百度首席安全科学家韦韬:我们的战斗,从内存战争到黑产战争

Security never sleeps.——韦韬如是说。

百度首席安全科学家,是韦韬此刻的身份。

然而,让韦韬成为无数网络安全研究者精神旗帜的理由,更多的是他的传奇经历。

本文作者史中,科技媒体人。

百度首席安全科学家韦韬

他曾在北京大学度过了21年春秋,从学生到教授,几度影响了国际网络安全的思潮。

他曾参与创建了“未名空间”(mitbbs),被一代人奉为海外华人的精神家园。

他曾是“汉字激光照排系统之父”王选院士的爱徒,是北大方正最早的一批网络安全专家。

他曾加入美国著名网络安全公司“FireEye”,作为华裔专家向世界贡献顶尖的安全防御技术。

他最终选择加入百度,创立一套安全体系,用技术守卫中国人自己的庞大互联网生态。

“能经历这么多历史,也许因为我生于1975年,比较老吧。”

韦韬笑道。

在百度的会议室里,我见到了韦韬。他说话很快,对自己几十年来的技术研究,就像纯真的孩子一样如数家珍。说到兴头,也会站起来踱步,好像面前有一个讲台。夕阳西下,落日余晖猛然填满巨大的会议室,让我恍然有回到了象牙塔课堂里的错觉。

这让对话平添了一份趣味和恰到好处。

以下是我们的对话:

开挂的“101种姿势”

韦韬:安全圈生于1975年的人还挺多的。现在看来,我们都经历了一个黄金年代。

其实从小学二年级,我就开始学习计算机。

那是八十年代,我使用过的第一台计算机是 PC1500,可能很多年轻一点的同学都没见过。那是一种可编程计算机,你猜它的内存有多大?只有4K。

PC1500 计算机,由夏普在1981年推出,1982年被引入中国,是中国保有量最大,推广最好的袖珍计算机。

PC1500 计算机,由夏普在1981年推出,1982年被引入中国,是中国保有量最大,推广最好的袖珍计算机。

它看起来可能更像一个计算器或者打字机,但却可以接收编程指令,这给我一种特殊的感觉,就像自由或者创造。

我之所以能这么早接触到计算机,是因为我父亲在研究所工作。他是中国最早使用计算机做科学研究的一批人,在更早的时候他们甚至还用过纸带做计算 。

史中:我觉得某种程度上来讲你很幸运,因为不是所有人都有机会在那么早就接触计算机。

韦韬:可以这么说。如果说幸运,我更庆幸在小时候能够遇到那么多好老师。

比如小时候在南京市鼓楼区少年之家的计算机老师,还有南京市数学奥校的老师们,南师大附中的老师们等等。有这些优秀的老师带领我接触计算机、数学、物理等学科的神奇,确实是非常宝贵的人生经历。

在初一和高一的时候,我分别拿了江苏省初中/高中计算机比赛的第一名。不过,中学时代,计算机还并没有成为像现在一样热门的学科,所以,那个时候我的主要精力放在了数学上。到高二下又被物理老师“诱拐”去准备物理奥赛。

在高三上,我参加了数学和物理两门的全国奥赛,都是全国一等奖,分别是江苏省第一与第二。但由于物理全国决赛比赛在前,然后拿了全国第一。于是在数学冬令营(全国决赛)之前我就进了物理奥赛集训队,在北大物理系进行集训。这就是为什么我的大学选择了北大物理系。

现在看起来,只能用阴差阳错来解释。

史中:这么说,你的成绩一定很好。

韦韬:可以挑选任何大学的任何系(学霸式蜜汁微笑)。1993年,我进入北大。那是北大取消军训的第一年。在那之前,新生进入北大之后都会经历长达一年的军训,于是不少同学在报志愿的时候只好“叛逃”清华。

由于我的计算机基础不错,和老师的关系也很好。于是老师让我负责管理物理系计算机实验室,在1993年就开始接触互联网。我记得,中国第一个接入互联网的机构是“中科院高能物理所”,而我所在的北大物理系,幸运地成为全国第二个接入互联网的地方。

史中:互联网给你带来了什么?

韦韬:互联网带来了病毒。(笑)

其实高中的时候我就遇到过计算机病毒。那个时候,系统只有 DOS,所以最早的病毒也是在 DOS 上开枝散叶。有一次启动之后,突然出现了一组字符在屏幕上转动,这大概是我第一次见到病毒。

早期的病毒都是很“良性”的,它可能只是某些大牛为了炫技搞出来的秀,并不会对系统造成实际伤害。但这让我觉得很好玩,我立刻对“病毒对抗”产生了兴趣,于是自己研究写了一套反病毒程序。

史中:很多人看到病毒,第一时间都会想自己也做一个病毒,为什么你会去做反病毒程序?

韦韬:这种兴趣很难说清楚,制造一整套防护体系,比进行一次单独的攻击让我获得更多的享受。也许是因为防护比攻击更有挑战性吧。

从保护我们的机房开始,我体会到了一种攻防哲学。

攻防的根本问题在于“不对称性”。

一般来说,人们认为防护更难,这是因为防护的方式是公开的,而攻击的方式是隐蔽的。这样的结果是:攻击方有充分的信息和时间研究防守方;而防守方对于攻击方会采取什么方式,在什么时候进攻几乎一无所知。

根据这个原理,你要保护的阵地越局部,越小众,你就可以布置越多的陷阱。这些陷阱往往和你要保护的系统紧密相关,并没有通用性。这样攻击者根据常识就很难识破,往往措手不及。

攻击者占据天时,而防御者“可以”占据地利和人和。如果你做好一个独特的“迷魂阵”,攻击者就算用 0Day 漏洞进来,都会举步维艰。

这种防护哲学,一直到后来的 FireEye,以及现在的百度,都同样适用。

对于通用系统,攻击者只要找到一个薄弱环节就可以突破防守,而防守者需要保证所有的节点都不容有失,而不对称性在于:攻击者可以根据公开资料对攻击目标进行充分的研究,而防守者对攻击者一无所知。

对于通用系统,攻击者只要找到一个薄弱环节就可以突破防守,而防守者需要保证所有的节点都不容有失,而不对称性在于:攻击者可以根据公开资料对攻击目标进行充分的研究,而防守者对攻击者一无所知。

C语言魔咒和漏洞哲学

史中:在很多人心中,韦韬这个名字一直和北大相联系。

韦韬:从1992我进入物理奥赛北大集训队开始,直到2013年我结束在北大的教学工作,我在北大整整21年。我把最美好的青春献给了北大,哈哈。

进入北大之后,我看到了很多互联网的萌芽。我作为 co-founder 建立的北大未名BBS,也就是后来的“mitbbs”,无疑就是其中之一。

史中:很多海外的70后/80后中国人,都会提起“mitbbs”,但更多年轻人对它还完全陌生。

韦韬:从90年代末到新世纪初,mitbbs是北美中国留学生的精神家园之一。

这个我和一群网友架设的 BBS,大概是中国最早的一批论坛 。上面聚集的人从北大清华学生开始,一直发展到海外留学生,再到海外华人。

这个bbs从最早的“北大未名”,到后来的“中科院未名空间”,再到“bbs.mit.edu”,再到“mitbbs.com”。在国内的时候,因为各种原因,导致BBS屡次被关闭。之后Look 去 MIT(麻省理工学院)留学,在学校的网络里连了一台服务器,我远程连过去架设了bbs系统,于是有了mitbbs。mitbbs telnet 的登录界面也是我手绘的。

在如今的 mitbbs 上,依旧有人怀念当年的荣光。

在如今的 mitbbs 上,依旧有人怀念当年的荣光。

醉心于 BBS 的岁月,我接触了大量的 Linux 和开源技术,也自学了大量的网络相关的内容。

没想到,一发不可收拾。Linux 彻底改变了我对计算机的认识,这种可以自由编写的程序架构,拥有几乎无限的想象空间。当时我笃定,用开源技术可以做出无数有意思的事情,带来前所未有的满足感。不仅是我,当时很多朋友也被开源“洗脑”。

相比而言,我的专业物理学就显得过于浩渺。它的进展速度太快了,边界离生活越来越远。于是,我转投计算机和网络技术。

mitbbs 对我的最大影响之一,可能就是对于计算机技术的笃定。

青年时期的韦韬,离开北大到美国UC伯克利大学学习

青年时期的韦韬,离开北大到美国UC伯克利大学学习

史中:网络安全方面的研究,是从什么时候开始的呢?

韦韬:本科毕业之后,我作为工程师加入北大方正,成为了王选老师的门徒。在他的鼓励下,我又重回北大深造,开始了计算机硕士和博士的学业。2007年,我博士毕业留在北大计算机系任教,带领同学们做系统安全方面的研究。

那个时候,国内主要的安全学术研究都集中在密码学,系统安全在国际上几乎没有任何声音。这正好给了我们足够大的空间,也给了我们巨大的挑战。从2009年开始,我们在国际顶级会议上开始发表论文,陆续做了很多漏洞、系统安全机制的研究。

史中:很多熟悉你的人会把你形容为网络安全顶尖技术的探索者,或者漏洞大神,在你心中,系统安全这个世界究竟是什么样?

韦韬: 安全的本质是对抗,对抗是多维度的、持续的。

从科学角度来看。信息安全的第一属性应该是工科而不是理科。也就是说它不是问 Why,而是问 How。

既然是工科,我们可以类比一下其他领域,比如力学。

在工程力学上有很多成型的理论模型,例如盖一栋楼,结构受力的冗余可能要达到 150%(日本的楼房可能更高),这才能保障楼房的安全。
但在网络安全领域,情况比较惨淡。

在这些简单的线条背后,是巨大的力学冗余,它让我们的城市在狂风暴雨中不至于倾颓。而系统安全,却难以享受这样的善意。

在这些简单的线条背后,是巨大的力学冗余,它让我们的城市在狂风暴雨中不至于倾颓。而系统安全,却难以享受这样的善意。

我和 TK 有一个共同的认识:“Benchmark 是黑客最好的朋友。”为了跑分和流畅性,很多产品经理不会为了提高安全性降低哪怕0.1%的性能。

网络安全就是在这样艰难的环境中发展。

史中:没有足够的计算资源支持,应该是系统安全的宿命。在这种“艰苦”的条件下,有什么办法来尽可能的保护系统呢?更多网络安全解读:www.yangfenzi.com/tag/wangluoanquan

韦韬:资源有限的情况下,一方面要依靠安全技术的进步,包括新语言、新架构。另一方面是依靠防御纵深进行动态对抗与威慑。

其实,大部分漏洞问题的根源来自 C 语言或类C语言本身的缺陷,我称之为“C语言魔咒”。

绝大多数漏洞产生的最根本原因是内存分配的错误。而在C语言中,内存管理是靠人来调度的。人脑的精力和计算能力,是远远不足以合理分配这些内存的,这就会必然产生漏洞。

不幸的是,我们目前的系统,绝大多数都依赖于C语言家族。Java 的内存是自动管理,但 Java 的库又是C语言写的。另外,目前主流的操作系统也是C语言写的。

在一开始,我们挖了很多漏洞。但是我渐渐发现,漏洞是挖不完的,而且在现有的程序构架中,这是个没有解的问题。

要应对“C语言魔咒”,就需要很多弥补的方案。这就涉及到很多二进制领域。

控制流是程序的灵魂,一旦控制流被劫持,程序也就成了黑客的傀儡。

控制流是程序的灵魂,一旦控制流被劫持,程序也就成了黑客的傀儡。

例如在漏洞利用攻击中,控制流是非常重要的。而很多漏洞的实现原理都是劫持控制流。一旦被劫持,程序就彻底失去了控制。

所以在2012年微软Bluehat Prize Contest 比赛上我提出了一个前向CFI(控制流完整性)的防护方案,后来这个方案分别被微软、谷歌跟进和采用,这还是很有成就感的。这种防护机制成为了主流防护机制,目前还在不断被完善中。

2012 微软 Bluehat Prize Contest 蓝帽子大赛,是当年 Blackhat 安全大会的一部分,鼓励白帽子找出微软内存机制中的“根本问题”。

2012 微软 Bluehat Prize Contest 蓝帽子大赛,是当年 Blackhat 安全大会的一部分,鼓励白帽子找出微软内存机制中的“根本问题”。

程序=控制流+数据流。仅仅保证了控制流的完整性还远远不够,还要保证数据流的完整性(DFI)。

史中:控制流和数据流都完整,就可以保障程序的安全运行吗?

韦韬:我和李晓宁提出了一个机场安全模型,是用机场安检来做比喻。

如果让攻击者进入了操作系统内核空间,就像飞机飞上蓝天之后,难以控制其去向。但在登上飞机之前,一定有一个从领登机牌到安检到候机室的安全流程,这个流程用以保障进入核心空间的数据是合法的。

机场安检,把所有的流程都放置在可控的环境下。这样可以最大程度保证登上飞机的乘客是“没有威胁”的。在内存芯片中,保障流程和数据的合法性,同样是这个道理。

机场安检,把所有的流程都放置在可控的环境下。这样可以最大程度保证登上飞机的乘客是“没有威胁”的。在内存芯片中,保障流程和数据的合法性,同样是这个道理。

控制流完整,就相当于机场各个大厅之间的墙壁上没有暗门。这个时候恶意数据就没办法“穿越”墙壁绕过安检;

数据流完整,就相当于为各个大厅加上了坚固的天花板。这时恶意数据就没办法“翻墙“绕过安检。

这两个完整就可以保证的是:把漏洞的可能性收敛到一个可控的值,而不是像之前的“无限不收敛”。

2013年,我和团队发表 Paper,永恒的内存之战。直到今天,内存战争一直没有停息。

内存是一个广袤的战场,为了争夺芯片上的领地,0 和 1 的战争永无止息。

内存是一个广袤的战场,为了争夺芯片上的领地,0 和 1 的战争永无止息。

在编程语言方面,我相信 Rust 语言是 C 或 C++ 的继承者,因为它提供了系统级别的能力,保障内存安全,不会存在传统的内存溢出和数据竞争的问题。

而在新安全架构技术方面,Intel 推出了很有前瞻性的技术,叫做SGX。它依赖于CPU,利用一条很短的信任链就完成了远程安全验证。

于是我们在做一个很有意思的事情,用 Rust 语言实现了 SGX 技术的安全系统框架。这相当于把两个世界上最好的东西结合在一起。

Rust 的特别机制,让它成为了韦韬眼中 C 语言的继承者

Rust 的特别机制,让它成为了韦韬眼中 C 语言的继承者

当然,我知道更有野心的做法是直接用 Rust 写操作系统,但是这会面临着软件生态摩尔战争的问题,所以我选择从易兼容的SGX Enclave(可信区域)开始做。

如果未来云端服务可以采用这种新架构与新语言结合的新型安全技术,就会把漏洞可能存在的范围收敛得很小,于是安全性大大提高。如果这样能成功,那么也会推动ARM实现类似的安全机制,从而推动整体安全的变革。

这就是我们目前设想中的一套非常理想的安全架构。当然,这些还在构建中,还有很多困难要面对,还有很多攻击面要去对抗。我们还有很多开创性的其他安全防护工作,比如去年在BlackHat上讲的OASES安卓自适应热修复技术,也是你采访的。(大笑)

此处应有我们的合影

此处应有我们的合影

保卫百度和网民

史中:加入百度之后,除了系统安全以外,还会面临一些新的安全挑战吗?

韦韬:百度自身面临的安全威胁,可能比很多人想象中都要大。

最主要的威胁来自黑产,我称之为安全防御的新战场。

我总结为对内和对外两个方向。举个例子:

1、在黑市上,时不时有人悬赏收购某些大公司的内部机要信息,然后打包出售;同样在黑市上,也时不时有人悬赏大企业的程序源代码。这其中当然包括百度。

“不幸”的是:百度有数万名员工,数十万台服务器。这些复杂的人员和网络系统,任何一个环节出了问题,都可能导致严重的安全问题。

不少朋友聊天的时候,都说 APT威胁的最大目标是政府,但根据我这些年的观察,APT 最大的受害者其实是企业。(注:APT,即 Advanced Persistent Threat,高级持续性威胁,一般代指有明确攻击目的的黑客威胁,就像俗话说的“不怕贼偷就怕贼惦记”。)

在利益的驱动下,黑产会精心地策反公司不稳定员工,以获得网络接入并获取关键信息。所以,我们需要完整的安全防护技术还有灵敏的威胁情报,才能精确对抗这种持续性安全威胁。

内部威胁,此为其一。

2、只要有流量的地方就有黑产。而百度再次“不幸”地拥有巨大的流量,包括搜索、地图、网盘存储等等。

例如,有些黑产会黑掉正常的网站,在夜深人静的时候把网站内容替换成黄赌毒,显示在搜索结果中。

有些黑产会恶意刷关键词,欺骗搜索引擎。让用户在搜索A的时候,总是看到与B相关的东西。

有些黑产会用“撞库”的方法猜到用户百度网盘的账号,在其中装满淫秽视频,在淘宝上出售。

总之,有流量的地方,就有人想尽办法“赚黑钱”。

外部威胁,此为其二。

黑产曾经攻击正常网站的百度推广账户,非法推广赌博网站。

黑产曾经攻击正常网站的百度推广账户,非法推广赌博网站。

史中:说说让你印象深刻的,脑洞大开的黑产吧?

韦韬:就在前不久,我们用了一年多时间刚刚打掉了一个非常大的黑产团伙,这真的可以用产业来形容,影响着上万家网站。你可能想象不到,他们对用户的电话号码非常感兴趣。

当用户在手机上访问了某个网站之后,很快就会接到该网站打来的推销电话,对网民造成极大的困扰。

很多人都怀疑是百度泄露了访问者的电话号码,但其实根本与百度没有关系。这件事,让百度“背锅”很久。经过我们实验室同学们深入侦查,最终事情的真相浮出水面:

在网络上,有几百家黑产经销商对外提供这种“网站访客营销”的服务,影响上万家网站。顺藤摸瓜,他们的上游又有5家左右的“网站访客手机号/QQ号获取技术”的总经销商;

再往源头追溯,发现信息来源竟然是某运营商的几家省级分公司的服务网关,这些黑产混入了这些服务网关的白名单中。这些总经销商给下游网站提供了 JS 脚本来访问这些运营商服务,非法获取网站访客的手机号。

某网站曾经明目张胆地提供抓取访问用户手机号的服务

某网站曾经明目张胆地提供抓取访问用户手机号的服务

经过一年多的对抗,这件事情直到不久之前才终于告一段落,我们终于推动各方切断了这个黑产链条。看到用户的信息不再被这伙黑产恶意窃取,我们才稍舒一口气。但对抗还在继续,黑产又在研究和利用新的漏洞继续非法牟利,我们也会坚决的继续打击下去。

从我的角度来看,作为常用的互联网基础设施,百度支撑了全国人民的各种服务,所以一旦出现问题,影响就非常严重。

很多时候,寄生在互联网生态上的黑产,并不能靠百度一家来处理。

例如我刚才说到的“撞库”,黑产通过用户在其他网站泄露的密码信息,来尝试登陆百度网盘的账号。一旦登陆成功,就用来存储淫秽视频出售。

对我们来说,只能通过技术手段来感知用户的登陆行为是否安全,然后对用户进行提示。经过我们的努力,还有与阿里巴巴等互联网公司的合作。目前淘宝上出售淫秽视频的“生意”已经大幅萎缩了;在微信上,黑产把价格从原来的15块提升到了68块,这也说明我们的对抗大大提高了黑产的成本。

这些单独的打击远远不够,我们试图建立一整套体系,在每个单点都采取非常个性化的防护措施,这些点在和黑客对抗的时候都具有“不对称性”的优势,然后把这些单点防护措施联合起来,就可以形成一整套强大的防护体系。这个体系需要花费工程师巨大的心血,但值得。

史中:对抗黑产的“黑产战争”,和保护系统安全的“内存战争”有什么不同?

韦韬:我之所以把打击黑产称之为安全防御的新战场,是因为“黑产战争”甚至比“内存战争”更为惨烈。

在和“黑产”交手之前,普通人很难想象到他们会如此“执着”;但如果你知道这背后有多大的经济利益之后,就不难 “理解”他们为什么如此拼命。

我们的安全实验室有近百人,百度安全事业部有近千人,但我们的对手——黑产从业者——有数十万人。相比对手来说,我们的人手非常少。我们也是急切的需要研究从深度学习到形式化验证的各种新兴技术,来保障百度和网民的安全。

我们实验室的名字叫做“百度安全实验室”,大部分人觉得我们的日常就是都穿着白大褂做研究。但实际上我们既要“穿白大褂”做研究,又要“穿迷彩服”冲到一线作战。

只有安全专家,才能更懂得黑产模式,才能在战场上以一敌百。

史中:科学家会武术,谁都挡不住。

韦韬:我感到更多的是如履薄冰。正如那句话:Security never sleeps。

尾声

和韦韬的谈话,从百度开始,却终于系统安全的哲学思考。

从北大时期,韦韬就是各个世界顶级安全大会的讲者。作为一个安全大牛,他却很少谈具体的漏洞。每一次,他都用优雅而坚定的论断,揭露一处系统安全的死结,并且在余下的时间试图给出完美的答案。

建立一套在数学上和实践上可行有效,而最终又可以趋于完美的防御体系,是他的执念。

所谓尽善,可能并不是向每一个穷人舍粥,而是寻找治愈社会的方药。

所谓尽美,可能并不是呵护花圃里的每一朵花,而是向大地注入养分。

韦韬的执着,也许是冰冷信息时代的一种悲天悯人。

end

本文作者史中,科技媒体人。微信:Fungungun。

·氧分子网http://www.yangfenzi.com)延伸阅读:

➤ 百度搜索官方客服电话,记得认准这几个百度认证标志

➤ 网络诈骗研究:知己知彼 百骗不侵,六招KO网络诈骗

➤ 世界密码日:如何让你的密码更安全,更便于管理

➤ 冯大辉:被骗并不都是因为傻 贪小便宜、贪婪想发财都可能被骗

➤ WhatsApp CEO简·库姆Jan Koum:保护隐私和信息安全更重要

➤ 引起全球恐慌的比特币勒索病毒WannaCry是怎么回事?如何防御

氧分子网(www.yangfenzi.com)是关注互联网生态圈的科技新媒体

·氧分子网http://www.yangfenzi.com)综合整理

您可能还喜欢…

1 Response

  1. 2017年1月28日,农历大年初一,某色情诈骗App一天流水高达2000多万人民币。诈骗团伙看到巨额流水依旧习以为常,甚至还有些窃喜。因为春节期间,被骗的人似乎多了不少,“生意”变得越来越好。

    这个团伙自以为手法高明,规避了法律风险:

    在网页上诱导用户下载,推送所谓的“情色片”给用户看,但是想看到“完整版”视频需要经过多轮付费,可是当用户层层支付数百元后,最后才会发现视频并没有“完整版”,甚至全程都只是“软色情”,这时用户才会恍然大悟——被骗了。

    螳螂捕蝉,黄雀在后。他们这一切看似高明的动作都被远在深圳南山区腾讯大厦的一个团队盯在眼里,他们随时紧跟着网络上的黑产、黑客的行踪,和公检法部门做沟通,在全国打击网络黑产的行动中起到了关键作用。和“朝阳区群众”不同的是,他们靠技术吃饭,却有着不俗的“战斗力”。

    这个团队有一个共同的名字——“守护者计划”,它是腾讯安全联合警方、运营商、银行等发起的反电信网络诈骗平台,2017年升级全面打击网络黑产,并取得了不俗的成果。

    在打击网络黑产所取得的成绩中,除了“守护者计划”以外,还有一个不得不提的名字——腾讯安全反诈骗实验室。腾讯安全反诈骗实验室是“守护者计划”旗下基于大数据的方法,构建基于终端、管道和云端全覆盖的创新黑产分析和阻击模式的研究中心,为“守护者计划”和公安机关打击网络黑产提供技术能力、技术产品,这个实验室不断研究新技术,为打击网络黑产做出了重要贡献。

    “老腾讯”:对付黑产是矛与盾的较量

    农历大年初一,腾讯安全反诈骗实验室技术专家Lucifer像往常一样打开了自己的手机,工作群里同事发来了这几天的网络黑产监测数据。

    Lucifer看到数据后有几分惊讶,因为一个不起眼的色情诈骗App一天流水金额就高达2000多万元。

    安全团队从内部神羊系统中提取出该色情诈骗家族的相关证据,向警方寻求帮助,配合警方一起完善证据。

    发现一个问题简单,要串联梳理出整个犯罪团伙并定性很难。Lucifer于是他让同事在线上对这个团伙进行了标记,并加紧向警方举报。

    但他知道,这还远远不够,要想彻底解决问题,团队接下来需要配合警方寻找更多确凿的证据,这也是网络黑产犯罪的复杂性所在。

    春节过后,“守护者计划”团队经过两个月的顺藤摸瓜,逐步发现全国有三个极具“影响力”的色情诈骗黑产团伙,在经过信息梳理、线索搜集以及内部反复沟通后,“守护者计划”团队把这个黑产团伙的犯罪线索提交给了公安机关。最终,这三个黑产团伙被连根拔起。

    Lucifer 2010年加入腾讯,在腾讯从事安全业务已经有8个年头,这个“老腾讯人” 见证了腾讯安全业务从小到大的全过程。

    如今,Lucifer在腾讯安全反诈骗实验室APK移动安全团队担任负责人。2015年以后,他明确地感知到,腾讯安全在慢慢向全社会释放安全能力。

    Lucifer介绍,他所在的APK移动安全团队主要工作内容分为两个部分。

    第一部分是查杀包含恶意行为的病毒木马(如恶意扣费,恶意广告骚扰,色情欺诈,仿冒公检法诈骗,用户隐私窃取等),为广大用户和以及合作伙伴保驾护航。

    另外一部分则是对移动黑产进行研究,APK移动安全团队会对流行的移动端病毒黑产进行深入分析,剖析技术细节寻找打击方案,安全团队还会针对黑产背后的黑色产业链进行研究,从黑产线下打击提供弹药。

    基于这类研究,腾讯安全反诈骗实验室研发了十多款面向政府和企业的安全产品,比如“态势感知”、“鹰眼”、“麒麟”、“神侦”、“神羊”、“神荼”,分别作用在电信网络诈骗的事前预警、事中拦截阻断、和事后案情分析。

    在他看来,这些项目的诞生不仅是因为腾讯安全多年来安全能力逐渐积累提升,也和打击网络黑产工作中遇到的问题有关。

    Lucifer坦言,过去的安全工作有时会让他感到无力。因为很难从根源解决网络黑产问题。以色情欺诈类为例,安全软件在面对这类威胁时,会给用户病毒警告,建议用户不要安装此类应用。但因为色情”刚需”,某些用户无视风险尝试安装并支付,发现被骗后,由于无法找到欺诈方,最后只能在微信支付等平台进行投诉。

    和Lucifer一样感同身受,腾讯安全反诈骗实验室APK移动安全团队的的阿东近10年的工作中也发现了这个问题。

    阿东也是一个“老安全人”,他曾经在金山、百度等互联网公司的安全部门工作,两年前加入腾讯从事移动安全研究工作。

    以前在PC时代负责安全业务,阿东日常工作侧重于查杀病毒,处理样本。阿东回忆,当时的网络黑产犯罪分子一般是作坊式运作,攻击者自己购买木马,然后通过流量渠道进行传播,关键技术领域完全依托”技术专家”。

    加入腾讯后,他发现现在的工作和以往大不相同。

    他现在的工作更偏向于病毒、网络黑产产业链的打击。阿东介绍,网络黑产背后往往是一家家组织严密的企业,有开发,有运营,有商务,有的团伙甚至为了切断证据链,最大程度规避法律风险,把不同的工作内容分散在不同公司。

    阿东以色情诈骗App举例说,其背后的产业链分工非常明确。

    上游企业负责应用开发,甚至应用开发方会专门研究如何与杀毒软件进行对抗;中游有专门的支付公司负责开发支付接口,下游还有企业负责在广告联盟等渠道购买流量负责应用投放,投放方会在不同渠道以不同安装包的分身方式生成马甲避免被“一锅端”。

    甚至,安全企业和黑产企业之间正在形成“矛和盾”的较量,双方不断在技术研究、资源投入层面展开较量。

    在长期遏制网络黑产的工作中,Lucifer和阿东意识到,打击黑产很难在一个点上做到遏制,需要进行立体式防护。线上不仅需要通过安全软件封杀恶意应用安装,还需要通过安全服务产品阻止网络黑产变现支付,线下则需要联合警方把从源头上打掉犯罪团伙。这样立体防护才能有效解除网络黑产威胁。

    “白帽子”:单打独斗的时代早过去了

    这种观点也是很多独立“白帽子”的感受。

    MX年仅22岁,这个“白帽子”今年6月前还是个大四学生,他常常潜伏于企业官网、政府官网甚至是线上博彩平台。

    和很多“白帽子”一样,他并不喜欢别人知道他的真名。问到这个问题时,他总会犹豫一秒然后回答道,“你就叫我的代号吧,这是圈内习惯。”

    MX经常趴在企业、政府甚至是博彩平台的网站上,寻找平台漏洞、网络黑产迹象甚至是犯罪检索,做这些事情的目的纯属“行侠仗义”。

    对这个“智商过剩”的年轻人来说,把漏洞、线索提交给国内安全公司的安全应急响应中心不仅可以获得一定的奖励,更能有技术的快感。

    MX喜欢研究社会工程学的理论。在他看来,绝对的技术有时并不可怕,真正令人恐惧的是,利用人性的漏洞其实是攻破安全防线最捷径的方法。

    他甚至有时会尝试印证他的研究理论。一次他在某品牌手机官网上寻找到了客户的电话,以客服人员为“目标”,通过“假装”售后维权的方式,给客服发送邮件,“诱骗”客服点击植入了木马病毒的链接,最终入侵了该品牌的内网。

    入侵后,他给对方留下一封邮件,告诫这家品牌要加强内部安全建设。

    这样的尝试很危险,但给他的启示是,利用人的弱点,如:恐惧、轻信、健忘、胆小、贪便宜等,可以轻易地攻破技术构建的“马奇诺防线”。

    MX自己清楚地认识到,他这种行为本身就是存在法律风险的。所谓的正义行为游走在边缘地带,“行侠仗义”其实在挑战企业的接受底线。一旦这种“善意”的入侵造成了意想不到的恶劣后果,他依旧要承担法律责任。

    17年5月,在某家博彩网站上的潜伏经历则是给了他极大的震撼。

    MX在这家网站上发现,不少赌徒在网站大量充值,参与平台上的博彩项目,但有黑客通过技术手段窃取了几个赌徒的账号密码,并且随即把资金转移进了自己的银行卡内。

    更令他感到震惊的是,黑客的卡实际上来自黑市。黑客每次用卡实际上是提心吊胆,因为很可能会遭遇“黑吃黑”,卖卡方很可能就在卡里做了手脚,一旦有资金到账,卡里的资金就会被瞬间划走。

    面对这个环环相扣而且“黑吃黑”的网络黑产链条,他无力再深入挖掘。

    MX反思,如果自己继续追查下去,或者是用“捣乱”的方式在其中任何一个环节“搞破坏”,都可能会给自己带来麻烦,甚至会违反法律。

    他只能向某家安全平台提交线索,后来平台方和警方合作关闭了这家博彩网站,其他犯罪链条警方也在追查。

    这次经历让MX深刻认识到,个人单打独斗逞英雄的方式去面对网络黑产很无力。他最终也认识到,自己很多看似正义的行为存在法律风险,对网络黑产、黑客打击作用甚微。

    今年6月毕业之后,原本打算继续以个人“白帽子”身份在网络江湖里厮混的MX选择“被招安”,去安全公司工作。

    MX感慨,单打独斗就像“唐吉坷德骑马刺向风车”,个人面对网络黑产所能起到的作用非常有限,企业、警方、社会才是打击网络黑产的主体。

    “老警察”:用公检法的智慧协助办案

    不仅仅是“白帽子”,很多公检法机关的工作人员也投身于互联网企业,更换成另一种身份从事网络安全和网络黑产打击的工作。

    伴随着腾讯安全旗下“守护者计划”等全产业链的安全项目接连诞生,Lucifer发现,2015年左右腾讯安全部门引入的“老警察”越来越多。

    所谓“老警察”是腾讯安全部门内部的一个代号,他们实际上是一批从公检法机关、安全企业离职来到腾讯从事安全业务的专业安全人才。因为在公检法机关有多年和网络黑产团伙作斗争的一线经验,他们不仅嗅觉敏锐,而且年龄比团队内一般技术人员年龄要大,结果被技术人员们戏称为“老警察”。

    日常工作中,“老警察”们要和技术部门对接,还要根据技术部门提供的数据做分析、调查,发现异常情况后利用自己的丰富经验和技术部门做进一步验证,继续挖掘线索,最终把问题提交给公检法部门,协助公检法部门一起破案。

    愿意加入“守护者计划”的“老警察”,大多是一群愿意寻找改变的人。

    “守护者计划”的安全专家老李正是这样的“老警察”。原定在中午11点半的交流被推迟到了12点半,他正好需要和公安部门进行一场电话会议。这样的电话会议在日常工作中常常会遇到。

    警校4年、从警8年,这个“老警察”在侦查、法制工作中足足摸打滚打了12年。过去,他在执法过程中常常遇到阻碍,比如要抓捕嫌疑人的时候,团队只是掌握了嫌疑人网络虚拟身份。虚拟身份背后的真实身份却无从而知,只能通过找互联网公司协作,去确定犯罪嫌疑人信息,最终准确实施抓捕。

    2016年4月“守护者计划”成立后,他在6月份放弃原有的“铁饭碗”,选择加入“守护者计划”的团队。

    对老李来说,做出这个决定并不轻松。职业转型的顾虑一方面源于执法身份的转变,另一方面也来源于对技术的陌生。

    但互联网公司的吸引力依旧促使他选择离开职业“舒适区”。他说,“守护者计划团队”有想法、有思路、有技术,做事方式也比较开放。”最重要的是,加入“守护者计划”后,他逐渐深入认识到科技是如何打击犯罪活动的,在他看来,这也是团队最大的魅力所在。

    老李现在每天主要工作是通过“守护者计划”大数据分析的能力监测安全风险、黑产行为。比如说,通过“态势感知系统”收集攻击行为,通过“神羊情报系统”对追踪黑客定位,监测到黑客的IP、域名,及时把黑客行为提供给警方。

    技术能力只是“守护者计划”协助办案的一个层面,另一个层面则是通过自身技术优势协助警方了解案件逻辑,甚至帮助司法机关寻找证据链条对案件定性。

    和老李一样,阿正在2015年离开工作十余年的公安岗位,加入了“守护者计划”。对他来说,最大驱动力是,他希望在互联网安全领域提升自己的专业水平,而腾讯公司正是接触、对抗最新网络黑客技术的前沿企业,在这里每天都能接触到新事物。

    阿正以“快啊答题”打码平台案件举例,这样的验证码打码平台标榜为特殊障碍人士提供破解验证码的服务,但却采用了人工智能神经网络技术,不断去训练识别破解的准确度,使其能够快速海量的识别互联网通用的验证码安全策略,而且还能不断自身完善、学习,危害性很大。

    打码平台虽说似乎看起来技术中立,而且服务特殊障碍人群,但实际用户群体全是网络黑产团伙。

    “快啊答题”套餐价格是1万个验证码15块钱,“晒密人员”购买服务后用来“撞库”——“晒密人员”会事先从黑市或是贴吧买来大量账号、密码等原始个人信息,再通过“撞库”软件把账号、密码进行自动匹配。

    “快啊答题”在其中起到的作用是突破互联网公司的设置的验证码环节,帮助“晒密人员”更快清洗数据。账号密码最终匹配后,都会以重要程度再度分类销售给下游诈骗团伙。

    阿正当时第一次接触这类案件,被深深震撼,因为这是人工智能在黑产中得到运用的典型案例,而且这类打码平台已经成为了一大趋势,甚至由于“技术中立”的特点,这种平台在犯罪链条中看似是“不粘锅”,处理起来非常棘手。因此阿正迅速将其汇报给了“守护者计划”团队。

    阿正介绍,“快啊答题”这个案例的难点在于,其每个环节在整个犯罪链条中都是孤立的,窃取数据是一批团伙,洗库、撞库是一批团伙,数据商人卖给下游是一批团伙,直接实施诈骗的又是另一批团伙。

    各个团伙之间的联系表面上看没有那么紧密,在调查和分析的过程中,证据链条很难关联起来的。这导致警方对证据的追踪、溯源、分析也会带来很多挑战,最后案件定性也很困难。

    侦破这类全产业链案件,时间成本、人力成本和取证难度都会提高很多。

    但是阿正这类“老警察”在其中起到了重要作用。他们在网络黑产犯罪前沿对抗领域有经验,也具备对抗能力。他们身后的工程师既懂技术又懂调查分析,会对数据、代码和趋势进行判断,以此展开详尽的数据分析汇总。

    阿正拿到数据后进行会下一步的判断,对一线公安机关刑事打击提供证据、和建议,甚至在后续案件定性的工程中也会讲述其中的犯罪原理、结构逻辑,司法部门最后会做出综合判断,迅速对案件进行犯罪定性。

    最终“快啊答题”团伙在今年8月因非法侵入计算机信息系统罪被依法逮捕。

    殊途同归:打击黑产需要全社会人民战争

    事实上,“老警察”和技术人员之间也经历了长期磨合。

    Lucifer说,过去我们杀毒更关注如何捕获新的病毒类型,这些新病毒的发展趋势,以及如何和新病毒进行对抗,工作内容主要是从技术手段上要如何解决,这是个很专注、很技术化的领域。

    但是现在更多想的是如何配合“守护者计划”安全团队进行线下打击,如何让“老警察”理解网络黑产团伙的技术手段,如何让公检法更快理解网络黑产团伙的危害,如何配合公检法为办案流程提供信息线索、证据链条。

    这是两个不同的需求,也有完全不同解决思路。

    技术人员在得到数据时需要有敏感度。数据都是死的,但是人却能从数据中可以看出异常行为。

    阿东提到,技术人员看到一个数据后,可以从数据异常行为上来判定它的主要功能,如下载url一般直接是国外IP地址,通过短信进行传播,并且相对其它短信传播木马感染用户明显偏少,很大概率可能是仿冒公检法的犯罪团伙,发现可疑后通过下载应用的其它行为进行辅助就可以明确其功能了如软件中包含政府机关的关健词,包含窃取短信等功能。

    但在案件证据搜集过程中,往往并不像说的这么简单,还需要面临很多难点。技术人员不仅要提供技术方面的线索、犯罪团伙的规划,还要把受害人与黑产团伙之间的串联关系等信息梳理出来。

    一开始“老警察”和技术人员之间的对接存在一些“障碍”,但在几次配合打击黑产团伙后,双方变得越来越默契。

    在Lucifer看来,网络黑产团伙利用社交工具、支付工具所做的事情跟公司业务存在关联性,打击色情、诈骗团伙,实际上净化了社交体系违法违规的产业。这不仅对自身业务发展有好处,而且也是腾讯公司作为全球第四大互联网公司应尽的责任。

    在“守护者计划”的两年工作中。“老警察”老李意识到,网络黑产犯罪,靠企业或个人没办法根治,必须要联合社会各方力量,让互联网公司、公安部门、工商部门、商业银行、三大运营商等社会力量整合起来,才能达到综合治理的效果。

    2017年8月,“守护者计划”开展了“守护家人,做反诈骗行动派”公益行动,对电信网络诈骗进行了宣传教育,呼吁社会公众积极参与反电信网络诈骗行动,顺丰、滴滴、去哪儿、京东等近50家企业,李晨、陈乔恩、何穗等近30位明星,5500万公众加入到了这场反诈骗行动中。

    以“开放共享,社会共治”为主题的2018守护者计划大会将在1月14日召开,这次大会将分享这一年来打击网络犯罪的经典案例。此外,这次大会邀请到了公安部、最高人民检察院、最高人民法院等国家机关的到来。

    这意味着,“守护者计划”得到了国家层面的认可,打击黑产的“人民战争”策略正在生效。

    ———————————————–

    作者:深几度,微信公众号“深几度”

发表评论

电子邮件地址不会被公开。 必填项已用*标注

您可以使用这些HTML标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>