网警打击黑产,似乎已经成了百度安全实验室的常态。交谈的某个时间点,黄正突然起身:
现在还有不少案子在办理中,我们一定会把这些人送进去
刚接触互联网时,不少人习惯于在地址栏输入 baidu.com 来检查电脑是否断网。不夸张地说,百度像是一个互联网的入口,将我们传送到一个个门前,连接着里面一道道的大门。但一扇扇形形色色的门背后,我们也发现欺骗、攫取和贪婪的人性充斥于互联网。
移动互联网、物联网……未来网络世界的门只会越来越多,或许安全从业者很难为我们阻挡每一扇门后的危险,但他们做出的每一份努力,都值得赞叹。