Benjurry访谈
By Benjurry & Ph4nt0m
一、现在的安全事件跟以前有很大转变,钓鱼、欺诈逐渐兴起,对于这种转变,信息安全的
未来在哪里?
我认为现在的安全事件和以前最大的区别是利益化,通过或高深、或简单的技术来达到
获取利益的目的。
安全从最早的单纯追求技术突破到后来的技术尝试和炫耀到现在的追求利益,一路不断
发展而来,是多种因素综合的结果。
现在的安全事件包括以下几类:
1、传统的黑客入侵,目的是入侵后获取重要数据,比如信用卡信息、用户资料、源代
码、重要文件。因为是以利益为目标,这类安全事件做的很隐秘,不像以前有人会涂改网站
或者友好提示管理员被入侵了。很多安全事件发生的几年时间内,被入侵的企业或者单位都
没有发现,偶尔被发现的安全事件考虑到企业自身的名誉也很少会被爆出来。因此这类事件
看起来少了,实际上可能比以前更多,只是做的很隐秘。
2、大规模的DDOS,目的是打击竞争对手或者收取保护费,这在游戏行业中特别常见。动
辄通过几十G乃至上百G的流量来DDOS 一些游戏服务商,导致游戏不能正常运营。由于这种行
为不容易追溯,攻击控制性好,时攻时停,变成常态化,也不是特别多的被宣传,所以看起
来这类事件少了,但实际上还是很多的,规模也在不断扩大。
3、盗号行为猖獗,盗号、刷号、洗号、养号、转移资产等行为还是非常猖獗,并且形成
了巨大的产业链。还发现了用A网站的帐号密码去尝试B网站的帐号密码等社会工程学的方法。
4、钓鱼、欺诈日益泛滥。这类安全事件的特点是技术门槛低,成本低,易规模化,广泛
散网,我们可以看到几十个中小学生在网吧里面发送钓鱼、诈骗信息,每天获取30元左右的
报酬。因此在最近的几年里日益泛滥。也正是这个原因,所以相对于其他安全事件来说,感
觉这类事件会特别特别的多。
随着互联网、移动互联网、物联网的不断发展,我想信息安全事件的种类还会不断发展、
形式也会不断变化,特别是互联网产业的快速发展,产值快速增加,对于加入这个行业进行
逐利的吸引力也会快速增加,因此对信息安全人员的挑战也会越来越大。
*第三方支付机构中有大量资金的用户、海量流动的资金会是一个巨大的吸引力;
*移动互联网中海量的用户,快捷整合的支付渠道,会成为流氓软件和诈骗者关注的重点;
*云计算中低成本、快速可扩展、快速可迁移的计算资源为恶意用户提供了较好的技术支
持;
*开放平台不断深入人心,使得帐号、支付不再成为瓶颈,在方便普通用户的同时,也会
使安全更不可控;
*SNS、微博的发展使得关系链更为明朗化,为诈骗提供了更多的信息;
这一切都会使信息安全变的更有挑战。
我认为安全问题是会永远存在的,安全永远都只能是一种动态的平衡。作为一个理性的
人,我们会考虑几个问题:
1、这个事情我能不能做,门槛和成本有多高;
2、做这个事情有没有风险,风险有多大;
3、有没有其他更好的其他安全的获利途径?
我们安全人员的对手也是这么考虑的。
因此我们可以做的包括以下几个方面:
1、在安全体系建设上,我们要提高对方的成本和门槛,使得对方的收益变小,但这里需
要平衡正常用户的使用方便性。因此如何快速发现,如何识别恶意行为,如何不影响正常用
户的灰度对抗,如何外部联动将会是重点;
2、通过不断健全、完善法律法规,提高恶意行为的风险,形成一种威慑力,但这里也
需要平衡恶意用户的违法行为和普通用户正常行为;
3、通过驱动社会发展,创造更多能发挥人们能力的就业岗位,使得人们有更多合法的
获利途径。这样,他们就不用违背道德、甚至违反法律去做一些不当的行为了。比如淘宝创
造了无数的就业岗位,盛大创造了无数的作家,能让很多人有正常的、合法的渠道进行赚钱。
二、近几年火爆的云计算平台,在安全方面相对以前相对独立的私有服务器模式,会有哪些
新的挑战?
随着Google、Amazon、saleforce 的快速扩展,云计算成为近几年很活的名词,不断出
现在各种报刊杂志,电视媒体。云计算的安全相对于用户和相对于运营商来说是不一样的。
从运营商角度看,安全挑战可能会包括:
1、如何确保多租户下用户数据的安全;
2、如何防止多租户下,恶意用户盗取其他用户信息;
3、如何确保用户的程序不是恶意的,不会影响其他用户;
4、在PAAS中,如何确保运营商不发生恶意扣费等损害用户行为;
5、如何限制用户滥用资源;
6、如何确保用户的程序、数据是符合法律法规的;
7、如何来建立用户的信用体系;
三、智能手机的兴起,移动互联网时代到来,包括盛大也推出了阅读工具。在这一块,安全
的有哪些新的挑战?
Iphone、Android手机的快速发展,3G技术的不断普及,碎片化的时间都为移动互联网
的发展提供了很好的机会,Foursquare、切客等基于LBS的业务在国内外发展迅速。
从利益角度分析,我觉得有以下几个风险:
1、智能手机功能不断扩展,软件复杂度日益加大,手机系统的漏洞将会不断增加,利
用手机漏洞入侵系统获取个人数据的可能性增加;
2、智能手机上病毒、木马将会越来越多,流氓软件恶意扣费、盗打的情况也会增加;
3、智能手机上的诈骗、钓鱼的欺骗性会更大,更不容易区分。
四、国家在打击网络犯罪方面有什么新举措?
正如上面我所说的,安全需要安全防范体系,法律法规,以及更多的社会工作机会。
近几年的网络安全形式变得越来越严峻,各种病毒木马呈现出爆发式的增长,网民银行
帐号、游戏帐号被盗的事件层出不穷,造成了巨大的损失。网络上病毒木马的泛滥不仅给网
民带来了巨大的损害,还影响了我国互联网络的健康发展。正是基于这样的现状,国家相关
部门为保障互联网的快速有序发展,大力推动互联网法律法规的建设,特别是2009年2月份
通过刑法修正案七,对于惩治网络“黑客”的违法犯罪行为,刑法加重了相关量刑条款。新
的刑法对入侵、盗号、窃取信息等违法行为加大了打击范围和力度。
从实际情况来看,也确实起到了比较好的效果。接下来应该相关政府部门应该会根据刑
法修正案和实际情况,出台相关的司法解释,使得各司法机关在处理网络犯罪方面更好操作,
以更好的保护互联网的健康发展。
五、从事安全行业的人员越来越多,作为业内前辈,对未来有志于从事这个行业的年轻人有
什么建议么?在信息安全职业规划这一方面,能否给出一些参考?
虽然我从事安全工作时间比较长,但在行业中有很多各方面都非常优秀的人才以及越来
越多的后起之秀,我也特别希望能和行业内的朋友一起讨论,一起分享。最近几年,互联网
的快速发展,互联网安全的挑战不断增加,给我们从事安全工作的人员带来了更多的机会,
使得我们自身的成长会更加快速。因此我们应该抓住这样的机会,在专业知识,通用素质和
情商方面不断提高自身水平。我的建议是要明确自己的目标,定期Review自身的状态,做到
“三省吾身”,发现不足及时改进,这也是互联网产品运营发展的理念。
六、为什么会考虑去盛大发展?
我在腾讯安全工作了5年,在很多朋友和同事的帮助和支持下,建立了腾讯的安全团队
和安全体系,同时一直也在想如何能做的更好,让自身有更大的突破。
因此我想可以从几个方面考虑:
1、我在腾讯安全的主要工作包括自身安全体系的建设和法律法规的推动,但一直没有
一个机会能创造一个共赢的生态环境,让更多人有机会去创造社会价值,而不是去做一些非
法的事情。
2、腾讯的安全是封闭的安全体系,封闭的体系安全相对好做一些,如果能有一个开放
的平台,对我来说会更有挑战。
正是基于这样的想法,我加入了盛大,希望能在盛大建立一个开放的云计算平台,让更
大有技术能力或者其他专业能力的人能够在我们盛大开放的云计算平台上创造他们的价值,
让有技术的人更有尊严的生活。希望通过这个平台,原先写病毒的人能写软件为别人解决问
题、编写娱乐应用满足人们的娱乐需求来创造收益;原先诈骗者可以发挥他们的聪明才智,
写小说或者策划游戏赚取资金。我觉得这是我的梦想,希望能在盛大这样一个开放的环境中
实现。
同时由于这是一个开放的平台,遭遇的安全问题会更多,对我来说也很具有安全挑战。
“开放会带来安全问题,但不开放是最大的不安全”。
-EOF-