時(shí)至今日，云服務(wù)的價(jià)值已為眾多組織和機(jī)構(gòu)肯定，業(yè)內(nèi)利用云服務(wù)取得巨大成功的案例也愈來(lái)愈多，如WhatsApp、Pinterest、Mailbox等。然而不容忽視的是，規(guī)模的擴(kuò)大及目標(biāo)價(jià)值的增長(zhǎng)吸引了更多來(lái)自黑暗世界的目光，每起安全事件影響的惡劣程度亦是水漲船高。例如，今年代碼托管服務(wù)商Code Spaces由于被黑客惡意刪除全部數(shù)據(jù)而被迫關(guān)閉。為此，在AWDC 2014期間，《程序員》雜志采訪了阿里肖力及大賽三等獎(jiǎng)得主“香米”團(tuán)隊(duì)，圍繞剛剛結(jié)束的ALICTF 2014（阿里巴巴安全技術(shù)競(jìng)賽）對(duì)當(dāng)下互聯(lián)網(wǎng)的安全形勢(shì)進(jìn)行了交流與探討。

　　互聯(lián)網(wǎng)安全現(xiàn)狀及發(fā)展趨勢(shì)

　　“阿里云盾每天都會(huì)幫助用戶攔截?cái)?shù)億次的密碼暴力破解攻擊，每周2000起DDoS流量攻擊，最大攻擊流量超過(guò)300GB”，在討論中阿里巴巴安全部資深總監(jiān)肖力表示，目前國(guó)內(nèi)互聯(lián)網(wǎng)安全形勢(shì)非常嚴(yán)峻——只要服務(wù)器或網(wǎng)站在互聯(lián)網(wǎng)上開(kāi)放，就會(huì)遭遇密碼暴力破解、網(wǎng)站W(wǎng)eb攻擊、DDoS攻擊等。

　　同時(shí)，單看DDoS攻擊，2013年阿里云每周攻擊數(shù)只有當(dāng)下的四分之一，最大攻擊流量不超過(guò)100GB。然而僅僅一年時(shí)間，每天攻擊數(shù)就增長(zhǎng)了4倍，最大攻擊流量較去年往期更提升了3倍。

　　肖力指出，這種變化無(wú)疑意味著在黑客攻擊能力提升的同時(shí)，攻擊成本卻在不停下降。從而，在這種趨勢(shì)下，怎樣保護(hù)好云計(jì)算平臺(tái)及每個(gè)用戶的安全為服務(wù)提供商帶來(lái)了非常大的挑戰(zhàn)。

　　且談云模式下的挑戰(zhàn)和發(fā)展

　　對(duì)比傳統(tǒng)企業(yè)安全，肖力表示，云計(jì)算安全最大的挑戰(zhàn)就是要保護(hù)好每一個(gè)用戶的安全，這其中的差別就在于：傳統(tǒng)企業(yè)安全是保護(hù)自身，因此安全防御體系只需要針對(duì)一個(gè)用戶設(shè)計(jì)；而云服務(wù)可能有幾萬(wàn)甚至是幾十萬(wàn)個(gè)用戶，每個(gè)用戶的系統(tǒng)、業(yè)務(wù)場(chǎng)景都不一樣，因此，安全防御體系要適應(yīng)各種復(fù)雜的環(huán)境和業(yè)務(wù)是非常大的挑戰(zhàn)。

　　“例如DDoS檢測(cè)及防御，傳統(tǒng)的檢測(cè)防御思路可以解決99.9%的用戶安全問(wèn)題，也有可能誤殺了0.1%的用戶網(wǎng)站正常流量。但這對(duì)云服務(wù)來(lái)說(shuō)是完全不可接受的，因此在安全防御體系設(shè)計(jì)上也有更高要求，必須通過(guò)大數(shù)據(jù)的挖掘技術(shù)，更加智能地分析，才能更好地解決每一個(gè)用戶遇到的攻擊場(chǎng)景。”

　　對(duì)于云服務(wù)提供商在安全領(lǐng)域所遭受的挑戰(zhàn)，肖力還認(rèn)為，由于目前中小網(wǎng)站甚至大型網(wǎng)站缺乏專業(yè)的安全人員，所以在黑客面前，開(kāi)發(fā)者甚至各企業(yè)幾乎毫無(wú)還手之力，就如之前OpenSSL、Struts2等漏洞造成了大量網(wǎng)站被黑及用戶數(shù)據(jù)泄露。因此，服務(wù)提供商必須為用戶挑起這個(gè)擔(dān)子，盡可能的讓這些業(yè)務(wù)或網(wǎng)站免受安全問(wèn)題困擾，正如當(dāng)下阿里云安全系統(tǒng)所為——每天幫助用戶攔截攻擊，遇到業(yè)內(nèi)高危安全漏洞時(shí)第一時(shí)間進(jìn)行掃描，在發(fā)現(xiàn)存在漏洞用戶時(shí)及時(shí)通知并協(xié)助修補(bǔ)。

　　之所以會(huì)出現(xiàn)缺乏安全人員的情況，肖力將其主要?dú)w結(jié)于安全人員所需具備的素質(zhì)：首先，安全人員一定要對(duì)安全技術(shù)有足夠的好奇心和熱情，這是最重要的因素，因?yàn)楫?dāng)最新的漏洞被揭露，最新的安全技術(shù)及信息公布時(shí)，安全人員必須主動(dòng)得去了解及學(xué)習(xí)；其次，非常高的知識(shí)面，因?yàn)榘踩�往往�?huì)覆蓋技術(shù)的各個(gè)領(lǐng)域，而本次ALICTF 2014的出題正是基于這個(gè)考慮。

　　ALICTF 2014考量范圍

　　本次競(jìng)賽共分熱身賽、資格賽、總決賽3個(gè)賽段，吸引了超過(guò)2000支以上的團(tuán)隊(duì)參與，其中熱身賽和資格賽分別使用挑戰(zhàn)模式和解題模式，專業(yè)范圍覆蓋無(wú)線端安全、Linux內(nèi)核安全、VPC網(wǎng)絡(luò)安全、數(shù)據(jù)保護(hù)安全、Web安全、逆向工程、安全數(shù)據(jù)分析、代碼安全等眾多領(lǐng)域。到了總決賽，阿里更選擇了對(duì)攻模式，對(duì)Web安全、逆向工程、網(wǎng)絡(luò)數(shù)據(jù)分析、LXC安全、Java安全五大技術(shù)領(lǐng)域進(jìn)行考校。被問(wèn)及出題思路，肖力表示，這次競(jìng)賽出題方向和業(yè)內(nèi)Defcon CTF比賽還是有區(qū)別的，一方面命題偏向于企業(yè)安全攻防所遇到的問(wèn)題，更偏實(shí)戰(zhàn)；另一方面此次出題都是基于阿里云計(jì)算平臺(tái)和云產(chǎn)品環(huán)境，例如針對(duì)云盾、VPC、ECS、OSS進(jìn)行的安全技術(shù)挑戰(zhàn)。

　　為了對(duì)本次大賽及國(guó)內(nèi)高校大學(xué)生安全技術(shù)方面有更深入的了解，我們聯(lián)系到了本次競(jìng)賽的三等獎(jiǎng)得主，由3名同學(xué)組成的“香米”團(tuán)隊(duì)。

　　“香米”看ALICTF 2014

　　“香米”團(tuán)隊(duì)由鄭旻、傅裕斌和張凱組成，其中鄭旻是香港中文大學(xué)計(jì)算機(jī)系博士，傅裕斌和張凱分別來(lái)自杭電和浙大，前者負(fù)責(zé)做二進(jìn)制方面的逆向和攻擊，后者則從事Web方面的防護(hù)和攻擊。值得一提的是，鄭旻曾在騰訊、百度以及美國(guó)硅谷的FireEye實(shí)習(xí)。

　　回顧整個(gè)參賽歷程，鄭旻表示，在熱身賽階段，出題者給參賽者留出充足的時(shí)間用去解決一些開(kāi)放性問(wèn)題，主要考察參賽團(tuán)隊(duì)的創(chuàng)新能力；預(yù)選賽是要求在規(guī)定時(shí)間內(nèi)解決一些基本題目，主要考察參賽團(tuán)隊(duì)在安全技術(shù)方面的基本功；總決賽階段是所有隊(duì)伍在真實(shí)環(huán)境下進(jìn)行安全攻防，主要考察團(tuán)隊(duì)協(xié)作、應(yīng)變和學(xué)習(xí)能力。

　　“區(qū)別于以往標(biāo)的習(xí)題和作業(yè)，雖然有一些奇思妙想，但是都以標(biāo)準(zhǔn)答案為主，八九不離十。但是在總決賽中，阿里云搭建了一個(gè)完完整整的實(shí)踐環(huán)境，每個(gè)人都要維護(hù)自己的服務(wù)，真正的實(shí)踐環(huán)境就是這樣。平時(shí)，大家都是在學(xué)校做題，這種實(shí)踐環(huán)境非常難得，讓我們知道如何去維護(hù)自己的服務(wù)，并去尋找對(duì)方的漏洞。”在論及總決賽，鄭旻仍然回味無(wú)窮。

　　對(duì)于如何在總決賽中取得高分，鄭旻從防護(hù)和攻擊兩個(gè)方面進(jìn)行了分享：防護(hù)方面要保證自己的服務(wù)不被攻擊，比如要編寫守護(hù)進(jìn)程保證服務(wù)的正常運(yùn)行，并且要在沒(méi)有源碼的情況下給有漏洞的程序打補(bǔ)丁等；攻擊方面，要逆向分析別的隊(duì)伍服務(wù)中的漏洞，并寫出相應(yīng)的攻擊程序用來(lái)獲取其他隊(duì)伍的分?jǐn)?shù)。而在攻防的同時(shí)，還要分析網(wǎng)絡(luò)中的流量，通過(guò)分析流量包來(lái)獲取其他隊(duì)伍的的攻擊手段；同時(shí)在遇見(jiàn)一些前所未見(jiàn)的攻擊時(shí)，同學(xué)們還必須現(xiàn)場(chǎng)搜索，可謂是現(xiàn)學(xué)現(xiàn)賣，鄭旻分享說(shuō)。

　　多租戶模式下的系統(tǒng)安全變革

　　在被問(wèn)及云時(shí)代的安全挑戰(zhàn)時(shí)，鄭旻表示，傳統(tǒng)的服務(wù)器安全包括物理、網(wǎng)絡(luò)、操作系統(tǒng)、應(yīng)用四個(gè)層面。物理層面，無(wú)需多說(shuō)，讓服務(wù)器更經(jīng)得住考驗(yàn)；操作系統(tǒng)層面，例如Linux、Windows，管理員需要及時(shí)給系統(tǒng)打補(bǔ)丁，在沒(méi)有官方補(bǔ)丁的情況下，管理員還必須要自己定位并進(jìn)行相應(yīng)的修復(fù)；應(yīng)用層面，隨著應(yīng)用功能的豐富，必然會(huì)出現(xiàn)一些邏輯上的漏洞，因此你需要從這個(gè)方面進(jìn)行檢測(cè)；網(wǎng)絡(luò)層面，需要解決一些類似DDoS類型的攻擊。

　　此外，云服務(wù)器安全除了傳統(tǒng)的安全還多了一層云平臺(tái)安全。因?yàn)樵品��?wù)是很多用戶的數(shù)據(jù)和程序都保存在同一個(gè)服務(wù)器，為了保證不同用戶之間的隱私安全，云服務(wù)采用沙盒機(jī)制來(lái)限制每個(gè)用戶的訪問(wèn)權(quán)限，因此如何保證沙盒的安全是云服務(wù)安全的重點(diǎn)。

　　從無(wú)到有，淺析移動(dòng)互聯(lián)網(wǎng)安全

　　鄭旻主攻的方向是移動(dòng)安全研究，在談及移動(dòng)互聯(lián)網(wǎng)安全時(shí)明顯更加津津樂(lè)道了。期間，他分享道：

　　“在前幾年的時(shí)候，各大傳統(tǒng)互聯(lián)網(wǎng)公司剛剛進(jìn)入移動(dòng)互聯(lián)網(wǎng)領(lǐng)域，在安全方面的防護(hù)幾乎為零，像明文傳輸用戶密碼之類的漏洞屢見(jiàn)不鮮。隨著這幾年的發(fā)展，大家的安全意識(shí)越來(lái)越高了，但隨著App功能越做越多，難免會(huì)有邏輯上的設(shè)計(jì)缺陷，造成用戶隱私泄漏。另一方面，Android系統(tǒng)屢屢爆出嚴(yán)重安全漏洞，在Android 4.4以下的操作系統(tǒng)，黑客可以非常容易地獲取手機(jī)的控制權(quán)。互聯(lián)網(wǎng)公司應(yīng)該多多鼓勵(lì)用戶升級(jí)手機(jī)系統(tǒng)，否則在不安全的系統(tǒng)上運(yùn)行的任何程序都沒(méi)有安全可言。”

　　阿里巴巴安全技術(shù)競(jìng)賽篇后語(yǔ)

　　對(duì)于ALICTF 2014各個(gè)參賽團(tuán)隊(duì)的表現(xiàn)，肖力表示，這次競(jìng)賽聚集了當(dāng)前全國(guó)校園最好的一批安全技術(shù)同學(xué)，他們?cè)诒荣愔姓故玖朔浅ＸS富的參賽經(jīng)驗(yàn)，其中清華大學(xué)團(tuán)隊(duì)在攻防對(duì)抗思路和經(jīng)驗(yàn)方面尤其突出；同時(shí)，通過(guò)這次比賽，他們還發(fā)現(xiàn)大部分參賽隊(duì)伍在更貼近企業(yè)安全需求的Java安全、網(wǎng)絡(luò)安全及大數(shù)據(jù)安全技術(shù)領(lǐng)域還是比較欠缺。