从阿里巴巴安全技术竞赛 看云安全发展趋势

更新时间:2014-11-04 09:38:24点击次数:802次

摘要:在AWDC 2014期间,《程序员》杂志采访了阿里肖力及大赛三等奖得主“香米”团队,围绕刚刚结束的ALICTF 2014(阿里巴巴安全技术竞赛)对当下互联网的安全形势进行了交流与探讨。


时至今日,云服务的价值已为众多组织和机构肯定,业内利用云服务取得巨大成功的案例也愈来愈多,如WhatsApp、Pinterest、Mailbox等。然而不容忽视的是,规模的扩大及目标价值的增长吸引了更多来自黑暗世界的目光,每起安全事件影响的恶劣程度亦是水涨船高。例如,今年代码托管服务商Code Spaces由于被黑客恶意删除全部数据而被迫关闭。为此,在AWDC 2014期间,《程序员》杂志采访了阿里肖力及大赛三等奖得主“香米”团队,围绕刚刚结束的ALICTF 2014(阿里巴巴安全技术竞赛)对当下互联网的安全形势进行了交流与探讨。


互联网安全现状及发展趋势


“阿里云盾每天都会帮助用户拦截数亿次的密码暴力破解攻击,每周2000起DDoS流量攻击,最大攻击流量超过300GB”,在讨论中阿里巴巴安全部资深总监肖力表示,目前国内互联网安全形势非常严峻——只要服务器或网站在互联网上开放,就会遭遇密码暴力破解、网站Web攻击、DDoS攻击等。 


同时,单看DDoS攻击,2013年阿里云每周攻击数只有当下的四分之一,最大攻击流量不超过100GB。然而仅仅一年时间,每天攻击数就增长了4倍,最大攻击流量较去年往期更提升了3倍。


肖力指出,这种变化无疑意味着在黑客攻击能力提升的同时,攻击成本却在不停下降。从而,在这种趋势下,怎样保护好云计算平台及每个用户的安全为服务提供商带来了非常大的挑战。


且谈云模式下的挑战和发展


对比传统企业安全,肖力表示,云计算安全最大的挑战就是要保护好每一个用户的安全,这其中的差别就在于:传统企业安全是保护自身,因此安全防御体系只需要针对一个用户设计;而云服务可能有几万甚至是几十万个用户,每个用户的系统、业务场景都不一样,因此,安全防御体系要适应各种复杂的环境和业务是非常大的挑战。


“例如DDoS检测及防御,传统的检测防御思路可以解决99.9%的用户安全问题,也有可能误杀了0.1%的用户网站正常流量。但这对云服务来说是完全不可接受的,因此在安全防御体系设计上也有更高要求,必须通过大数据的挖掘技术,更加智能地分析,才能更好地解决每一个用户遇到的攻击场景。”


对于云服务提供商在安全领域所遭受的挑战,肖力还认为,由于目前中小网站甚至大型网站缺乏专业的安全人员,所以在黑客面前,开发者甚至各企业几乎毫无还手之力,就如之前OpenSSL、Struts2等漏洞造成了大量网站被黑及用户数据泄露。因此,服务提供商必须为用户挑起这个担子,尽可能的让这些业务或网站免受安全问题困扰,正如当下阿里云安全系统所为——每天帮助用户拦截攻击,遇到业内高危安全漏洞时第一时间进行扫描,在发现存在漏洞用户时及时通知并协助修补。


之所以会出现缺乏安全人员的情况,肖力将其主要归结于安全人员所需具备的素质:首先,安全人员一定要对安全技术有足够的好奇心和热情,这是最重要的因素,因为当最新的漏洞被揭露,最新的安全技术及信息公布时,安全人员必须主动得去了解及学习;其次,非常高的知识面,因为安全往往会覆盖技术的各个领域,而本次ALICTF 2014的出题正是基于这个考虑。


ALICTF 2014考量范围


本次竞赛共分热身赛、资格赛、总决赛3个赛段,吸引了超过2000支以上的团队参与,其中热身赛和资格赛分别使用挑战模式和解题模式,专业范围覆盖无线端安全、Linux内核安全、VPC网络安全、数据保护安全、Web安全、逆向工程、安全数据分析、代码安全等众多领域。到了总决赛,阿里更选择了对攻模式,对Web安全、逆向工程、网络数据分析、LXC安全、Java安全五大技术领域进行考校。被问及出题思路,肖力表示,这次竞赛出题方向和业内Defcon CTF比赛还是有区别的,一方面命题偏向于企业安全攻防所遇到的问题,更偏实战;另一方面此次出题都是基于阿里云计算平台和云产品环境,例如针对云盾、VPC、ECS、OSS进行的安全技术挑战。


为了对本次大赛及国内高校大学生安全技术方面有更深入的了解,我们联系到了本次竞赛的三等奖得主,由3名同学组成的“香米”团队。


“香米”看ALICTF 2014


“香米”团队由郑旻、傅裕斌和张凯组成,其中郑旻是香港中文大学计算机系博士,傅裕斌和张凯分别来自杭电和浙大,前者负责做二进制方面的逆向和攻击,后者则从事Web方面的防护和攻击。值得一提的是,郑旻曾在腾讯、百度以及美国硅谷的FireEye实习。


回顾整个参赛历程,郑旻表示,在热身赛阶段,出题者给参赛者留出充足的时间用去解决一些开放性问题,主要考察参赛团队的创新能力;预选赛是要求在规定时间内解决一些基本题目,主要考察参赛团队在安全技术方面的基本功;总决赛阶段是所有队伍在真实环境下进行安全攻防,主要考察团队协作、应变和学习能力。


“区别于以往标的习题和作业,虽然有一些奇思妙想,但是都以标准答案为主,八九不离十。但是在总决赛中,阿里云搭建了一个完完整整的实践环境,每个人都要维护自己的服务,真正的实践环境就是这样。平时,大家都是在学校做题,这种实践环境非常难得,让我们知道如何去维护自己的服务,并去寻找对方的漏洞。”在论及总决赛,郑旻仍然回味无穷。


对于如何在总决赛中取得高分,郑旻从防护和攻击两个方面进行了分享:防护方面要保证自己的服务不被攻击,比如要编写守护进程保证服务的正常运行,并且要在没有源码的情况下给有漏洞的程序打补丁等;攻击方面,要逆向分析别的队伍服务中的漏洞,并写出相应的攻击程序用来获取其他队伍的分数。而在攻防的同时,还要分析网络中的流量,通过分析流量包来获取其他队伍的的攻击手段;同时在遇见一些前所未见的攻击时,同学们还必须现场搜索,可谓是现学现卖,郑旻分享说。


多租户模式下的系统安全变革


在被问及云时代的安全挑战时,郑旻表示,传统的服务器安全包括物理、网络、操作系统、应用四个层面。物理层面,无需多说,让服务器更经得住考验;操作系统层面,例如Linux、Windows,管理员需要及时给系统打补丁,在没有官方补丁的情况下,管理员还必须要自己定位并进行相应的修复;应用层面,随着应用功能的丰富,必然会出现一些逻辑上的漏洞,因此你需要从这个方面进行检测;网络层面,需要解决一些类似DDoS类型的攻击。


此外,云服务器安全除了传统的安全还多了一层云平台安全。因为云服务是很多用户的数据和程序都保存在同一个服务器,为了保证不同用户之间的隐私安全,云服务采用沙盒机制来限制每个用户的访问权限,因此如何保证沙盒的安全是云服务安全的重点。


从无到有,浅析移动互联网安全


郑旻主攻的方向是移动安全研究,在谈及移动互联网安全时明显更加津津乐道了。期间,他分享道:


“在前几年的时候,各大传统互联网公司刚刚进入移动互联网领域,在安全方面的防护几乎为零,像明文传输用户密码之类的漏洞屡见不鲜。随着这几年的发展,大家的安全意识越来越高了,但随着App功能越做越多,难免会有逻辑上的设计缺陷,造成用户隐私泄漏。另一方面,Android系统屡屡爆出严重安全漏洞,在Android 4.4以下的操作系统,黑客可以非常容易地获取手机的控制权。互联网公司应该多多鼓励用户升级手机系统,否则在不安全的系统上运行的任何程序都没有安全可言。”


阿里巴巴安全技术竞赛篇后语


对于ALICTF 2014各个参赛团队的表现,肖力表示,这次竞赛聚集了当前全国校园最好的一批安全技术同学,他们在比赛中展示了非常丰富的参赛经验,其中清华大学团队在攻防对抗思路和经验方面尤其突出;同时,通过这次比赛,他们还发现大部分参赛队伍在更贴近企业安全需求的Java安全、网络安全及大数据安全技术领域还是比较欠缺。

  • 项目经理 点击这里给我发消息
  • 项目经理 点击这里给我发消息
  • 项目经理 点击这里给我发消息
  • 项目经理 点击这里给我发消息