2009中國計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)急年會(huì)于2009年10月21日至24日在湖南長沙召開，本屆年會(huì)主題是“網(wǎng)絡(luò)促進(jìn)發(fā)展 安全創(chuàng)造價(jià)值”。23日進(jìn)入會(huì)議第二天，在分會(huì)之“ISP & ICP安全”會(huì)上，騰訊安全中心總監(jiān)楊勇表示，驗(yàn)證碼的對(duì)抗絕對(duì)不亞于在木馬層面的對(duì)抗，經(jīng)過長期的對(duì)抗現(xiàn)有的驗(yàn)證碼是我們發(fā)現(xiàn)的比較好的對(duì)抗手段。

騰訊除了采用桌面對(duì)抗之外，還采用了大量的后臺(tái)對(duì)抗手段。如后臺(tái)保護(hù)，實(shí)時(shí)發(fā)現(xiàn)、限制，如“防曬號(hào)”。我們有四大后臺(tái)保護(hù)，對(duì)登錄、消息、財(cái)產(chǎn)、密碼進(jìn)行保護(hù)；我們通過對(duì)“曬號(hào)”行為的區(qū)別，降低用戶的損失，加大敵人攻擊的成本。以下是騰訊安全中心總監(jiān)楊勇發(fā)言實(shí)錄：

主持人閆宏強(qiáng)：下面，請(qǐng)騰訊業(yè)務(wù)安全中心總監(jiān)楊勇先生介紹騰訊業(yè)務(wù)安全管理經(jīng)驗(yàn)，楊勇先生長期從事安全工作，目前主要負(fù)責(zé)騰訊業(yè)務(wù)安全中心管理和規(guī)劃工作，騰訊T4級(jí)安全規(guī)劃專家。

楊勇：謝謝。今天在座的是中國乃至亞洲的安全專家，我在這里向大家匯報(bào)騰訊業(yè)務(wù)安全的相關(guān)工作。我的題目是“攜手共進(jìn)，同仇敵愾”。昨天，在和同行的交流中，其實(shí)內(nèi)容更準(zhǔn)確地說是“騰訊這幾年安全工作的血淚史”。

演講內(nèi)容分為四個(gè)部分，首先向在座的各位專家和同行介紹騰訊的外在安全形勢(shì)；然后談?wù)勥^去幾年中騰訊所做的應(yīng)對(duì)措施；三是騰訊對(duì)于前景的展望；四是騰訊對(duì)于后勢(shì)的期望。

一、中國互聯(lián)網(wǎng)——網(wǎng)民快速增長。

目前，網(wǎng)民達(dá)到3億，互聯(lián)網(wǎng)普及率達(dá)到22.6%，一線城市如北京上海已達(dá)到60%的覆蓋率，二、三線城市的發(fā)展是非常地迅速。

二、中國互聯(lián)網(wǎng)——產(chǎn)業(yè)增長迅速。

中國互聯(lián)網(wǎng)產(chǎn)業(yè)規(guī)模2010年將超過千億，網(wǎng)絡(luò)游戲預(yù)計(jì)達(dá)到427億，是增長最快的行業(yè)，在中國互聯(lián)網(wǎng)游戲產(chǎn)業(yè)已差距電影產(chǎn)業(yè)的總產(chǎn)值，第三方網(wǎng)上支付交易規(guī)模預(yù)計(jì)到2010年將接近萬億。工商已達(dá)到13萬億的網(wǎng)上交易規(guī)模，大家可以想象一下，增速是非常巨大的。

三、互聯(lián)網(wǎng)企業(yè)共同面臨的安全問題。

如盜號(hào)、偷錢、詐騙，還有大量的木馬、病毒、惡意代碼、私服、DDOS等等。

在互聯(lián)網(wǎng)領(lǐng)域的安全問題非常繁多，今天我的討論范圍主要是在業(yè)務(wù)安全方面，業(yè)務(wù)安全更多的指在業(yè)務(wù)邏輯方面的安全問題。比如前面提到的盜號(hào)、虛擬財(cái)產(chǎn)盜竊、垃圾消息種類，這些東西自我們觀察來看，大概在04、05年開始萌芽，也是中國互聯(lián)網(wǎng)的發(fā)展中面臨的安全問題。

例如騰訊對(duì)話聊天消息框。發(fā)一句消息請(qǐng)你用手機(jī)打電話聽歌，如果你打了電話的話，就會(huì)被聲訊扣費(fèi)。大家知道，這和QQ沒有關(guān)系，這些人偷竊了QQ之后，然后對(duì)他的好友發(fā)送一些垃圾消息。后來變成12590，我們對(duì)12590進(jìn)行了過濾，現(xiàn)在變成了豎排。

當(dāng)我們把消息打擊得差不多的時(shí)候，漸漸引進(jìn)了“邀請(qǐng)”模式，他們?cè)诰W(wǎng)上發(fā)起你一起游戲的邀請(qǐng)，然后讓你打12590。我們對(duì)此進(jìn)行打擊之后，又出現(xiàn)了在傳輸文件的時(shí)候，把文件名改成了一段垃圾消息。然后是騰訊客服的消息框，通知你中獎(jiǎng)了，這是黑客根據(jù)騰訊的消息框畫出的仿真消息框，這是從QQ用戶里取出號(hào)碼的ID彈出來的消息框。還有群發(fā)垃圾消息的軟件，可以迅速地群發(fā)垃圾消息。

黑客為了達(dá)到規(guī)模效應(yīng)，他們有相當(dāng)多的自動(dòng)化手段。這里截的圖是查詢工具，它可以查Q幣、密碼、會(huì)員等級(jí)、積分等等，它竊取號(hào)碼之后可以進(jìn)行批量化的財(cái)產(chǎn)洗錢，可以批量化的把高端化用戶的財(cái)產(chǎn)清理出來，吸他們的Q幣。如果沒有Q幣的用戶，就會(huì)用這些號(hào)碼來發(fā)垃圾消息。

這些自動(dòng)化工具使用度非常高，而且它可以使黑客批量地、快速地洗錢，批量地、快速地發(fā)垃圾消息，已經(jīng)形成了一個(gè)規(guī)模效應(yīng)，一旦一個(gè)產(chǎn)業(yè)形成了規(guī)模效應(yīng)，就會(huì)引發(fā)一個(gè)灰色的產(chǎn)業(yè)鏈，會(huì)吸引很多低學(xué)歷的人去從事這個(gè)行業(yè)。大家知道，有很多學(xué)歷并不高，計(jì)算機(jī)知識(shí)掌握得并不多的年輕人會(huì)加入到這個(gè)行列中。

這個(gè)產(chǎn)業(yè)有與時(shí)俱進(jìn)性，在07-09年騰訊游戲業(yè)務(wù)發(fā)展得比較快，黑客軟件也在不斷地發(fā)展，這些軟件已經(jīng)加入了游戲業(yè)務(wù)。使用QQ的人并不陌生，這是曾經(jīng)的一款驗(yàn)證碼。當(dāng)時(shí)，黑客洗錢完之后還不滿足，騰訊會(huì)提醒用戶異地登陸的消息，提醒用戶修改密碼。但是，黑客可以通過這些驗(yàn)證碼在用戶改變密保之后，再把密保改回來。那么，我們通過加密ISP協(xié)議，他們就會(huì)調(diào)動(dòng)我們的庫件進(jìn)行改密保。在選秀節(jié)目中有投票選舉機(jī)制，黑客制作自動(dòng)化注冊(cè)大量的QQ號(hào)碼來進(jìn)行投票，或者發(fā)垃圾消息。

曬號(hào)工具：QQ用戶有時(shí)候中了多個(gè)黑客集團(tuán)的多款木馬，黑客為了達(dá)到快速分類篩選洗錢的目的，首先會(huì)做一個(gè)號(hào)碼的驗(yàn)證工作，這就是一個(gè)曬號(hào)工具。

我們對(duì)曬號(hào)工具進(jìn)行了打擊和對(duì)抗，結(jié)果黑客馬上又想出了很好的對(duì)抗方法，它調(diào)用騰訊的軟件來進(jìn)行密碼驗(yàn)證，對(duì)于騰訊公司來說，他們的識(shí)別已經(jīng)非常非常困難了。對(duì)于協(xié)議上來說，調(diào)用我們的軟件在協(xié)議上就沒有太多的區(qū)別了，這類軟件是非常非常多的。

掛機(jī)軟件：游戲廠商等廠商都有很多的掛機(jī)軟件，這些掛機(jī)軟件不但幫用戶掛機(jī)，而且同時(shí)可以竊取用戶的帳號(hào)和密碼，很多用戶是心甘情愿地把自己的帳號(hào)和密碼提供給了這些廠商。

敵人的產(chǎn)業(yè)鏈主要分為三部分，第一部分是通過木馬、注冊(cè)、釣魚的手段獲取號(hào)碼；第二部分是通過曬號(hào)、選號(hào)對(duì)號(hào)碼進(jìn)行清洗；第三部分是通過盜號(hào)盜取用戶的裝備、賣靚號(hào)、垃圾消息來獲利。 騰訊在技術(shù)層面和非技術(shù)層面都在進(jìn)行對(duì)抗。

木馬、病毒影響互聯(lián)網(wǎng)發(fā)展，黑色產(chǎn)業(yè)鏈猖獗，2008年85%的計(jì)算機(jī)主機(jī)感染過病毒；2008年木馬數(shù)量1389萬，新增量是2007年的48倍；2006年黑客地下產(chǎn)業(yè)鏈經(jīng)濟(jì)高達(dá)2.6億，呈指數(shù)增長。

針對(duì)這樣一種嚴(yán)峻形勢(shì)，騰訊是怎樣應(yīng)對(duì)的呢？首先，在QQ客戶端做查毒、鍵盤保護(hù)、內(nèi)在保護(hù)的機(jī)制；同時(shí)，還研發(fā)了產(chǎn)品QQ醫(yī)生，它不僅幫助用戶治理，還加強(qiáng)用戶的保護(hù)，去查漏洞，去打補(bǔ)丁。但是，這還遠(yuǎn)遠(yuǎn)不夠，我們發(fā)現(xiàn)黑色產(chǎn)業(yè)鏈的理念是非常具有戰(zhàn)略性，也非常新穎的。我們?cè)?jīng)觀測(cè)到，黑客不再在內(nèi)核層面或技術(shù)層面和內(nèi)容商進(jìn)行對(duì)抗，它通過速度和我們進(jìn)行對(duì)抗，我們更新特征碼之后，他們通過更新的木馬，通過簡(jiǎn)單地變形，通過速度來進(jìn)行對(duì)抗，這樣傳統(tǒng)的對(duì)抗手段就失去意義了。而且，黑客產(chǎn)業(yè)鏈有一個(gè)天然的優(yōu)勢(shì)，他們不用考慮客戶桌面的穩(wěn)定性和安全性。但是，對(duì)于軟件供應(yīng)商來說是不得不考慮的。

騰訊除了采用桌面對(duì)抗之外，還采用了大量的后臺(tái)對(duì)抗手段。如后臺(tái)保護(hù)，實(shí)時(shí)、發(fā)現(xiàn)、限制，如“防曬號(hào)”。我們有四大后臺(tái)保護(hù)，對(duì)登錄、消息、財(cái)產(chǎn)、密碼進(jìn)行保護(hù)；我們通過對(duì)“曬號(hào)”行為的區(qū)別，降低用戶的損失，加大敵人攻擊的成本。

后臺(tái)保護(hù)的思路是什么呢？首先面臨的問題是如何發(fā)現(xiàn)的問題。其實(shí)，我們?cè)跀?shù)據(jù)挖掘中的“欺詐檢測(cè)”思路是比較簡(jiǎn)單的，實(shí)際上就是一個(gè)“概率論”，如果一大堆球中有10%紅球，90%白球，隨機(jī)拿10個(gè)，8個(gè)或以上是紅球的概率約為千萬分之一。

比如，一個(gè)人登錄QQ號(hào)碼進(jìn)行虛擬財(cái)產(chǎn)的購買和交易，一天之內(nèi)不應(yīng)該既出現(xiàn)在倫敦，又出現(xiàn)在法國，或者出現(xiàn)在北京，出現(xiàn)在湘潭，這顯然就是一個(gè)被盜用戶，這也是我們說的概率論。當(dāng)然，模型也非常多，不能僅僅靠一個(gè)簡(jiǎn)單地模型來進(jìn)行對(duì)抗。

我們?nèi)绾蜗拗颇?？一是通過驗(yàn)證碼進(jìn)行限制；雖然，這是我們目前找到遏制敵人攻擊的非常手段之一。二是異常通知；大家在QQ上可以看到臨時(shí)消息的彈出。三是層層攔截，如打擊惡意消費(fèi)等等。我們有很多的規(guī)則，每一條規(guī)則可能不能全部攔截你，但每一條規(guī)則都在不斷地提醒我的用戶。在層層攔截上，如登錄、查詢、消費(fèi)方面都會(huì)有很多防護(hù)手段，如驗(yàn)證碼、密保驗(yàn)證手段等等。

在這里向大家透露一個(gè)小消息，驗(yàn)證碼的對(duì)抗絕對(duì)不亞于在木馬層面的對(duì)抗，騰訊最早的驗(yàn)證碼，據(jù)我們發(fā)現(xiàn)敵人一般可以百分之百破掉，我們也根據(jù)敵人的思路采用了大量地驗(yàn)證碼，經(jīng)過長期的對(duì)抗現(xiàn)有的驗(yàn)證碼是我們發(fā)現(xiàn)的比較好的對(duì)抗手段。國外的研究比較深入，很多的驗(yàn)證碼只是一般的干擾線，基本上被識(shí)別率非常高。

那么，在對(duì)抗過程中分為幾大階段，第一階段是敵人的自動(dòng)化；曬號(hào)、通過工具盜號(hào)等。第二階段是半自動(dòng)化，不得不有人工介入，因?yàn)橛辛蓑?yàn)證碼手段，他必須輸入驗(yàn)證碼。第三階段是全手工階段，這個(gè)時(shí)候敵人對(duì)我們攻擊還會(huì)獲得很大的利益，我們就進(jìn)行用戶消息提醒，或者是異地登陸的限制。第四階段是集團(tuán)化分布式階段，也是我們面臨的終極階段。對(duì)方實(shí)行產(chǎn)業(yè)型跨越，在網(wǎng)上如電子商務(wù)一樣給大家分配任務(wù)、領(lǐng)取任務(wù)，按件給操作者付錢。

賺錢聯(lián)盟。如果你想加入會(huì)員只要登記注冊(cè)就可以了，這個(gè)軟件從黑客的中央服務(wù)器拉取號(hào)碼，可能是騰訊的，也有可能是盛大的、百度的、阿里巴巴的帳號(hào)，雇員自備電腦和寬帶，只要輸入驗(yàn)證碼，甚至這個(gè)會(huì)員都不知道是在發(fā)垃圾消息，或者盜號(hào)。軟件每登錄10個(gè)，會(huì)自動(dòng)強(qiáng)制重?fù)躀P，很多大學(xué)生在假期通過這些行為獲利，有很多人都不知道是盜號(hào)行為。這些點(diǎn)已經(jīng)是分布式的，它不和我們進(jìn)行集中對(duì)抗。

誠信投票。大家可以看到右側(cè)這邊有很多的任務(wù)可以自動(dòng)領(lǐng)取，他們甚至還有類似于傳銷的分派任務(wù)，如果你想找到下家還可以獲取提成。大家現(xiàn)在看到的很多選秀節(jié)目，評(píng)獎(jiǎng)機(jī)制很可能被黑客產(chǎn)業(yè)鏈利用。

騰訊安全中心的產(chǎn)品，敵人用分布對(duì)抗我們的集中，我們只有用分布對(duì)抗分布。首先，我們要加大密保手段，如密保卡、手機(jī)密保、密保令牌，用分布來對(duì)抗分布。除了現(xiàn)在的密保手段以外，我們更多的倡導(dǎo)“用戶自我保護(hù)”，對(duì)用戶進(jìn)行教育。比較客觀地說，在這一點(diǎn)上騰訊落后于業(yè)界，尤其是網(wǎng)游和網(wǎng)銀界做得更好，我們正在向同行學(xué)習(xí)。騰訊在非技術(shù)層面也做了一些探索，法務(wù)工作是路漫漫其修遠(yuǎn)兮，還在網(wǎng)絡(luò)上對(duì)用戶進(jìn)行教育，進(jìn)行傳導(dǎo)。

新形勢(shì)新安全是喜憂參半，在經(jīng)濟(jì)危機(jī)中，互聯(lián)網(wǎng)經(jīng)濟(jì)具有一定的“反周期”，很多人失業(yè)在家待業(yè)，通過互聯(lián)網(wǎng)加入了黑客產(chǎn)業(yè)鏈。2009年2月28日刑法第七修正案增加的兩個(gè)條款就是一個(gè)很有力打擊黑客的法律依據(jù)。

騰訊正積極行動(dòng)，狙擊惡意產(chǎn)業(yè)鏈，組織建立專業(yè)安全隊(duì)伍，增強(qiáng)產(chǎn)品安全功能，效果還是有一定的效果，還需要企業(yè)、政府機(jī)關(guān)、安全組織齊力對(duì)抗才能有效。騰訊現(xiàn)在的目標(biāo)是學(xué)習(xí)，學(xué)習(xí)都在業(yè)界前面的人，如網(wǎng)游、網(wǎng)銀企業(yè)，和他們一起合作對(duì)抗更多的敵人。

總結(jié)：形式上迫在眉睫，敵人集團(tuán)化、產(chǎn)業(yè)化、手工化，難以識(shí)別；應(yīng)對(duì)南征北戰(zhàn)，在前端、后臺(tái)、產(chǎn)品各個(gè)地方苦苦奮戰(zhàn)；前景：喜憂參半，憂的是獲利大代價(jià)小，經(jīng)濟(jì)危機(jī)，喜的是國家、業(yè)界一起行動(dòng)起來。我們呼吁互聯(lián)網(wǎng)業(yè)界企業(yè)共同攜手，打擊敵人，提供安全健康的網(wǎng)絡(luò)平臺(tái)。

在這里感謝騰訊公司領(lǐng)導(dǎo)和安全中心全體成員做的PP特，也感謝業(yè)界的朋友同仁和騰訊一起交流，還要感謝CNCERT/CC為我們提供的交流平臺(tái)，謝謝大家。

提問：在您講的過程中講到驗(yàn)證碼，在互聯(lián)網(wǎng)的很多地方可以看到驗(yàn)證碼的使用。QQ在手機(jī)登錄的話也可以用，現(xiàn)在很多用戶通過手機(jī)和我們聊天。如果在手機(jī)這么小的屏幕做驗(yàn)證碼的話，您有沒有想到工作效果如何？客戶的感知會(huì)有多大？會(huì)不會(huì)使客戶因?yàn)轵?yàn)證碼而離開QQ?因?yàn)?，我是中國移?dòng)的，在這個(gè)問題的感知上有一些區(qū)別。

楊勇：謝謝，這個(gè)問題問得非常專業(yè)，我們也遇到了這個(gè)問題。騰訊的手機(jī)QQ是要輸入驗(yàn)證碼的，驗(yàn)證碼對(duì)用戶確實(shí)有影響，這是毋庸置疑的，因?yàn)槭謾C(jī)鍵盤操作輸入字母本身就有困難。但是，為什么要使用驗(yàn)證碼呢？第一，騰訊認(rèn)為驗(yàn)證碼一定要有，但啟不啟用可以通過后臺(tái)控制，這同軍事上的原理很類似，一定要有這個(gè)戰(zhàn)略縱身，必須要有這個(gè)策略在這里；第二，對(duì)用戶肯定是有影響的，但在垃圾消息非常嚴(yán)重的時(shí)候，啟用這種策略對(duì)用戶的傷害其實(shí)是比較小的，不過也有很多的后臺(tái)邏輯減少對(duì)用戶的影響。

【編輯推薦】

1. 黑客專區(qū)- 51CTO.COM
2. 宅男黑客放出“死亡問答” 安全公司專殺迅速跟進(jìn)
3. 安全解讀之黑客VS 駭客