• <dd id="3gzlp"></dd>

    <li id="3gzlp"><acronym id="3gzlp"></acronym></li>

    <span id="3gzlp"></span>

    【開源訪談】90 后黑客Seay(法師):數據泄露大多源于人的安全意識薄弱

    OSC源創君 發布于 2017/03/30 18:39
    閱讀 4K+
    收藏 34

    【直播預告】計算中間件Linkis開源技術的應用和實踐!>>>

    在早幾年的入侵測試中,大多數黑客的目標都是放在尋找主機和應用的漏洞上,而近幾年方向有些轉變,企業數據大規模泄漏,大量員工又主動將服務器私鑰、密碼等等大量內部敏感信息直接存放到外部云筆記和網盤等等,利用泄露的密碼去入侵個人賬戶是件非常容易的事情,另外企業郵箱這些內部系統弱密碼又一大堆,人的維度安全形勢非常嚴峻。本期,【開源訪談】邀請到了 Sobug 技術合伙人尹毅(法師),和大家分享黑客成長過程的經歷,以及對目前安全領域的一些看法。

    【本期嘉賓】

    尹毅,Sobug技術合伙人,網名Seay、法師,《代碼審計:企業級web代碼安全架構》一書作者,知名安全博客cnseay.com博主,豐富的安全攻防經驗,提出安全以人為中心,人是一切問題的根本。

    【訪談實錄】

    1、首先簡單介紹一下自己。

    答: 我最早在一家做云安全的公司,當時我組建了一支安全團隊,這個團隊在14年的時候被阿里收購,我也隨之加入阿里巴巴。我們團隊在阿里主要負責攻擊這塊的事情,在這段時間里成功授權入侵過國內大幾十家行業top的公司,因為團隊內部有非常明確地分工,而且每個人能力都非常強,所以入侵的成功率一直是 100%。

    15年底的時候我離開了阿里,創建了君安天下。這家公司是國內第一家也是唯一一家圍繞人的維度去做安全的公司。公司在2016年年底被深圳Sobug收購,我作為技術合伙人的身份加入Sobug,現在在Sobug主要負責安全方面的工作。

    在這期間,我寫過一本書,叫《代碼審計:企業級web代碼安全架構》,這也是國內第一本專門講代碼安全的書。

     

    2、創業的初衷是什么?創業時該準備些什么?

    答: 其實我在剛畢業的時候就決定了我一定要創業!當時我還創建了一個公眾號“互聯網安全與創業”。

    我覺得在公司打工的話,成長空間不大。當自己真正做過一家公司,真正體會怎么去帶領團隊之后,才會有更好地執行力,能力會比在公司上班要強得多。即使創業失敗了,我再去大公司,能力也會比別人強,或者比我一直待在大公司要強。所以我希望挑戰一下自己,也是在給自己的能力做投資。

    另外我覺得人是一切問題的根本,比如一個程序員寫出來一個漏洞,通過掃描器或者滲透測試發現并且修復之后,過兩天同一個人還會寫出來同一個漏洞,為什么呢?因為修復掉的是漏洞而不是人,人是漏洞的制造者,這是大多數企業在修復的時候修錯了對象,所以漏洞一直在不斷產生,這是很多企業做安全都做錯的事情,沒有人意識到這個事情,我覺得有市場有機會,我應該出來做這么一件有價值的事情。

    創業該準備什么取決于做的事情吧,一般來說團隊為先,一定要準備好一個非常靠譜的團隊,團隊決定了事兒成不成。

     

    3、做安全行業期間有沒有比較深刻的經歷?

    答: 做安全這些年大部分的時間是在給企業做入侵測試,所以印象最深刻的事情基本都在這段時間里面,我能想都不用想講出來一大堆入侵的故事,從這些入侵測試經歷來看,絕大多數人和企業的安全意識不夠。

    在早幾年的入侵測試中,大多數黑客的目標都是放在尋找主機和應用的漏洞上,但是現在更多的時候是針對人。因為2012年之后企業數據大規模泄漏,地下黑客手中掌握上百億條個人隱私數據,所以如果利用這些數據去入侵企業的話,只要看這些企業有哪些員工,從泄露的數據去查看他們的密碼,然后去登錄云筆記或者郵箱,很容易就入侵進去了。

    這樣的故事有很多,比如我們在入侵一家國內最大的平臺的時候,發現很多的員工都把那些公司的服務器的私鑰、密碼,還有阿里云控制臺的密碼,全部都放在印象筆記里面,所以我們在很短的時間就把整家公司數據都入侵掉了。還有一些大的物流公司,數據有上幾十億條的數據。如果員工沒有足夠的安全意識,這些數據很容易就會泄露。

     

    4、國內的 IT 行業對安全的重視程度如何?

    答:“烏云”曾是國內最大漏洞收取的第三方平臺,幫很多企業去收他們的漏洞,然后通知這些企業讓他們過來認領。在去年7月份的時候這家公司被端了,有不少人被抓了。這些都是在國內安全領域比較有名望的人。

    安全是個需要刺激的東西,因為不斷地有這么一個平臺去刺激他們,所以企業對安全會越來越重視,但是烏云倒閉了之后,我們所有做安全的人都感覺安全領域忽然少了個東西,感覺這個行業落寞了,所以我們最近造了一個更好的烏云,更規范更標準社區,我們相信這是個有意義有價值的事情。

    另外很多年以前只有大公司才對安全有需求,但是在近兩年我們在跑客戶的時候,發現有一些剛成立的公司也會找我們做安全,說明這些企業對安全的重視程度有一個很大的提高。

     

    5、如何看待國內互聯網公司頻頻出現的數據泄露事件?

    答: 其實數據泄露是個很正常的事情。我以前講過一句話,“國內 95% 以上的比較有名的企業數據庫都被拖了,這個數據量甚至到了百億條的規模。”像之前曝光出來的京東的數據泄露、網易的數據泄露,這些數據在很多年前安全行業的人就知道已經泄露了,但是在很多年之后才曝光給大眾。所以這些東西在大眾看來很恐怖,但是在我們看來都是很平常的事情,有這樣的事件去刺激行業是不一定是壞事。

     

    6、爆出來的安全事件都是冰山一角,對我國的網絡安全有什么看法?

    答: 像在早幾年其實很多做黑產的,特別猖獗,現在慢慢地少,今年會推出《網絡安全法》,說明國家在網絡安全上面是越來越重視。

    企業做安全有四個階段:從救火階段,到建體系階段,再到自己研發安全工具的階段,到最后安全工具的商業化四個階段,很多小企業已經開始踏上救火階段,說明企業對安全也越來越重視。

    不管從企業角度還是國家角度,整個大環境是在向一個更好的方向發展,不過從我們最近這幾年做滲透測試的角度來看,網絡安全形勢仍仍非常非常嚴峻,還是非常容易被入侵。

     

    7、對國內的黑產行業有什么樣的看法?

    答: 黑產行業是一個暴利的行業。比如說詐騙、偷數據、流量劫持、盜刷、洗號甚至是黑吃黑入侵博彩和黃網等等,流水大到一般人想都不敢想,這里面的誘惑非常大,不過大多數安全從業者都有堅守職業道德,這些事情我們能做到但我們不會去做。最近這幾年黑客被抓的新聞越來越多,國家在加大打擊,這個行業里面的人也在由早幾年的猖獗變得謹慎低調,未來黑產一定會越來越少。 

     

    8、對于個人而言,有什么提高數據安全性的建議?

    答: 剛才我講過,人有一個習慣,使用云服務。我們在入侵的過程中發現,有些公司50% 以上的技術崗位員工會把公司服務器的賬號密碼、后臺地址和項目文檔這種東西放到云服務里面去,印象筆記、百度云網盤、360網盤、有道云筆記這些都是重災區,所以建議大家盡量不要把東西往外面放,往里面放就相當于是給黑客。

    第二個是全網通用的密碼。很多人淘寶、京東、QQ什么的密碼都是一樣的,一旦一家企業被入侵之后,黑客拿到這個密碼然后登你的印象筆記這些,就很快能拿到你在里面的存儲的東西。

    還有一個就是密碼規則可以猜得到,特別是企業內部的郵箱跟 OA 系統。我們去爆破一家企業,基本上能爆破10%~20%的員工的密碼,他們的密碼結構通常就是名字拼音、生日等等這些個人信息,或者加123、520、521、1314這樣的規則。

    還有一些人密碼很多年都不改,這些都會很容易就造成數據泄露。

     

    9、現在爆出很多泄露的事件很多都跟開源有關,你覺得開源跟安全之間有沒有必然的聯系呢?

    答:開源程序相比于其他程序來說入侵的點不一樣,從開源程序的代碼里更容易發現0-day漏洞,就是沒有公開的漏洞,我那本書也有講到怎么去挖 0-day 。0-day的威力非常大,這個漏洞一旦出現之后,別人也不知道,很多廠商也還在繼續用這套程序,然后利用關鍵字到Google一搜,一下就能爬到很多網站的域名地址,再放到工具里面批量打過去,一晚上可能就能入侵好幾千個或者上萬個網站。

    所以其實企業應該在代碼安全這塊多加一點重視。我們做安全這些年發現,其實代碼安全的需求是有的,但企業規模不大的話,很容易就會被忽略掉。

     

    10、網絡安全這個行業涉及的范圍比較大,對于準備踏上這條路的朋友有什么建議?

    答: 我的ID 叫“法師”,因為我覺得在整個互聯網上面,安全的領域的人像是有魔法的人,你可以干很多別人干不了的事情,但是這些事情你可以做但不一定要去做。在這個行業上走,還是要遵循這個行業的規則,遵循職業的操守,不該做的事情還是不要去做,不然就很容易就“進去了”。

     

    11、對于準備創業的同行或正在從創業奮斗中的同行有什么話想說的?

    答: 我想用自己的創業經歷告訴大家,不要踏上安全創業這條路。

    我們在做客戶的時候發現,大客戶對安全的需求才比較大,安全這方面的預算也才會更多,一年的預算可能達到幾千萬甚至更多。但這樣的客戶有一個問題,它的需求非常重,在使用你的產品之后,它會不斷地提需求讓你改,簽合同的話還要經過法務、財務等等,到簽完合同可能要花上半年的時間,從簽完合同到回款又是一兩年的時間,特別是政府行業。對于創業公司來說,除非你有很強的背景,否則這是非常耗不起的,錢還沒給你,你公司就死了。

    中型的公司的預算一般不多,如果你做的這個項目的利潤率和適用度都不是很高的話,不能覆蓋到很多行業的需求,你的客單價又提不上去,就很難養活自己。除非你的利潤率和適用度都非常高,很多企業都能用到你這個產品,然后可以把客單價調低一點,通過走量去賺錢。

    還有一個就是小客戶。一般行業的小客戶對安全的需求是很弱的,而且他們沒錢,小客戶唯一可以做做的就是金融行業。

    所以安全創業是一條非常難走的路。

    加載中
    1
    烏龜殼
    烏龜殼

    只有我注意到了顏值嗎?

    1
    鈦元素
    鈦元素

    為烏云感到悲哀

    0
    Jr小王子
    Jr小王子

    為什么這么多年都是安全意識薄弱? 因為人性,誰沒事天天想著安全? 

    就好比獵物不可能100%的時間來注意天敵,捕獵者卻是長期蹲點。

    0
    小川先森
    小川先森

    我還以為要推廣安全論壇

    0
    炒股
    炒股

    能力這么強,技術這么牛,人還這么帥,我有個疑問!請問作者秒殺了多少妹子?

    0
    mind-blowing
    mind-blowing

    烏云不知道還能不能回來

    0
    一個人的中臺
    一個人的中臺

    這次沒有提妹子洗澡,仙人跳,我給0分!

    0
    開源中國首席吃不飽
    開源中國首席吃不飽

    我想用自己的創業經歷告訴大家,不要踏上安全創業這條路。

    這個是重點。。。

    0
    壹貳叁
    壹貳叁

    烏云可惜了

    0
    王澤昊
    王澤昊

    這就像說被核打擊多數是因為沒有反導系統。有人馬路上走天天防著被人殺么?那樣的人是精神病。

    返回頂部
    頂部
    聚看影院