孙冰
阿里巴巴集团(BABA.N)中最低调、最神秘的部门,非阿里巴巴安全部莫属,内部称其为阿里“神盾局”。这个从事“神秘”业务的部门一直非常低调,极少对外发声。但是,它却是保障全球最庞大电子商务生态系统安全的“网络特工队”,也是保障“双十一”、“红包大战”顺利进行的幕后功臣,每天都服务着数亿消费者和商家。
“要听与黑客进行正邪大战的故事?那太多了,因为每天都在进行。”阿里巴巴移动安全部负责人陈树华在接受《中国经济周刊》记者独家专访时说,他是阿里聚安全、钱盾产品创始人,也是国内最早的一批移动安全专家之一。
在陈树华看来,黑客并不可怕。“过去我们面临的安全问题只是来自于一个或者几个黑客,他们‘作恶的动机也往往只是为了证明自己的技术能力;而今天,我们要面对的则是一个庞大的黑色产业链,他们受巨额利益回报所驱动。”他说。
“神盾局”藏龙卧虎,与淘宝等主营业务同等级别
阿里巴巴集团移动安全部成立于2005年,主要职责包括保护知识产权,即打假;保护账户安全,主要防止虚假注册和盗号;保护交易安全,主要防止交易欺诈、恶意差评、敲诈勒索和炒信;保护信息安全和禁限售排查;保护隐私防止信息泄露;保护数据安全;大数据风控等。
在阿里巴巴内部,“神盾局”被视为是一个大神汇聚的存在,这里藏龙卧虎,磨铁、蒸米、潘爱民……这些都是在安全界响当当的名字,虽然对于大众来说比较陌生。“他们特别像金庸小说里的扫地僧,是绝顶高手但江湖无名,一般人甚至连他们的真名都不知道。”一位“神盾局”的“小特工”告诉《中国经济周刊》记者。当然,其中也有知名黑客“从良”变身为“白帽子”,那就更为神秘了,你甚至可能都不知道他其实也是“神盾局”的。
此外,神盾局中还有20多位原公检法系统的刑侦、经侦专家和网安、网监精英,比如徐平,他曾从警16年,是国内著名的刑侦专家,他加入阿里后,已协助警方打击处理千余名网络犯罪嫌疑人;也有法律专家,数量有数十位之多;以及外语天才,他们“潜伏”在团队里,保护着阿里巴巴在全球各地的交易安全。
“阿里巴巴安全部是一个完整的集团部门,级别与天猫、淘宝属于一个地位,在BAT当中,只有阿里巴巴是这样的。这种组织结构就表明安全是被放在阿里巴巴战略的最高级别来做的,和主营业务是一个高度,对于阿里来说,‘安全就是业务。”陈树华说。
攻击短板是现在黑色产业链的重要思路
不提升整个行业的安全能力,没有人能够真正保护自己
“传统的安全厂商主要是解决内网问题,但现在的安全问题已经没有边界了,没有城墙可以守了。即使你的信息安全了,但如果其他平台出现泄密,黑客用这个数据去撞库,一样会使得你的账户安全受到影响。这两年大量的事件已经证明了这一点。比如某邮箱出现账号密码泄露,其他公司的安全问题都随之上升。”陈树华说。
因为用户在不同的平台,信息和数据是有关联性的,黑色产业链操作者只要攻破最弱的一个环节,就可以通过“撞库”突破其他环节。比如很多用户是使用同一组用户名和密码去注册不同互联网平台的,淘宝、京东、网易邮箱、微信、携程、美团,也会有一些小网站和不太知名的App。而黑色产业链人员会先去攻击那些安全防范相对薄弱的小网站,窃取账户信息和密码之后,再用其去其他网站不停地尝试登录,这样即使大公司的安全再严密,黑色产业链还是有机可乘。
再比如说,很多人以为自己不安装、不使用支付宝,资金就安全了,其实不然。有些黑色产业链分子会通过手机木马窃取你的手机验证码,然后帮你注册一个支付宝,绑定你的银行卡后,盗取你账户里的资金。当然,针对这种行为,支付宝已经有了应对方案。
但作为用户,专家也提醒:一是务必安装手机安全软件,长时间收不到短信及电话,马上检修手机;二是不要轻易点击来历不明的链接,防止中了木马;三是不要透露短信验证码,转账前一定要电话确认,尤其是大额转账。
“这个和木桶原理类似,攻击短板是现在黑色产业链的重要思路。所以,如果不能帮助整个行业提升安全能力,没有人能够真正保护自己。”陈树华透露,也正是基于此,安全不再分你我,2016年,阿里巴巴会对全行业开放和大规模输出自己的安全能力。
“比如某电商算是阿里巴巴的竞争对手,但现在这家电商企业正在使用的就是阿里巴巴提供的安全服务。我们没有任何盈利指标和KPI考核,主要还是希望全行业能够有一个好的商业环境。”陈树华说。
“黑产从业者”超过了40万人,“年产值”超过1100亿
在互联网上购物、订餐订票,用手机支付代替银行卡和现金,这样的方式方便、高效、实惠,但还是会有人因为安全问题而望而却步。把我的身份信息留存在网上会被泄露吗?手机遗失了,“手机里的钱”会不会被偷?而事实上,类似案例不时见诸报端,甚至发生在身边。
类似这样狗血的短信你或许也曾收到过。“这是我们的聚餐照片,赶快去看哦”、“这是您小孩的成绩单”、“您的银行密码出现异常,请尽快修改密码”、“这是我和你老公的开房视频”……其实这些看起来仿佛是亲友、老师、银行客服发来的“重要”短信背后隐藏的是一个个手机木马病毒,千万不要点击。
当记者向一位安全专家请教“应该如何提示普通用户保护自己的信息安全”时,他说:“很多媒体希望我们做一些提示,但是每当我们公布一类犯罪分子的不法行为的时候,都是一把双刃剑。这是因为会有更多的不法分子知道,原来还可以这样!于是,案例公布之后,反而会出现类似事件更大范围地发生的后果,这种情况不止一次发生过。”
据不完全统计,目前中国网络黑色产业链的“从业者”已经超过了40万人,依托其进行网络诈骗产业的从业人数至少有160万人,“年产值”超过1100亿元。可以说,网络黑色产业链的商业化已经非常成熟,组织也相当严密。
他们虚假注册账号,用来发布推广信息,很多分类信息网站充斥着大量水军发送的这类消息,将有价值的信息淹没其中,甚至实施诈骗和销售假货;他们盗取账户,进行刷单、炒信、恶意差评、敲诈勒索。比如,本来一两百元的视频网站会员,有人5元、10元在兜售;他们还盗取账户中的虚拟财产和真实货币,比如,通过手机病毒截取验证码,盗刷用户银行卡……
但这些还不是全部。除了黑客攻击、盗取账号、钓鱼网站……这些典型的网络违法犯罪行为之外,还有一些游走在法律边缘的灰色产业也正在大规模蔓延。陈树华举例说,很多黑色产业链从业者盗取用户信息用来注册垃圾账号,只是用来刷榜或者散发推广信息,庞大的“僵尸粉”产业链就是一例,但根本没有法律能够处罚他们,或者处罚力度很小。
有业内人士透露,互联网黑色产业与灰色产业相互交织特点相当明显,产业规模保守估计过千亿元,社会危害性巨大,亟待立法、执法、司法有效应对。“黑色产业链并不是一家或几家公司就能够对抗的,而是需要全行业、全社会共同努力。但至少要有人作为先行者,阿里希望做这个事情。”陈树华说。
“由于强大的利益驱动,黑色产业链的反应速度非常快,对新技术手段的敏锐度非常高,一旦有了突破,就可能瞬间赚取大量的钱。因此,在与黑色产业链的斗争中,传统安全更多处于防守位置,都是黑色产业链有动作了,再进行快速反应。但现在借助大数据,我们就有能力做前置化的预防工作了。”陈树华说,在“双十一”之前,阿里巴巴就做了大量的模拟攻击。
阿里巴巴移动安全部负责人陈树华
2016年将是黑色产业链的“移动元年”
移动支付领域,作案者多为15至25岁的无业年轻人
随着移动互联网的普及,尤其是物联网、智能化时代的到来,网络安全正在进入全新的时代,安全专家与黑客之间“道高一尺、魔高一丈”的正邪较量也因此在不断升级。
2015年年初,腾讯曾针对网络黑色产业链进行了一次全面调研,并发布了首份《网络黑色产业链年度报告》,该报告披露,在移动支付安全领域,目前已逐渐形成一条分工明确、作案手法专业的黑色产业链,犯罪团伙具有很强的区域聚集性,分布在二三线城市,主要为年龄介于15至25岁之间的无业年轻人,他们在移动互联网领域里能够很敏锐地察觉到敛财的机会,主要瞄准网上购物、网络银行、网络游戏和聊天等用户群体。
腾讯移动安全实验室数据显示,2015年上半年,手机支付木马病毒新增29762个,感染用户总数达到1145.5万,最高峰6月平均每天6.8万名用户中毒。
有中国“黑客教父”之称的元老级黑客、IDF实验室创始人万涛(网名为“黑客老鹰”)表示,网络黑色产业链经历了十余年的发展后,在社交网络、网络存储、电子支付和各种基于网络而兴起的全新商业模式中无孔不入。
“今天,百分之七八十的业务都已经移动化了,人们的购物、出行等生活方式也大部分通过移动端来解决,黑色产业链也从PC往移动端转移。所以,我们也要提前布局。”陈树华说,于是,2014年1月,阿里巴巴移动安全部把移动安全业务变成一个完整的部门,并开始按照体系化去做移动安全业务。
“因为整个产业、业务都在移动化,而事实上,黑色产业链已经开始切换到移动端了。”陈树华判断,“2016年将成为黑色产业链的‘移动元年。”
而移动安全不仅仅针对智能手机,未来会越来越复杂,比如智能穿戴设备、智能家居甚至智能汽车,很多场景可能比手机更为复杂。而且很多时候安全往往也意味着繁复和打扰,不停地进行各种验证。陈树华认为,未来DT时代的安全会有更多的可能,可以做到无形和零打扰。“验证码就是为了识别操作手机的到底是不是机主,而未来进化到智能时代,完全可以通过声音、使用习惯、走路的频率和速度等来完成人机识别的过程。”陈树华说。