信息互聯(lián)時(shí)代,不可否認(rèn)的是,企業(yè)的發(fā)展越來(lái)越多的依托信息技術(shù)的演進(jìn),大多數(shù)企業(yè)利用信息化手段提高產(chǎn)出效率,提升產(chǎn)品質(zhì)量,可還有些企業(yè)卻想通過(guò)信息技術(shù)竊取別人的商業(yè)數(shù)據(jù),妄圖利用這種“省時(shí)省力”的方法打倒競(jìng)爭(zhēng)對(duì)手,贏得商業(yè)戰(zhàn)役。近期爆出的意見(jiàn)數(shù)據(jù)泄露事件就是這樣一個(gè)活生生的例子。
事件回顧
7月12日,全國(guó)最大的實(shí)時(shí)公交軟件“酷米客”被爆出大量后臺(tái)數(shù)據(jù)遭泄露,竊取者竟是同行業(yè)競(jìng)爭(zhēng)對(duì)手“車來(lái)了”。本次泄漏事件涉及“酷米客”大量核心商業(yè)數(shù)據(jù),間接造成近20億損失。法網(wǎng)恢恢,7月11日,車來(lái)了CEO被南山警方以非法獲取計(jì)算機(jī)系統(tǒng)數(shù)據(jù)罪拘留。在進(jìn)行分析之前,小編先做了一下事件梳理:
2014年 酷米客發(fā)現(xiàn)一個(gè)ip集群,盜取服務(wù)器上的數(shù)據(jù)
2015年10月 酷米客發(fā)現(xiàn)在北京的數(shù)據(jù)被大肆盜取
2016年01月 谷米科技公司向南山分局報(bào)案
2016年06月 車來(lái)了CEO被南山分局拘留
2016年07月 嫌疑人被批準(zhǔn)逮捕,案件處于偵查階段
場(chǎng)景推演
安全事件爆出后,我們?cè)谶M(jìn)行技術(shù)分析之前,需要先搞清楚數(shù)據(jù)泄露的原因,才能夠提出有針對(duì)性的安全加固方案,而找出泄露根本原因必須嘗試還原場(chǎng)景。
我們看到,整個(gè)事件的核心目標(biāo)是數(shù)據(jù)。在還原場(chǎng)景前,我們必須先搞清楚哪種數(shù)據(jù)被泄露。對(duì)于公交手機(jī)軟件來(lái)說(shuō),兩種數(shù)據(jù)至關(guān)重要:一種是用戶個(gè)人信息,另外一種是公交車實(shí)時(shí)返回的GPS數(shù)據(jù)。GPS數(shù)據(jù)決定公交手機(jī)軟件對(duì)公交車位置的播報(bào)是否準(zhǔn)確,是“酷米客”核心業(yè)務(wù)的基礎(chǔ)和支柱。我們通過(guò)被爆出遭泄露的三個(gè)關(guān)鍵數(shù)據(jù)進(jìn)行判斷:
1、酷米客”每天收集的數(shù)據(jù)大約15億條;
2、酷米客注冊(cè)用戶大概有400萬(wàn);
3、從2014年開(kāi)始,就有一個(gè)IP集群每天登錄“酷米客”服務(wù)器上百萬(wàn)次,偷取數(shù)據(jù)。
如果攻擊者的目標(biāo)是用戶信息,則不需要每天登陸服務(wù)器且取多次,如此高的訪問(wèn)頻率,只有一種可能,攻擊者竊取的是GPS實(shí)時(shí)返回的公交車定位數(shù)據(jù)。
我們結(jié)合公交車軟件業(yè)務(wù)運(yùn)作方式,抽象出 “酷米客”的數(shù)據(jù)傳輸架構(gòu),軟件的工作運(yùn)行流程如下圖所示:
1、酷米客在公交車上安裝了車載GPS,車載GPS每10秒向GPS信號(hào)接收口發(fā)送GPS信號(hào)。GPS信號(hào)報(bào)告公交車當(dāng)前位置。
2、GPS信號(hào)接收集群處理GPS信號(hào),整合出公交車所在經(jīng)緯度的數(shù)值信息,并把相關(guān)信息存儲(chǔ)到后臺(tái)的數(shù)據(jù)庫(kù)服務(wù)器中。
3、為了保證安全數(shù)據(jù)庫(kù)集群把加密后的數(shù)據(jù)庫(kù)數(shù)據(jù)傳輸?shù)街С址?wù)的數(shù)據(jù)庫(kù)上準(zhǔn)備為用戶查詢提供數(shù)據(jù)。
4、用戶通過(guò)手機(jī)上的app軟件訪問(wèn)后臺(tái)服務(wù)器的支持?jǐn)?shù)據(jù)庫(kù)查詢出自己所關(guān)心的數(shù)據(jù),數(shù)據(jù)在app上被解密還原成明文展現(xiàn)給客戶。
此次事件中黑客盜取了存放在支持服務(wù)數(shù)據(jù)庫(kù)中的加密數(shù)據(jù)。根據(jù)“酷米客”員工的說(shuō)法:攻擊者是采用模擬用戶登陸訪問(wèn),從實(shí)時(shí)公交app獲取公交信息。攻擊者制作的模擬訪問(wèn)軟件能同時(shí)模擬幾百萬(wàn)甚至更多的用戶訪問(wèn)登陸軟件,這些訪問(wèn)把結(jié)果數(shù)據(jù)綜合起來(lái)就能獲得公交實(shí)時(shí)數(shù)據(jù),再次處理后,通過(guò)APP發(fā)布信息。這樣一套訪問(wèn)-獲取-發(fā)布流程,最終數(shù)據(jù)輸出,只比酷米客的數(shù)據(jù)晚幾毫秒。由此分析得出:整個(gè)事件的關(guān)鍵是如何在數(shù)據(jù)流上對(duì)非正常用戶的流量進(jìn)行攔截。作為一個(gè)互聯(lián)網(wǎng)公司,相信酷米客的信息安全意識(shí)不會(huì)很弱,顯然,目前現(xiàn)有的數(shù)據(jù)安全防護(hù)不足以抵御此類攻擊。
解決方案
通過(guò)對(duì)攻擊特點(diǎn)進(jìn)行分析,我們發(fā)現(xiàn),此類攻擊防御的關(guān)鍵點(diǎn)在于:如何從數(shù)據(jù)特征上分析出是人工登陸還是軟件模擬登陸,識(shí)別登錄類型成為解決問(wèn)題的關(guān)鍵點(diǎn)。我們可以從兩個(gè)層面進(jìn)行識(shí)別:
在網(wǎng)絡(luò)層面,通過(guò)識(shí)別ip的特征行為來(lái)判斷是否是非用戶操作。
基于網(wǎng)絡(luò)層面可以通過(guò)后臺(tái)服務(wù)器流量統(tǒng)計(jì)和日志分析來(lái)識(shí)別是否是非用戶操作。競(jìng)爭(zhēng)對(duì)手盜取公交信息實(shí)時(shí)數(shù)據(jù),必然是頻繁、大并發(fā)量、規(guī)律的獲取數(shù)據(jù)。通過(guò)以上特點(diǎn)可以制定出具針對(duì)性的策略:
1、在單位時(shí)間內(nèi)對(duì)每個(gè)ip可訪問(wèn)后臺(tái)服務(wù)器的次數(shù)做限定、每次訪問(wèn)減1,直至減到0為止,如果該IP繼續(xù)訪問(wèn)后臺(tái)服務(wù)器,可返回驗(yàn)證圖片讓用戶填寫驗(yàn)證碼,以保證訪問(wèn)者是真實(shí)用戶而非惡意軟件。
2、對(duì)單一ip的同一時(shí)刻大量的訪問(wèn)進(jìn)行減速處理。通過(guò)鎖的方式,延長(zhǎng)單個(gè)ip請(qǐng)求的所有數(shù)據(jù)回復(fù)速度,使大并發(fā)短期內(nèi)拿不到所有數(shù)據(jù)。讓實(shí)時(shí)數(shù)據(jù)過(guò)期無(wú)效。
3、機(jī)器發(fā)起訪問(wèn)的頻率比較固定,不像人的操作,間隔時(shí)間無(wú)規(guī)則,我們可以給每個(gè)IP地址建立一個(gè)時(shí)間窗口,記錄IP地址最近12次訪問(wèn)時(shí)間,每記錄一次滑動(dòng)一次窗口,比較最近訪問(wèn)時(shí)間和當(dāng)前時(shí)間,如果間隔時(shí)間很長(zhǎng)判斷是用戶行為,清除時(shí)間窗口;如果間隔不長(zhǎng),返回驗(yàn)證圖片讓用戶填寫驗(yàn)證碼。這種方式較為常見(jiàn),可以在一定程度上減緩酷米客遭到的入侵,但并不是一個(gè)完善的解決方案。
在數(shù)據(jù)層面,通過(guò)對(duì)請(qǐng)求數(shù)據(jù)的特征和規(guī)律判斷是否是非用戶操作。
通過(guò)網(wǎng)絡(luò)層能做到的只能是通過(guò)對(duì)統(tǒng)計(jì)數(shù)據(jù)的分析,事后區(qū)分操作者是用戶還是軟件,很難及時(shí)發(fā)現(xiàn)數(shù)據(jù)被盜取。相比之下,從數(shù)據(jù)層面的識(shí)別方法更準(zhǔn)確、快捷。
在后臺(tái)應(yīng)用服務(wù)器和支持服務(wù)的數(shù)據(jù)庫(kù)之間部署數(shù)據(jù)庫(kù)防火墻,通過(guò)數(shù)據(jù)庫(kù)防火墻的應(yīng)用關(guān)聯(lián)功能可以把對(duì)后臺(tái)服務(wù)器提出的請(qǐng)求語(yǔ)句、請(qǐng)求ip、用戶信息等與最終向數(shù)據(jù)庫(kù)中提取的sql語(yǔ)句做關(guān)聯(lián)。比如:一般情況下杭州的IP應(yīng)該查詢杭州的公交數(shù)據(jù)信息,如果杭州的IP查詢北京的公交信息,這很可能是模擬軟件偽裝成用戶,這樣在返回公交信息數(shù)據(jù)庫(kù)前,數(shù)據(jù)庫(kù)防火墻會(huì)阻斷數(shù)據(jù)庫(kù)的回包,向后臺(tái)服務(wù)器發(fā)送信息,讓后臺(tái)服務(wù)器向可以鏈路發(fā)送身份驗(yàn)證圖片,一旦身份驗(yàn)證圖片通過(guò)則發(fā)送被阻斷的數(shù)據(jù)庫(kù)回包。如果身份驗(yàn)證超時(shí)或不通過(guò),則把該ip納入數(shù)據(jù)庫(kù)防火墻黑名單,以后、、凡是杭州ip請(qǐng)求北京數(shù)據(jù)的行為直接阻斷,不發(fā)送到數(shù)據(jù)庫(kù)端。這樣既及時(shí)的阻止了數(shù)據(jù)被盜取,又減小了數(shù)據(jù)庫(kù)的查詢壓力。
總結(jié)
以上兩種識(shí)別阻斷方案針對(duì)本次攻擊事件提出,雖然可以解決眼前的問(wèn)題,但并非是最佳的長(zhǎng)期解決方案。下次黑客從哪來(lái)?用什么方式?采用什么技術(shù)?攻擊的流量有什么特征?面對(duì)不斷來(lái)襲的未知威脅,未雨綢繆,加強(qiáng)核心數(shù)據(jù)的感知風(fēng)險(xiǎn)能力,才能形成主動(dòng)的數(shù)據(jù)安全防護(hù)能力。
數(shù)據(jù)安全的感知風(fēng)險(xiǎn)能力依托于,從應(yīng)用請(qǐng)求和數(shù)據(jù)庫(kù)sql語(yǔ)句之間的固定映射關(guān)系以及請(qǐng)求語(yǔ)句和sql語(yǔ)句的特殊特征??梢酝ㄟ^(guò)學(xué)習(xí)的方式自動(dòng)完成數(shù)據(jù)庫(kù)和固定應(yīng)用之間的可信語(yǔ)句模型搭建,只允許符合語(yǔ)法模型的應(yīng)用請(qǐng)求和sql語(yǔ)句從數(shù)據(jù)庫(kù)中獲取信息。一旦發(fā)現(xiàn)有不符合原語(yǔ)法模型的語(yǔ)句,表示數(shù)據(jù)庫(kù)可能遭到非法訪問(wèn),對(duì)語(yǔ)句進(jìn)行警告并控制,并記錄下該行為的來(lái)源(IP地址和使用用戶名),作為審查的線索,以達(dá)到在第一時(shí)間發(fā)現(xiàn)異常行為,感知風(fēng)險(xiǎn),進(jìn)行響應(yīng)。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- 美媒聚焦比亞迪“副業(yè)”:電子代工助力蘋果,下個(gè)大計(jì)劃瞄準(zhǔn)AI機(jī)器人
- 微信零錢通新政策:銀行卡轉(zhuǎn)入資金提現(xiàn)免手續(xù)費(fèi)引熱議
- 消息稱塔塔集團(tuán)將收購(gòu)和碩印度iPhone代工廠60%股份 并接管日常運(yùn)營(yíng)
- 蘋果揭秘自研芯片成功之道:領(lǐng)先技術(shù)與深度整合是關(guān)鍵
- 英偉達(dá)新一代Blackwell GPU面臨過(guò)熱挑戰(zhàn),交付延期引發(fā)市場(chǎng)關(guān)注
- 馬斯克能否成為 AI 部部長(zhǎng)?硅谷與白宮的聯(lián)系日益緊密
- 余承東:Mate70將在26號(hào)發(fā)布,意外泄露引發(fā)關(guān)注
- 無(wú)人機(jī)“黑科技”亮相航展:全球首臺(tái)低空重力測(cè)量系統(tǒng)引關(guān)注
- 賽力斯發(fā)布聲明:未與任何伙伴聯(lián)合開(kāi)展人形機(jī)器人合作
- 賽力斯觸及漲停,汽車整車股盤初強(qiáng)勢(shì)拉升
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。