20億數(shù)據(jù)被對手盜用—加強企業(yè)自身數(shù)據(jù)保護能力

信息互聯(lián)時代，不可否認的是，企業(yè)的發(fā)展越來越多的依托信息技術的演進，大多數(shù)企業(yè)利用信息化手段提高產(chǎn)出效率，提升產(chǎn)品質量，可還有些企業(yè)卻想通過信息技術竊取別人的商業(yè)數(shù)據(jù)，妄圖利用這種“省時省力”的方法打倒競爭對手，贏得商業(yè)戰(zhàn)役。近期爆出的意見數(shù)據(jù)泄露事件就是這樣一個活生生的例子。

事件回顧

7月12日，全國最大的實時公交軟件“酷米客”被爆出大量后臺數(shù)據(jù)遭泄露，竊取者竟是同行業(yè)競爭對手“車來了”。本次泄漏事件涉及“酷米客”大量核心商業(yè)數(shù)據(jù)，間接造成近20億損失。法網(wǎng)恢恢，7月11日，車來了CEO被南山警方以非法獲取計算機系統(tǒng)數(shù)據(jù)罪拘留。在進行分析之前，小編先做了一下事件梳理：

2014年 酷米客發(fā)現(xiàn)一個ip集群，盜取服務器上的數(shù)據(jù)

2015年10月 酷米客發(fā)現(xiàn)在北京的數(shù)據(jù)被大肆盜取

2016年01月 谷米科技公司向南山分局報案

2016年06月 車來了CEO被南山分局拘留

2016年07月 嫌疑人被批準逮捕，案件處于偵查階段

場景推演

安全事件爆出后，我們在進行技術分析之前，需要先搞清楚數(shù)據(jù)泄露的原因，才能夠提出有針對性的安全加固方案，而找出泄露根本原因必須嘗試還原場景。

我們看到，整個事件的核心目標是數(shù)據(jù)。在還原場景前，我們必須先搞清楚哪種數(shù)據(jù)被泄露。對于公交手機軟件來說，兩種數(shù)據(jù)至關重要：一種是用戶個人信息，另外一種是公交車實時返回的GPS數(shù)據(jù)。GPS數(shù)據(jù)決定公交手機軟件對公交車位置的播報是否準確，是“酷米客”核心業(yè)務的基礎和支柱。我們通過被爆出遭泄露的三個關鍵數(shù)據(jù)進行判斷：

1、酷米客”每天收集的數(shù)據(jù)大約15億條；

2、酷米客注冊用戶大概有400萬；

3、從2014年開始，就有一個IP集群每天登錄“酷米客”服務器上百萬次，偷取數(shù)據(jù)。

如果攻擊者的目標是用戶信息，則不需要每天登陸服務器且取多次，如此高的訪問頻率，只有一種可能，攻擊者竊取的是GPS實時返回的公交車定位數(shù)據(jù)。

我們結合公交車軟件業(yè)務運作方式，抽象出 “酷米客”的數(shù)據(jù)傳輸架構，軟件的工作運行流程如下圖所示：

1、酷米客在公交車上安裝了車載GPS，車載GPS每10秒向GPS信號接收口發(fā)送GPS信號。GPS信號報告公交車當前位置。

2、GPS信號接收集群處理GPS信號，整合出公交車所在經(jīng)緯度的數(shù)值信息,并把相關信息存儲到后臺的數(shù)據(jù)庫服務器中。

3、為了保證安全數(shù)據(jù)庫集群把加密后的數(shù)據(jù)庫數(shù)據(jù)傳輸?shù)街С址盏臄?shù)據(jù)庫上準備為用戶查詢提供數(shù)據(jù)。

4、用戶通過手機上的app軟件訪問后臺服務器的支持數(shù)據(jù)庫查詢出自己所關心的數(shù)據(jù)，數(shù)據(jù)在app上被解密還原成明文展現(xiàn)給客戶。

此次事件中黑客盜取了存放在支持服務數(shù)據(jù)庫中的加密數(shù)據(jù)。根據(jù)“酷米客”員工的說法：攻擊者是采用模擬用戶登陸訪問，從實時公交app獲取公交信息。攻擊者制作的模擬訪問軟件能同時模擬幾百萬甚至更多的用戶訪問登陸軟件，這些訪問把結果數(shù)據(jù)綜合起來就能獲得公交實時數(shù)據(jù)，再次處理后，通過APP發(fā)布信息。這樣一套訪問-獲取-發(fā)布流程，最終數(shù)據(jù)輸出，只比酷米客的數(shù)據(jù)晚幾毫秒。由此分析得出：整個事件的關鍵是如何在數(shù)據(jù)流上對非正常用戶的流量進行攔截。作為一個互聯(lián)網(wǎng)公司，相信酷米客的信息安全意識不會很弱，顯然，目前現(xiàn)有的數(shù)據(jù)安全防護不足以抵御此類攻擊。

解決方案

通過對攻擊特點進行分析，我們發(fā)現(xiàn)，此類攻擊防御的關鍵點在于：如何從數(shù)據(jù)特征上分析出是人工登陸還是軟件模擬登陸，識別登錄類型成為解決問題的關鍵點。我們可以從兩個層面進行識別：

在網(wǎng)絡層面，通過識別ip的特征行為來判斷是否是非用戶操作。

基于網(wǎng)絡層面可以通過后臺服務器流量統(tǒng)計和日志分析來識別是否是非用戶操作。競爭對手盜取公交信息實時數(shù)據(jù)，必然是頻繁、大并發(fā)量、規(guī)律的獲取數(shù)據(jù)。通過以上特點可以制定出具針對性的策略：

1、在單位時間內對每個ip可訪問后臺服務器的次數(shù)做限定、每次訪問減1，直至減到0為止，如果該IP繼續(xù)訪問后臺服務器，可返回驗證圖片讓用戶填寫驗證碼，以保證訪問者是真實用戶而非惡意軟件。

2、對單一ip的同一時刻大量的訪問進行減速處理。通過鎖的方式，延長單個ip請求的所有數(shù)據(jù)回復速度，使大并發(fā)短期內拿不到所有數(shù)據(jù)。讓實時數(shù)據(jù)過期無效。

3、機器發(fā)起訪問的頻率比較固定，不像人的操作，間隔時間無規(guī)則，我們可以給每個IP地址建立一個時間窗口，記錄IP地址最近12次訪問時間，每記錄一次滑動一次窗口，比較最近訪問時間和當前時間，如果間隔時間很長判斷是用戶行為，清除時間窗口；如果間隔不長，返回驗證圖片讓用戶填寫驗證碼。這種方式較為常見，可以在一定程度上減緩酷米客遭到的入侵，但并不是一個完善的解決方案。

在數(shù)據(jù)層面，通過對請求數(shù)據(jù)的特征和規(guī)律判斷是否是非用戶操作。

通過網(wǎng)絡層能做到的只能是通過對統(tǒng)計數(shù)據(jù)的分析，事后區(qū)分操作者是用戶還是軟件，很難及時發(fā)現(xiàn)數(shù)據(jù)被盜取。相比之下，從數(shù)據(jù)層面的識別方法更準確、快捷。

在后臺應用服務器和支持服務的數(shù)據(jù)庫之間部署數(shù)據(jù)庫防火墻，通過數(shù)據(jù)庫防火墻的應用關聯(lián)功能可以把對后臺服務器提出的請求語句、請求ip、用戶信息等與最終向數(shù)據(jù)庫中提取的sql語句做關聯(lián)。比如：一般情況下杭州的IP應該查詢杭州的公交數(shù)據(jù)信息，如果杭州的IP查詢北京的公交信息，這很可能是模擬軟件偽裝成用戶，這樣在返回公交信息數(shù)據(jù)庫前，數(shù)據(jù)庫防火墻會阻斷數(shù)據(jù)庫的回包，向后臺服務器發(fā)送信息，讓后臺服務器向可以鏈路發(fā)送身份驗證圖片，一旦身份驗證圖片通過則發(fā)送被阻斷的數(shù)據(jù)庫回包。如果身份驗證超時或不通過，則把該ip納入數(shù)據(jù)庫防火墻黑名單，以后、、凡是杭州ip請求北京數(shù)據(jù)的行為直接阻斷，不發(fā)送到數(shù)據(jù)庫端。這樣既及時的阻止了數(shù)據(jù)被盜取，又減小了數(shù)據(jù)庫的查詢壓力。

總結

以上兩種識別阻斷方案針對本次攻擊事件提出，雖然可以解決眼前的問題，但并非是最佳的長期解決方案。下次黑客從哪來？用什么方式？采用什么技術？攻擊的流量有什么特征？面對不斷來襲的未知威脅，未雨綢繆，加強核心數(shù)據(jù)的感知風險能力，才能形成主動的數(shù)據(jù)安全防護能力。

數(shù)據(jù)安全的感知風險能力依托于，從應用請求和數(shù)據(jù)庫sql語句之間的固定映射關系以及請求語句和sql語句的特殊特征?？梢酝ㄟ^學習的方式自動完成數(shù)據(jù)庫和固定應用之間的可信語句模型搭建，只允許符合語法模型的應用請求和sql語句從數(shù)據(jù)庫中獲取信息。一旦發(fā)現(xiàn)有不符合原語法模型的語句，表示數(shù)據(jù)庫可能遭到非法訪問，對語句進行警告并控制，并記錄下該行為的來源（IP地址和使用用戶名），作為審查的線索，以達到在第一時間發(fā)現(xiàn)異常行為，感知風險，進行響應。

生成海報

免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產(chǎn)權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。