13
回答
【开源访谈】90 后黑客Seay(法师):数据泄露大多源于人的安全意识薄弱
华为云实践训练营,热门技术免费实践!>>>   

在早几年的入侵测试中,大多数黑客的目标都是放在寻找主机和应用的漏洞上,而近几年方向有些转变,企业数据大规模泄漏,大量员工又主动将服务器私钥、密码等等大量内部敏感信息直接存放到外部云笔记和网盘等等,利用泄露的密码去入侵个人账户是件非常容易的事情,另外企业邮箱这些内部系统弱密码又一大堆,人的维度安全形势非常严峻。本期,【开源访谈】邀请到了 Sobug 技术合伙人尹毅(法师),和大家分享黑客成长过程的经历,以及对目前安全领域的一些看法。

【本期嘉宾】

尹毅,Sobug技术合伙人,网名Seay、法师,《代码审计:企业级web代码安全架构》一书作者,知名安全博客cnseay.com博主,丰富的安全攻防经验,提出安全以人为中心,人是一切问题的根本。

【访谈实录】

1、首先简单介绍一下自己。

答: 我最早在一家做云安全的公司,当时我组建了一支安全团队,这个团队在14年的时候被阿里收购,我也随之加入阿里巴巴。我们团队在阿里主要负责攻击这块的事情,在这段时间里成功授权入侵过国内大几十家行业top的公司,因为团队内部有非常明确地分工,而且每个人能力都非常强,所以入侵的成功率一直是 100%。

15年底的时候我离开了阿里,创建了君安天下。这家公司是国内第一家也是唯一一家围绕人的维度去做安全的公司。公司在2016年年底被深圳Sobug收购,我作为技术合伙人的身份加入Sobug,现在在Sobug主要负责安全方面的工作。

在这期间,我写过一本书,叫《代码审计:企业级web代码安全架构》,这也是国内第一本专门讲代码安全的书。

 

2、创业的初衷是什么?创业时该准备些什么?

答: 其实我在刚毕业的时候就决定了我一定要创业!当时我还创建了一个公众号“互联网安全与创业”。

我觉得在公司打工的话,成长空间不大。当自己真正做过一家公司,真正体会怎么去带领团队之后,才会有更好地执行力,能力会比在公司上班要强得多。即使创业失败了,我再去大公司,能力也会比别人强,或者比我一直待在大公司要强。所以我希望挑战一下自己,也是在给自己的能力做投资。

另外我觉得人是一切问题的根本,比如一个程序员写出来一个漏洞,通过扫描器或者渗透测试发现并且修复之后,过两天同一个人还会写出来同一个漏洞,为什么呢?因为修复掉的是漏洞而不是人,人是漏洞的制造者,这是大多数企业在修复的时候修错了对象,所以漏洞一直在不断产生,这是很多企业做安全都做错的事情,没有人意识到这个事情,我觉得有市场有机会,我应该出来做这么一件有价值的事情。

创业该准备什么取决于做的事情吧,一般来说团队为先,一定要准备好一个非常靠谱的团队,团队决定了事儿成不成。

 

3、做安全行业期间有没有比较深刻的经历?

答: 做安全这些年大部分的时间是在给企业做入侵测试,所以印象最深刻的事情基本都在这段时间里面,我能想都不用想讲出来一大堆入侵的故事,从这些入侵测试经历来看,绝大多数人和企业的安全意识不够。

在早几年的入侵测试中,大多数黑客的目标都是放在寻找主机和应用的漏洞上,但是现在更多的时候是针对人。因为2012年之后企业数据大规模泄漏,地下黑客手中掌握上百亿条个人隐私数据,所以如果利用这些数据去入侵企业的话,只要看这些企业有哪些员工,从泄露的数据去查看他们的密码,然后去登录云笔记或者邮箱,很容易就入侵进去了。

这样的故事有很多,比如我们在入侵一家国内最大的平台的时候,发现很多的员工都把那些公司的服务器的私钥、密码,还有阿里云控制台的密码,全部都放在印象笔记里面,所以我们在很短的时间就把整家公司数据都入侵掉了。还有一些大的物流公司,数据有上几十亿条的数据。如果员工没有足够的安全意识,这些数据很容易就会泄露。

 

4、国内的 IT 行业对安全的重视程度如何?

答:“乌云”曾是国内最大漏洞收取的第三方平台,帮很多企业去收他们的漏洞,然后通知这些企业让他们过来认领。在去年7月份的时候这家公司被端了,有不少人被抓了。这些都是在国内安全领域比较有名望的人。

安全是个需要刺激的东西,因为不断地有这么一个平台去刺激他们,所以企业对安全会越来越重视,但是乌云倒闭了之后,我们所有做安全的人都感觉安全领域忽然少了个东西,感觉这个行业落寞了,所以我们最近造了一个更好的乌云,更规范更标准社区,我们相信这是个有意义有价值的事情。

另外很多年以前只有大公司才对安全有需求,但是在近两年我们在跑客户的时候,发现有一些刚成立的公司也会找我们做安全,说明这些企业对安全的重视程度有一个很大的提高。

 

5、如何看待国内互联网公司频频出现的数据泄露事件?

答: 其实数据泄露是个很正常的事情。我以前讲过一句话,“国内 95% 以上的比较有名的企业数据库都被拖了,这个数据量甚至到了百亿条的规模。”像之前曝光出来的京东的数据泄露、网易的数据泄露,这些数据在很多年前安全行业的人就知道已经泄露了,但是在很多年之后才曝光给大众。所以这些东西在大众看来很恐怖,但是在我们看来都是很平常的事情,有这样的事件去刺激行业是不一定是坏事。

 

6、爆出来的安全事件都是冰山一角,对我国的网络安全有什么看法?

答: 像在早几年其实很多做黑产的,特别猖獗,现在慢慢地少,今年会推出《网络安全法》,说明国家在网络安全上面是越来越重视。

企业做安全有四个阶段:从救火阶段,到建体系阶段,再到自己研发安全工具的阶段,到最后安全工具的商业化四个阶段,很多小企业已经开始踏上救火阶段,说明企业对安全也越来越重视。

不管从企业角度还是国家角度,整个大环境是在向一个更好的方向发展,不过从我们最近这几年做渗透测试的角度来看,网络安全形势仍仍非常非常严峻,还是非常容易被入侵。

 

7、对国内的黑产行业有什么样的看法?

答: 黑产行业是一个暴利的行业。比如说诈骗、偷数据、流量劫持、盗刷、洗号甚至是黑吃黑入侵博彩和黄网等等,流水大到一般人想都不敢想,这里面的诱惑非常大,不过大多数安全从业者都有坚守职业道德,这些事情我们能做到但我们不会去做。最近这几年黑客被抓的新闻越来越多,国家在加大打击,这个行业里面的人也在由早几年的猖獗变得谨慎低调,未来黑产一定会越来越少。 

 

8、对于个人而言,有什么提高数据安全性的建议?

答: 刚才我讲过,人有一个习惯,使用云服务。我们在入侵的过程中发现,有些公司50% 以上的技术岗位员工会把公司服务器的账号密码、后台地址和项目文档这种东西放到云服务里面去,印象笔记、百度云网盘、360网盘、有道云笔记这些都是重灾区,所以建议大家尽量不要把东西往外面放,往里面放就相当于是给黑客。

第二个是全网通用的密码。很多人淘宝、京东、QQ什么的密码都是一样的,一旦一家企业被入侵之后,黑客拿到这个密码然后登你的印象笔记这些,就很快能拿到你在里面的存储的东西。

还有一个就是密码规则可以猜得到,特别是企业内部的邮箱跟 OA 系统。我们去爆破一家企业,基本上能爆破10%~20%的员工的密码,他们的密码结构通常就是名字拼音、生日等等这些个人信息,或者加123、520、521、1314这样的规则。

还有一些人密码很多年都不改,这些都会很容易就造成数据泄露。

 

9、现在爆出很多泄露的事件很多都跟开源有关,你觉得开源跟安全之间有没有必然的联系呢?

答:开源程序相比于其他程序来说入侵的点不一样,从开源程序的代码里更容易发现0-day漏洞,就是没有公开的漏洞,我那本书也有讲到怎么去挖 0-day 。0-day的威力非常大,这个漏洞一旦出现之后,别人也不知道,很多厂商也还在继续用这套程序,然后利用关键字到Google一搜,一下就能爬到很多网站的域名地址,再放到工具里面批量打过去,一晚上可能就能入侵好几千个或者上万个网站。

所以其实企业应该在代码安全这块多加一点重视。我们做安全这些年发现,其实代码安全的需求是有的,但企业规模不大的话,很容易就会被忽略掉。

 

10、网络安全这个行业涉及的范围比较大,对于准备踏上这条路的朋友有什么建议?

答: 我的ID 叫“法师”,因为我觉得在整个互联网上面,安全的领域的人像是有魔法的人,你可以干很多别人干不了的事情,但是这些事情你可以做但不一定要去做。在这个行业上走,还是要遵循这个行业的规则,遵循职业的操守,不该做的事情还是不要去做,不然就很容易就“进去了”。

 

11、对于准备创业的同行或正在从创业奋斗中的同行有什么话想说的?

答: 我想用自己的创业经历告诉大家,不要踏上安全创业这条路。

我们在做客户的时候发现,大客户对安全的需求才比较大,安全这方面的预算也才会更多,一年的预算可能达到几千万甚至更多。但这样的客户有一个问题,它的需求非常重,在使用你的产品之后,它会不断地提需求让你改,签合同的话还要经过法务、财务等等,到签完合同可能要花上半年的时间,从签完合同到回款又是一两年的时间,特别是政府行业。对于创业公司来说,除非你有很强的背景,否则这是非常耗不起的,钱还没给你,你公司就死了。

中型的公司的预算一般不多,如果你做的这个项目的利润率和适用度都不是很高的话,不能覆盖到很多行业的需求,你的客单价又提不上去,就很难养活自己。除非你的利润率和适用度都非常高,很多企业都能用到你这个产品,然后可以把客单价调低一点,通过走量去赚钱。

还有一个就是小客户。一般行业的小客户对安全的需求是很弱的,而且他们没钱,小客户唯一可以做做的就是金融行业。

所以安全创业是一条非常难走的路。

举报
OSC源创君
发帖于8个月前 13回/3K+阅
顶部