2009中国计算机网络安全应急年会于2009年10月21日至24日在湖南长沙召开,本届年会主题是“网络促进发展 安全创造价值”。23日进入会议第二天,在分会之“ISP & ICP安全”会上,腾讯安全中心总监杨勇表示,验证码的对抗绝对不亚于在木马层面的对抗,经过长期的对抗现有的验证码是我们发现的比较好的对抗手段。
腾讯除了采用桌面对抗之外,还采用了大量的后台对抗手段。如后台保护,实时发现、限制,如“防晒号”。我们有四大后台保护,对登录、消息、财产、密码进行保护;我们通过对“晒号”行为的区别,降低用户的损失,加大敌人攻击的成本。以下是腾讯安全中心总监杨勇发言实录:
主持人闫宏强:下面,请腾讯业务安全中心总监杨勇先生介绍腾讯业务安全管理经验,杨勇先生长期从事安全工作,目前主要负责腾讯业务安全中心管理和规划工作,腾讯T4级安全规划专家。
杨勇:谢谢。今天在座的是中国乃至亚洲的安全专家,我在这里向大家汇报腾讯业务安全的相关工作。我的题目是“携手共进,同仇敌忾”。昨天,在和同行的交流中,其实内容更准确地说是“腾讯这几年安全工作的血泪史”。
演讲内容分为四个部分,首先向在座的各位专家和同行介绍腾讯的外在安全形势;然后谈谈过去几年中腾讯所做的应对措施;三是腾讯对于前景的展望;四是腾讯对于后势的期望。
一、中国互联网——网民快速增长。
目前,网民达到3亿,互联网普及率达到22.6%,一线城市如北京上海已达到60%的覆盖率,二、三线城市的发展是非常地迅速。
二、中国互联网——产业增长迅速。
中国互联网产业规模2010年将超过千亿,网络游戏预计达到427亿,是增长最快的行业,在中国互联网游戏产业已差距电影产业的总产值,第三方网上支付交易规模预计到2010年将接近万亿。工商已达到13万亿的网上交易规模,大家可以想象一下,增速是非常巨大的。
三、互联网企业共同面临的安全问题。
如盗号、偷钱、诈骗,还有大量的木马、病毒、恶意代码、私服、DDOS等等。
在互联网领域的安全问题非常繁多,今天我的讨论范围主要是在业务安全方面,业务安全更多的指在业务逻辑方面的安全问题。比如前面提到的盗号、虚拟财产盗窃、垃圾消息种类,这些东西自我们观察来看,大概在04、05年开始萌芽,也是中国互联网的发展中面临的安全问题。
例如腾讯对话聊天消息框。发一句消息请你用手机打电话听歌,如果你打了电话的话,就会被声讯扣费。大家知道,这和QQ没有关系,这些人偷窃了QQ之后,然后对他的好友发送一些垃圾消息。后来变成12590,我们对12590进行了过滤,现在变成了竖排。
当我们把消息打击得差不多的时候,渐渐引进了“邀请”模式,他们在网上发起你一起游戏的邀请,然后让你打12590。我们对此进行打击之后,又出现了在传输文件的时候,把文件名改成了一段垃圾消息。然后是腾讯客服的消息框,通知你中奖了,这是黑客根据腾讯的消息框画出的仿真消息框,这是从QQ用户里取出号码的ID弹出来的消息框。还有群发垃圾消息的软件,可以迅速地群发垃圾消息。
黑客为了达到规模效应,他们有相当多的自动化手段。这里截的图是查询工具,它可以查Q币、密码、会员等级、积分等等,它窃取号码之后可以进行批量化的财产洗钱,可以批量化的把高端化用户的财产清理出来,吸他们的Q币。如果没有Q币的用户,就会用这些号码来发垃圾消息。
这些自动化工具使用度非常高,而且它可以使黑客批量地、快速地洗钱,批量地、快速地发垃圾消息,已经形成了一个规模效应,一旦一个产业形成了规模效应,就会引发一个灰色的产业链,会吸引很多低学历的人去从事这个行业。大家知道,有很多学历并不高,计算机知识掌握得并不多的年轻人会加入到这个行列中。
这个产业有与时俱进性,在07-09年腾讯游戏业务发展得比较快,黑客软件也在不断地发展,这些软件已经加入了游戏业务。使用QQ的人并不陌生,这是曾经的一款验证码。当时,黑客洗钱完之后还不满足,腾讯会提醒用户异地登陆的消息,提醒用户修改密码。但是,黑客可以通过这些验证码在用户改变密保之后,再把密保改回来。那么,我们通过加密ISP协议,他们就会调动我们的库件进行改密保。在选秀节目中有投票选举机制,黑客制作自动化注册大量的QQ号码来进行投票,或者发垃圾消息。
晒号工具:QQ用户有时候中了多个黑客集团的多款木马,黑客为了达到快速分类筛选洗钱的目的,首先会做一个号码的验证工作,这就是一个晒号工具。
我们对晒号工具进行了打击和对抗,结果黑客马上又想出了很好的对抗方法,它调用腾讯的软件来进行密码验证,对于腾讯公司来说,他们的识别已经非常非常困难了。对于协议上来说,调用我们的软件在协议上就没有太多的区别了,这类软件是非常非常多的。
挂机软件:游戏厂商等厂商都有很多的挂机软件,这些挂机软件不但帮用户挂机,而且同时可以窃取用户的帐号和密码,很多用户是心甘情愿地把自己的帐号和密码提供给了这些厂商。
敌人的产业链主要分为三部分,第一部分是通过木马、注册、钓鱼的手段获取号码;第二部分是通过晒号、选号对号码进行清洗;第三部分是通过盗号盗取用户的装备、卖靓号、垃圾消息来获利。 腾讯在技术层面和非技术层面都在进行对抗。
木马、病毒影响互联网发展,黑色产业链猖獗,2008年85%的计算机主机感染过病毒;2008年木马数量1389万,新增量是2007年的48倍;2006年黑客地下产业链经济高达2.6亿,呈指数增长。
针对这样一种严峻形势,腾讯是怎样应对的呢?首先,在QQ客户端做查毒、键盘保护、内在保护的机制;同时,还研发了产品QQ医生,它不仅帮助用户治理,还加强用户的保护,去查漏洞,去打补丁。但是,这还远远不够,我们发现黑色产业链的理念是非常具有战略性,也非常新颖的。我们曾经观测到,黑客不再在内核层面或技术层面和内容商进行对抗,它通过速度和我们进行对抗,我们更新特征码之后,他们通过更新的木马,通过简单地变形,通过速度来进行对抗,这样传统的对抗手段就失去意义了。而且,黑客产业链有一个天然的优势,他们不用考虑客户桌面的稳定性和安全性。但是,对于软件供应商来说是不得不考虑的。
腾讯除了采用桌面对抗之外,还采用了大量的后台对抗手段。如后台保护,实时、发现、限制,如“防晒号”。我们有四大后台保护,对登录、消息、财产、密码进行保护;我们通过对“晒号”行为的区别,降低用户的损失,加大敌人攻击的成本。
后台保护的思路是什么呢?首先面临的问题是如何发现的问题。其实,我们在数据挖掘中的“欺诈检测”思路是比较简单的,实际上就是一个“概率论”,如果一大堆球中有10%红球,90%白球,随机拿10个,8个或以上是红球的概率约为千万分之一。
比如,一个人登录QQ号码进行虚拟财产的购买和交易,一天之内不应该既出现在伦敦,又出现在法国,或者出现在北京,出现在湘潭,这显然就是一个被盗用户,这也是我们说的概率论。当然,模型也非常多,不能仅仅靠一个简单地模型来进行对抗。
我们如何限制呢?一是通过验证码进行限制;虽然,这是我们目前找到遏制敌人攻击的非常手段之一。二是异常通知;大家在QQ上可以看到临时消息的弹出。三是层层拦截,如打击恶意消费等等。我们有很多的规则,每一条规则可能不能全部拦截你,但每一条规则都在不断地提醒我的用户。在层层拦截上,如登录、查询、消费方面都会有很多防护手段,如验证码、密保验证手段等等。
在这里向大家透露一个小消息,验证码的对抗绝对不亚于在木马层面的对抗,腾讯最早的验证码,据我们发现敌人一般可以百分之百破掉,我们也根据敌人的思路采用了大量地验证码,经过长期的对抗现有的验证码是我们发现的比较好的对抗手段。国外的研究比较深入,很多的验证码只是一般的干扰线,基本上被识别率非常高。
那么,在对抗过程中分为几大阶段,第一阶段是敌人的自动化;晒号、通过工具盗号等。第二阶段是半自动化,不得不有人工介入,因为有了验证码手段,他必须输入验证码。第三阶段是全手工阶段,这个时候敌人对我们攻击还会获得很大的利益,我们就进行用户消息提醒,或者是异地登陆的限制。第四阶段是集团化分布式阶段,也是我们面临的终极阶段。对方实行产业型跨越,在网上如电子商务一样给大家分配任务、领取任务,按件给操作者付钱。
赚钱联盟。如果你想加入会员只要登记注册就可以了,这个软件从黑客的中央服务器拉取号码,可能是腾讯的,也有可能是盛大的、百度的、阿里巴巴的帐号,雇员自备电脑和宽带,只要输入验证码,甚至这个会员都不知道是在发垃圾消息,或者盗号。软件每登录10个,会自动强制重拨IP,很多大学生在假期通过这些行为获利,有很多人都不知道是盗号行为。这些点已经是分布式的,它不和我们进行集中对抗。
诚信投票。大家可以看到右侧这边有很多的任务可以自动领取,他们甚至还有类似于传销的分派任务,如果你想找到下家还可以获取提成。大家现在看到的很多选秀节目,评奖机制很可能被黑客产业链利用。
腾讯安全中心的产品,敌人用分布对抗我们的集中,我们只有用分布对抗分布。首先,我们要加大密保手段,如密保卡、手机密保、密保令牌,用分布来对抗分布。除了现在的密保手段以外,我们更多的倡导“用户自我保护”,对用户进行教育。比较客观地说,在这一点上腾讯落后于业界,尤其是网游和网银界做得更好,我们正在向同行学习。腾讯在非技术层面也做了一些探索,法务工作是路漫漫其修远兮,还在网络上对用户进行教育,进行传导。
新形势新安全是喜忧参半,在经济危机中,互联网经济具有一定的“反周期”,很多人失业在家待业,通过互联网加入了黑客产业链。2009年2月28日刑法第七修正案增加的两个条款就是一个很有力打击黑客的法律依据。
腾讯正积极行动,狙击恶意产业链,组织建立专业安全队伍,增强产品安全功能,效果还是有一定的效果,还需要企业、政府机关、安全组织齐力对抗才能有效。腾讯现在的目标是学习,学习都在业界前面的人,如网游、网银企业,和他们一起合作对抗更多的敌人。
总结:形式上迫在眉睫,敌人集团化、产业化、手工化,难以识别;应对南征北战,在前端、后台、产品各个地方苦苦奋战;前景:喜忧参半,忧的是获利大代价小,经济危机,喜的是国家、业界一起行动起来。我们呼吁互联网业界企业共同携手,打击敌人,提供安全健康的网络平台。
在这里感谢腾讯公司领导和安全中心全体成员做的PP特,也感谢业界的朋友同仁和腾讯一起交流,还要感谢CNCERT/CC为我们提供的交流平台,谢谢大家。
提问:在您讲的过程中讲到验证码,在互联网的很多地方可以看到验证码的使用。QQ在手机登录的话也可以用,现在很多用户通过手机和我们聊天。如果在手机这么小的屏幕做验证码的话,您有没有想到工作效果如何?客户的感知会有多大?会不会使客户因为验证码而离开QQ?因为,我是中国移动的,在这个问题的感知上有一些区别。
杨勇:谢谢,这个问题问得非常专业,我们也遇到了这个问题。腾讯的手机QQ是要输入验证码的,验证码对用户确实有影响,这是毋庸置疑的,因为手机键盘操作输入字母本身就有困难。但是,为什么要使用验证码呢?第一,腾讯认为验证码一定要有,但启不启用可以通过后台控制,这同军事上的原理很类似,一定要有这个战略纵身,必须要有这个策略在这里;第二,对用户肯定是有影响的,但在垃圾消息非常严重的时候,启用这种策略对用户的伤害其实是比较小的,不过也有很多的后台逻辑减少对用户的影响。
【编辑推荐】
