《云栖TechDay》第11期：大咖跟你聊“安全”

云栖TechDay第11期视频，请移步:/edu/lesson/92

在4月23日的云栖TechDay活动上，潘爱民、安忍、路奇为大家带来了主题为“安全”的分享和互动。这次活动采用了对话问答的新鲜模式，潘爱民和安忍两位专家给大家讲解了在移动端的安全问题，如何成为一名合格的白帽子以及企业安全的一些问题。同时，他们也对现场观众分享了初创企业的安全着重点。

下面是Tech君整理的现场内容：

主持人：大家好，我叫路奇，负责阿里云的开源对外合作，今天我们讨论的主题是“安全”。

今天我们想用对话的方式聊聊安全，主要谈三个方向：移动安全、白帽子、企业安全。

我们邀请来两位业界的大咖来跟我们分享。

与大家分享经验的第一位嘉宾是潘爱民老师，潘老师是C++早期一代成长起来的老程序员了， 90年代初就开始写很多代码，2000年在北大任教，研究信息安全。后来在微软研究Windows操作系统，对Windows比较有兴趣。后转到移动互联网，继续带着团队做操作系统，后来加入阿里巴巴做操作系统。现在在阿里巴巴安全部门做移动系统的底层，也关注阿里巴巴今天在移动端面临的业务的风险。

第二位嘉宾是安忍，来自阿里云云产品的安全专家。安忍在2000年开始涉及安全领域，在启明星辰工作了很多年，最开始聚焦在安全的一些底层技术，后来慢慢转向企业，主要是大型的企业服务，帮他们建设安全体系，搭建整个安全的防御体系为主，主要是比较大的解决方案，还有如何及时把各种安全措施和产品利用好，与电网、石油、银行都有过合作，也做过信息安全相应的规划，现在在阿里云。

主持人：如何看待二维码病毒现象，对于制作、扫描二维码软件的厂商（微信、钉钉、淘宝、支付宝），他们有什么责任和义务呢？

潘老师：二维码就是一个UI。简单来讲，扫描二维码就是要打开这个UI，可能是一个web页面或是一个其它的文件，里面可能就是恶意的，所以现在有好多的UI钓鱼，厂商一定要防钓鱼。二维码是一种形式，还有很多伪基站，有的时候，如果你看到一个短信，比如10086的短信，那未必是真的，有可能是附近的伪基站发出来的。

主持人：这就好比有个人跟你说他是派出所人员，他是110给你打电话。

潘老师：对。这样的情况每天都在发生，钓鱼里边的内容、页面会有很多花样。今天我们拿着手机，手机的能力跟PC是相当的，甚至有些高端手机超过PC的计算能力，所以这时候，移动端又是直接暴露在网上的。现在的系统做的有多好呢？移动系统肯定没有PC安全，安卓系统是由google发布新的版本，芯片厂商拿来移到新的芯片上，再由中间的设计公司（也可能没有），到终端厂商，这个周期只有半年多的时间。半年多的时间里，从google的一个参考系统，变成最终的一个高度定制化的，比如华为系统或者小米系统，它能够做的工作肯定是有限的，所以相对来讲，移动系统没有那么安全。另外，移动系统的开口要比PC更多，比如说它连着移动的网络，又有大量的移动服务，这些服务业是参次不齐的，有一些途径会给你装软件，下载游戏，这就不是钓鱼了，有的是一些仿冒的，有的是一些有其他目的的。这是今天移动系统的现状。

所以，哪怕从一个用户的角度来讲，我们也要比较谨慎，有些事情是会发生的。比如淘宝，其实在移动端面临了很多压力，淘宝是一个平台，它会引发一些利用平台、利用手机的一些软件，来做一些诈骗活动，或者是用机器来抢红包等等。手机端的一个软件，它的安全性是很难彻底得到保障的，这是对于提供移动服务的一个挑战，将来你的系统是跑在小米或者华为这些正派手机上，但是也可能不是，你可能跑在底层完全摧毁你业务逻辑的环境里面。这就是今天的移动端，从开发者的角度也是面临很大的困难。

安忍：二维码病毒这件事情，很多责任都在平台服务商上。比如用微信、淘宝扫二维码的时候，作为平台服务商，它应该对UI做一次校验，在国外很多短链的厂商也会做校验，我们的短链也会做校验。比如说你要打开微信的某个页面，必须要点阅读全文才能打开这种页面，这其实就是担心有人在页面里做什么事情，危害到微信自身平台的安全性。所以从扫描二维码可以看出，平台商在国内，不管是从监管，还是从信息安全的需求上，会承担大量的责任。据我了解，微信每天审核的外包团队规模是几百上千人的，不过，微信里面还是会有很多问题，这很难避免漏网之鱼的。

主持人：在有两个报告。一个叫《互联网安全报告》，安卓平台漏洞有两千多个，高危漏洞有227个，意味着可以作为被黑客利用的漏洞就有200多个，可能每个人的手机都会有漏洞。360在另外一个报告中说，360去年扫描了200多万个网站，其中101万个网站是有安全漏洞的，13%的网站有高危漏洞。互联网科技虽给我们带来了便利，但安全问题攻击门槛也下降了。那么，怎么看待以前的物理攻击和现在的数字化攻击？是不是时代的变化导致我们的安全性反而不如以前了呢？

潘老师：安全就是道高一尺，魔高一丈。这是一个对抗的过程，近，安全领域实际上是在蓬勃发展的，每个时期都会有一些特征。过去不是为了牟利，但是最近几年情况有所变化，中国古话讲，重赏之下必有勇夫，在利益驱动下，投入之后再来获利，这就是我们了解的黑产和灰产。

随着基础设施的发展、技术的改进，安全领域是在进步的，现在的代码质量越来越高，只是有一些新的技术总会有空缺的地方，可能隐蔽的东西还是会有的。

主持人：现在的黑客是不是都去赚钱了？

安忍：我个人观点认为，网络社会在最开始的时候，可能还是乌托邦的状态，大家把它想的很美好，也没有趋利的思想，但就现在的发展来讲，虚拟社会慢慢的向现实社会靠拢。并不是搞信息安全的才会有这个问题，现在整个黑产在慢慢的转变，慢慢的会向黑社会这种形式转变，很多黑色的产业链都和黑社会、犯罪组织有密切的联系。并不是白帽子问题，而是心里有这个念头把这行干下去。的确，这个诱惑非常大，中国人口基数大，骗子太容易赚钱了，每天的流水能达到几万，一个月就可以买法拉利跑车了。

主持人：服务器被攻击是公司的事情，个人手机被攻击就是自己的事情了，对于普通用户有什么样的建议呢？

潘老师：首先要有一些信任的基础。要相信这些企业，比如手机、手机系统，装软件装来路可靠的、官方的软件，安全意识要有，乱七八糟的东西一定是有问题的，不要随便点击。

主持人：关于“信用卡在身上钱也容易被刷、sim卡盗号”这类的安全问题，有什么方案或者建议给大家吗？

安忍：还是要依靠大家的安全意识，有一些良好的习惯。在注册信息时分级，不同的网站分层注册密码，甚至做到一站一密，把密码复杂化。

主持人：测试人员应该从哪些方面入手做测试，有没有比较好的工具或者手段可以推荐一下？

安忍：如果单纯定义程序或者源代码的测试，更多的是从一些安全的语法入手，比如SQL注入，比如转抑制服务里面被注释掉，在OWASP上有十大微博安全风险，这十大安全风险背后所对应的一些代码上的经典错误，作为程序员都应该去了解的，不只需要安全从业人员去了解，而是我们要把安全代码编写的习惯写到程序员自身的习惯里面去。像google、facebook等美国的公司，他们每一个程序员的安全意识都很强，他们编写代码时，粗浅的错误、简单的漏洞基本上都会避免的，可能更多的漏洞存在于逻辑上或者业务上。当我们去做测试的时候，单从代码测试的角度讲，如果没有钱，可以通过自己的一些检查工具，自己的一些经验去做，如果有一些经费，可以买一些源代码、测试工具来做，源代码的测试工具比较贵。

白盒测起来虽然效果最好，但其实它的隐性成本很高，对源代码的审计人员要求非常高。 如果从更大的测试范围看，除了源代码以外，还更看重基础环境，比如在部署发布时的一些问题，安全机械有没有定义好，服务器配置有没有做好，这也是在测试应该包括进去的。就我们内部管理的经验来看，ACL没配好或端口开错了等，这种问题反而比从SQL注入这种大的漏洞还要多。

主持人：在从事无线安全或者云安全的工作时，有没有一些你们自己经历的或者了解到的典型案例？

潘老师：我来讲一个一年前的关于在移动端软件的不安全性的案例吧。IOS在现在手机里边是相对比较安全的，而且苹果的生态系统是封闭的，安全性也是比较好的。阿里的某一个在海外做交易的软件有一点问题，以色列的一家安全公司分析了我们的软件，后来他给我们展示说这个IP是有问题的，他通过一些方法把用户的密码打出来了。后来团队里对IOS非常精通的人把这个过程还原了，他是利用了itunes协议的一个漏洞，到了我们的IP环境里面取到了一个文件，当然我们那个版本是有问题的，把密码放在那个文件里面了。通过这个案例，我想跟大家分享的体会是，IP要做到安全，不然很容易被利用。另外，我们今天在技术上还是有一些手段的，你的密码可以提升到一个相对比较安全的程度，国内也有不少的安全公司，包括阿里巴巴的移动安全部门，也是比较有经验的，保卫了阿里这么多的软件，形成了完整的方案。阿里巴巴聚安全，这是我们把很多在移动端的经验形成一个体系，主要有移动安全的部分，也有其他的风控部分，比如在手机端可以提供一些对帐号的识别能力，甚至有一个实人认证的比较高级的能力，实人认证就是要认证你这个真实的人，而不仅仅是你拥有这个密码，不仅是以前通常意义上的身份认证，还有像内容监管等。

安忍：各位创业者都可能会遇到这种问题，特别是如果你从事了技术领域，是一个比较新的，比较对知识产权看重的领域，都可能会遇到这种问题。我们的合作伙伴安全公司是怎么处理的你呢？所有程序员的机器，最粗暴的方式，不允许上网。所有参与编码和编译的机器不上网，他们也明白，这个事情要完全杜绝，光靠纯技术的手段，有时候还是挺难的。

主持人：以前的攻击可能都是针对服务攻击，现在已经到工具链层面来攻击了，你们觉得这方面有没有什么可以去规避的呢？

潘老师：我们在做IOS开发的时候，首先要下载插扣，正常情况应该到苹果的官方网站去下载，但是由于我们网络的原因，很多人到这儿下载，到那儿下载，甚至已经延伸到CDN上了，这就导致很多拿到的实际上是一个被修改过的工具了，这是问题的起因，也是这个过程。安全也是一个在流程当中贯穿全过程的，测试只测成品远远是不够了。阿里的流程体系里面，我们的这些IP都走一个统一的，我们内部的一套最后打包、签名的流程，所以最终发行出去的包是走统一的渠道，是安全的、官方的。安全流程给大家避免风险。

安忍：现在整个的攻击面确实比以前要广太多了，黑客的攻击思路还有思维远比防御方要活跃一些。腾讯管家发过一篇病毒木马的分析文章，就是一个比较特殊的攻击，假设我们在一个咖啡馆里面，大家连到一个wifi，我把这个Wifi的控制权拿下，然后通过感染你的所有的下载链接，比如你要自动更新某个程序，它就去做中间人，去劫持、替换掉下载的所有的软件，然后你不知不觉就种上木马了。

主持人：什么叫合格的白帽子？如何避免沦为一个黑客？

潘老师：我可以从技术和价值两方面来讲这个话题。要去攻一个东西你只要攻一个点，但是要守的话你可能要守一个面甚至一个更大的面。就像要盖一个楼，要把一个楼盖的很好，这只有经验丰富甚至有很多失败经验的人才能做的好，但是要给楼打一个洞可能有一个好的武器或者用点蛮力把门撞开都是可行的。不要太取巧，踏踏实实的打好基础。国内外一些顶尖的学术研究成果，那些文章的技术含量以及他们所做的工作扎实程度、创新程度都是很了不起。

黑客大会也有很多创新的思路，也是推动安全技术的进步。从学术角度从构造一个安全的系统也是需要的。

从价值观角度来说，我们最起码坚守不作恶，无论你是不是喜欢白帽子这个称号，不要去迫害那些正线的商业模式。我们做什么事情都要推动社会进步，成为对社会有用的人。

主持人：从阿里云公司的角度，如何去制订规则建立起一个社群或者组织，能够让用户使用起来更加放心？如果成立一个这样的社群或者组织，第三方如何在组织之间找到一个平衡？如何去规范发展呢？如何更加信任阿里云所给我提供的这样的注册先知计划？

潘老师：从今年开始我们先知计划也做了一些调整。第一，在我们平台上的白帽子是实名的。第二，我们现在也逐步推进重测团队的法人化和公司化，个人很难去承担一些商业上的责任，比如跟客人签一个协议是很难得到保证的。第三，我们会采用一些技术手段，重测的过程我们会有监控和审计的一些流程，包括他们接触的测试范围我们都会进行约定。

主持人：如果我们的安全服务都托管给了阿里云或者其他的第三方，我能信任云服务厂商给我带来的安全护航吗？

潘老师：品牌最大的优势意味着信任，在选择安全服务的时候你可能会选择比较大的一些厂商比如阿里云，阿里云也有很多安全的措施，我们会通过很多安全的认证，最近我们通过了ISO20000的认证，就是指我们在整个的IT运维过程中，我们符合国际化的要求标准。接下来我们还会通过很多安全相关的认证，特殊行业的认证和金融相关的认证。我们在通过这些认证的过程中也在不断的改进内部的各种控制手段，最终大家还是要靠法律条款来约束。

主持人：对于中小型企业或初创企业的安全着重点，有哪些建议？应该关注什么？

潘老师：从现实的角度来讲，最基本的数据的保护还是要的，在预算上不要太吝啬，省钱是要出问题的。对于初创企业，只要有一个基础能够保证在运行，在运行过程要有一些基本的风险意识，对于业务会面临的风险有一些对策。

安忍：安全的本质就是做风险管理，我们不期望消灭所有的风险。对初创企业来说，更多是想清楚自己这个阶段所面临的风险，该打的补丁是不是都打掉了，安全基线基本的配制是不是已经做好了，代码的基础安全要求是不是都已经做了，其实安全的本身的可靠性都来源于这些基础的工作。阿里的安全不是纯粹靠几个产品就保护的很多，是靠扎扎实实的基础工作，包括从进项层开始，所有的进项都是进行安全加固的。中小型企业可能一开始需要依赖外部的力量，比如可以依赖云盾提供一些基础的免费的、低价收费的安全服务去保证。公司发展到A轮B轮甚至到C轮后，每一轮的要求是不太一样的，每到一个阶段后都要去审视自己的业务阶段是不是需要引入真正的专业安全。一般来讲，在A轮到B轮可以引入一个综合性的运维人员，运维人员要懂一些安全的基本知识，能够去利用各种工具做一些安全防护。如果公司比较大，到C轮了，那时候你可能真正需要一个首席风险官了，需要一个真正的专业的安全管理的人。越到后面需要的人的综合能力越强，不只是纯粹的攻防能力，大家循序渐进吧。作为乙方，虽然希望大家买安全产品越多越好，但是大家一定要循序渐进的去构件自己的安全防护系统。

主持人：只要开启了云盾，用户的安全就可以高枕无忧了吗？还需要做其他的辅助事情吗？

安忍：服务商和用户之间的安全是有责任划分的，除了经典的用户责任划分模型，假设没有云盾的时候，在主机操作系统层面以上的主要安全责任是用户自己来负责，有了云盾后还是这个概念，云盾是一个品牌不是一个产品，它更多的偏重的是主机层面安全的防护，比如有没有人来暴力破解你的密码，如果黑客不是从这方面进行攻击，可能就没有办法进行防护了。所以，安全防护肯定是多层次的，主机层、网络层、数据层都要做安全的防护。用户要有自己的风险意识判断，云盾能起很大作用但它也不是万能的，云盾对于抵御自动化攻击非常有效。但如果你的密码被盗了防护就难了，你可能需要更多的安全生态的第三方来做安全防护，传统的云下的第三方安全产品的类型有很多，在云上现在也是越来越丰富。大家在做安全防护的时候，更多的要根据自己的业务特点和现阶段的一些问题和安全需求来制订自己的安全策略。

主持人：对于不熟悉网络安全的人，使用阿里云服务器（比如云盾）后，是不是不用再花过多的精力在这方面了？应该从哪些方面做着手？

安忍：真正不操心的属于外包，不是自己去配制。从基础环境配置着手，比如自己服务自身防控制，帐号密码是否做好，服务器开放最小权限的原则是否执行，阿里云提供的一些免费的安全措施是不是都利用上了。要想提高我们的防护能力和技术水平，大量的阅读是很难避免的。云盾提供一部分免费一部分收费的服务，我们把产品分成不同的等级来适应大家不同的需求，我们最终的目标也希望让所有的用户在安全上投入的精力少，但是不意味着你可以放任不管，服务可以外包，但是责任不能外包。该阿里云承担的责任我们一定会去承担，但是需要用户自己做的也一定要去做。

我们今天的沙龙就到此为止，谢谢大家！