京东安全第一人李学庆讲述:如何保卫 618 | 深度
如果你是一位京东的新员工,那么你要小心了。
当你打开自家企业的BBS,很可能看到一个帖子,提示点击进去就可以领取京东内部福利。
当你的工作邮箱收到一封邮件,提示你密码已经过期,需要你使用旧密码重置。
没错,你遇到了骗子。你登陆了虚假的“钓鱼网站”,把信息泄露给骗子。然而剧情在此刻华丽反转,这个“骗子”居然是京东自己的安全部门。如果你不幸上当,等待你的是被关进“小黑屋”,接受“安全再教育”。
如此“钓鱼执法”血腥得让人欲哭无泪。正所谓“一入京东深似海,从此恶习全能改。”这些“钓鱼执法”的发明人,就是京东安全第一人,京东安全应急响应中心 JSRC的老大李学庆。
【京东应急安全响应中心(JSRC)负责人 李学庆】
黑客的衙门:JSRC
和自己的员工“逗闷子”当然不是 JSRC 的全部任务。作为一个安全应急响应中心,和腾讯的 TSRC、百度的 BSRC、阿里巴巴的 ASRC 一样,京东的JSRC 有一个主要任务——堵住一切有可能产生破坏的漏洞。
形象地来说,京东就像一艘在深海中航行的邮轮,船板掉漆、船舱锈蚀每时每刻都在发生,JSRC就像在巨轮上下巡回的工程队,不断对它进行修补,保证这个赛博世界的百货商店从里到外的光洁坚固。
如果你是一名黑客,确切地说是一名白帽黑客,你研究出的任何可以攻击京东的漏洞,都可以通过 JSRC提交给京东。而你能获得的,将是颇为实惠的奖励,例如价值1000元的京东购物卡神马的。
严重漏洞1天,高危漏洞3天,中危漏洞7天,低危漏洞14天。这是我们对于不同漏洞的修复时间。
李学庆告诉,根据白帽子提交的漏洞等级不同,他们会得到相应的奖励,而且在重大促销或者节假日前夕,为了充分保障系统的正常运转,还会有翻倍奖励。“例如今年6.18 之前,我们搞了一个双倍积分的活动,白帽子提交高危漏洞,最高可以得到折合12000元价值的奖励。”
对于同样是白帽黑客出身的李学庆来说,JSRC更像是京东和黑客江湖沟通的一间茶室。他带领30多位关注京东的黑客组成了核心白帽群,不仅经常沟通他们发现的漏洞详情,还定期邀请业内大牛进行技术讲座。
以上这些玩法,是他经历了血的教训才习得的。某种程度上说,“黑客江湖”是大公司的“朝野”不得忽视的力量,因为行侠仗义的“侠客”们往往能搅动巨大的且不容忽视的波澜。
早在JSRC建立之前的2011年。刚刚加盟京东不久的李学庆就遭遇了一次危机。那就是当时业界的信息泄露事件,很多公司都遭受了这次事件带来的余震。彼时由于京东没有JSRC 这样专门处理漏洞的部门,白帽子发现漏洞之后并不能直接提交给京东,导致双方交流不畅,最终并不愉快。
这次冲突对于京东和黑客江湖来说都很伤元气。这也让李学庆坚定了要推动成立 JSRC 这个 “总理各路黑客衙门”。
JSRC中的每个成员对应京东的一条业务线。一旦确认漏洞,就会紧盯着相关部门“缝渔网”。
因为安全损失是没有办法估量的。
李学庆说,对于高危漏洞,如果出现业务和安全打架的问题,要首先处理安全问题,没有商量的余地。“这流程是经过高管讨论之后,形成的刚性制度。”
【京东内部漏洞响应系统流程】
京东“怕”什么?
从 JSRC成立到今天,大致有五年时间。今天来看,京东的业务线安全性已经具备了标准的防御力,真正危险的漏洞即使偶尔被找到,也会在当天被修复。但是作为电商,京东实际上面临着一些特别的威胁:
诈骗
用“树大招风”来形容这个一线电商比较贴切。说来无奈,骗子使用的手段并不高明,无非是伪装成京东客服给用户打电话行骗,或者伪造一个类似京东的钓鱼网站骗取用户钱财。
当然,做这些诈骗动作的前提是,骗子要掌握用户的登陆密码和个人信息。李学庆告诉,根据他掌握的资料,京东最近几年并没有发生成规模的用户信息泄露。但是京东仍然感受到压力,因为其他平台不断出现用户信息泄露事件。通过“撞库”,很多黑产还是可以拿到一些京东用户的登陆密码。
如果一个 IP 频繁登陆不同的账号,并且失败的次数还很多,那这就是很明显的撞库行为。
针对这部分用户,京东基本及时的要求用户重置密码。另外,
如果一个用户登录京东之后,没有选择商品的动作,而是马上使用余额或者京券、东券,这也是一个非常可疑的动作。”
这些就是 JSRC 对付黑产的一些招式。
数据使用安全
用户的数据是京东的“首要机密”,所以在 web 传输的过程中,凡是敏感的数据都会被打码,也就是“***”的状态。当然,仍然有很多情况下,服务需要请求“姓名、电话、邮箱”等完整的信息,这个时候,就要对请求的频率做限制。
当然,一个有效的制度一定要对内部人员也有完整的权利限制。
市场部做活动,很多时候会提取一些用户的数据出来做抽奖。这个时候,我们会给这些信息附加一些“key值”,有了这个动作,就可以记录这些信息的使用时间、使用量级,还有负责人。而且这个key带有有效期,例如一个月,过期之后就不能读出用户信息了。这样,哪怕是出现了信息泄露,也可以追踪溯源,查到责任人。
数据库安全
实际上,用户的数据全部存储在京东服务器的数据库中,这些数据一旦被窃取,将会是灾难。然而,在业内对于数据库的安全有一些比较成熟的操作方法。例如所有的数据都经过了高度加密,即使通过了层层防御拿到了这些数据,也是没有办法破译的。
前一段时间被媒体关注的领英用户数据库泄露,就是因为他们没有在数据中“加盐”(做加密混淆),才有了扎克伯格的 Twitter 账号惨遭破解的后话。
【2014年“出品”的某京东秒杀器】
羊毛党
前几年秒杀器横行,专门盯着京东做促销的秒杀活动。那时候我们会专门混入这些“秒杀京东”的群,甚至会花钱买来他们兜售的秒杀器来研究,封堵恶意攻击。
近几年反秒杀的技术臻于成熟,这样的威胁减少了。李学庆告诉,JSRC 还会有针对性地获取一些威胁情报,所以可以在敌人进攻之前筑好“防御工事”。
“对于我们的技术研发体系,我还是比较有自信。”李学庆说,“因为每次大促,我们都会做很多准备,包括业务抗压能力,双倍积分鼓励白帽子找漏洞,收集威胁情报。”
“所以这次618,我们还是比较淡定。”
618
淡定并不表示 JSRC 的童鞋们可以北窗高卧。李学庆说:
这次“618电商节”之前,我们把京东核心业务域名都进行了一次大排查,针对程序员经常范的错误以及严重漏洞逐一排查一遍。我们的一个小兄弟在手工检测一个新业务时发现了一个注入点,有可能窃取数据。经过和业务沟通,最后发现这个项目存在六七处代码问题,那天是周五,我们一起加班到了晚上,解决了这个问题。
在 618之前一次针对白帽子的活动中,虽然有双倍积分的诱人奖励,但是这么多高水平的白帽子只找到两三个有一定威胁的注入或者越权漏洞,这一点让他觉得京东的安全性还是有保障的。
尽管总体上安全无虞,李学庆的日常活动仍然是带领兄弟们去协调各部门修补无数的小漏洞。
例如前几天我们在web端发现了一个跨站漏洞,也协调开发部门修复了问题,然而我们却没有意识到,这个问题在手机 App端同样存在。直到手机端同样爆出了问题,我们才去修复。
当然,这次618,剁手党们并没有意识到京东的安全性存在问题。JSRC的所有任务,就是用7*24小时的待命让用户感觉不到自己的存在。李学庆觉得,这是一个安全人员的专业精神所在。
【2014年618,刘强东客串快递员送货】
来自黑客的“魔鬼训练”
让所有的京东同事都学会“安全地工作”,是李学庆的职责。如文章开头所言,一言不合就“钓鱼执法”,是他对同事进行教育的方法之一。
此外,他还曾经给几千名同事做过安全讲座。
2011年的时候,我在台上教所有的员工密码设置的技巧,告诉他们怎样的密码才算复杂,才算有强度。
例如,程序猿可以用老婆名字的缩写(前提是要有老婆)前后加上大括号,再附加520之类的表白,就可以构成一个强密码。另外,你还可以写诗,例如锄禾日当午,里面充斥着大小写混搭。
当时人们听得热血沸腾,纷纷回去改密码。后来几天我竟然解到了几个电话:“李老师,我忘记了自己设置的密码,帮帮我。。。”
然而,还有少数人死活不改内网登陆密码,即使李学庆屡次教导仍然“执迷不悟”。
他不改,只好我帮他改。在排查的时候,我用常用的密码字典去撞库,发现了一些弱密码,我直接从远程把他的桌面换掉,显示:你的电脑被黑了。
被“黑”的同事打开电脑,被吓得着实不轻。。。”
这就是来自李学庆这个黑客的“魔鬼训练”。他目的虽然不是让人人都是白帽子,但是至少人人都要有安全意识。也许这种“黑”同事的恶作剧,正是他心目中最好的教育方法。
尾巴
其实,2011年那次“信息泄露”风波,对于 JSRC 的建立显然起到了推动作用。提起那次事件,李学庆仍然感慨万千。
我相信所有的白帽子,他们的初衷都是为了帮助京东。如今因为 JSRC 的存在,京东和白帽子“刀剑相向”的局面应该不会再发生了。
他的逻辑很简单:因为朋友之间处理问题,要用朋友的方法。
JSRC 成立四年,团结了五十多个核心白帽子。他们拱卫着京东这个代码海洋中的“巨轮”。
安全远不是儿戏,而是真枪实弹的对抗。和其他电商一样,京东同样面临诸多战役。对于李学庆和 JSRC 来说,他们的使命正在于此。
推荐系统
电脑公司Ghost Win8.1 x32 精选纯净版2022年7月(免激活) ISO镜像高速下载
语言:中文版系统大小:2.98GB系统类型:Win8电脑公司Ghost Win8.1x32位纯净版V2022年7月版本集成了自2022流行的各种硬件驱动,首次进入系统即全部硬件已安装完毕。电脑公司Ghost Win8.1x32位纯净版具有更安全、更稳定、更人性化等特点。集成最常用的装机软件,精心挑选的系统维护工具,加上绿茶独有
微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载
语言:中文版系统大小:5.13GB系统类型:Win11微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Win11 64位 Office办公版(免费)优化 1、保留 Edge浏览器。 2、隐藏“操作中心”托盘图标。 3、保留常用组件(微软商店,计算器,图片查看器等)。 5、关闭天气资讯。
Win11 21H2 官方正式版下载_Win11 21H2最新系统免激活下载
语言:中文版系统大小:4.75GB系统类型:Win11Ghost Win11 21H2是微软在系统方面技术积累雄厚深耕多年,Ghost Win11 21H2系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Ghost Win11 21H2是微软最新发布的KB5019961补丁升级而来的最新版的21H2系统,以Windows 11 21H2 22000 1219 专业版为基础进行优化,保持原汁原味,系统流畅稳定,保留常用组件
windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载
语言:中文版系统大小:5.31GB系统类型:Win11windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载,微软win11发布快大半年了,其中做了很多次补丁和修复一些BUG,比之前的版本有一些功能上的调整,目前已经升级到最新版本的镜像系统,并且优化了自动激活,永久使用。windows11中文版镜像国内镜像下载地址微软windows11正式版镜像 介绍:1、对函数算法进行了一定程度的简化和优化
微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载
语言:中文版系统大小:5.31GB系统类型:Win11微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载,微软2022年正式推出了win11系统,很多人迫不及待的要体验,本站提供了最新版的微软Windows11正式版系统下载,微软windows11正式版镜像 是一款功能超级强大的装机系统,是微软方面全新推出的装机系统,这款系统可以通过pe直接的完成安装,对此系统感兴趣,想要使用的用户们就快来下载
微软windows11系统下载 微软原版 Ghost win11 X64 正式版ISO镜像文件
语言:中文版系统大小:0MB系统类型:Win11微软Ghost win11 正式版镜像文件是一款由微软方面推出的优秀全新装机系统,这款系统的新功能非常多,用户们能够在这里体验到最富有人性化的设计等,且全新的柔软界面,看起来非常的舒服~微软Ghost win11 正式版镜像文件介绍:1、与各种硬件设备兼容。 更好地完成用户安装并有效地使用。2、稳定使用蓝屏,系统不再兼容,更能享受无缝的系统服务。3、为
雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载
语言:中文版系统大小:4.75GB系统类型:雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业的雨林木风品牌,其系统口碑得到许多人认可,积累了广大的用户群体,雨林木风是一款稳定流畅的系统,一直以来都以用户为中心,是由雨林木风团队推出的Windows11国内镜像版,基于国内用户的习惯,做了系统性能的优化,采用了新的系统
雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO
语言:中文版系统大小:5.91GB系统类型:Win7雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO在系统方面技术积累雄厚深耕多年,加固了系统安全策略,雨林木风win7旗舰版系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。win7 32位旗舰装机版 v2019 05能够帮助用户们进行系统的一键安装、快速装机等,系统中的内容全面,能够为广大用户
相关文章
- 小米动作频频,真的能颠覆智能家居市场吗?
- 关于Windows上地址空间布局随机化防御机制的分析(下)
- 用ASP.NET加密Cookie数据(图)
- 宇宙射线会导致路由器 bug,思科你认真的吗?
- Win系统自带的网络诊断工具怎么用?
- 紧急重启功能
- 世界顶级科技公司参与组建意在遏制勒索软件的工作组
- 如何生成系统诊断报告
- 路由器的各种常见设置
- 针对企业新的网络攻击策略 需要先进的网络防御
- 了解GDPR,CCPA,LGPD和HIPAA的数据加密要求
- 在Win7系统中,如何删除系统还原点?
- Win7网络错误711无法加载远程访问怎么办?
- 区块链概念再次火爆 斐讯出击众望所归
- 突发 | 阿里巴巴员工抢月饼被开除?124份月饼引发的血案!
- 少年黑客 Adrian:我相信指尖有改变世界的力量
- 惠普要哭,这个LEP漏洞影响大部分用户电脑
- 5步教你远离物联网安全的威胁
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 3电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 4深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 5雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
常用系统
- 1Win11 Build 22000.348正式版下载_Win11 22000.348 (KB5007262)ISO镜像下载
- 2微星笔记本装win11家庭版 v2023下载
- 3雨林木风 Ghost XP SP3 极速装机版 v2012.02 下载
- 4Windows10 2022新版系统下载_Win10免激活正式版下载V2022.07
- 5雨林木风Ghost Win10 专业版X64 v2023.02免费最新下载
- 6雨林木风 GHOST WIN10 X64 装机旗舰版 V2018.07 下载
- 7雨林木风Ghost Win7 sp1 32位 旗舰装机版 v2021.02系统最新版下载
- 8GHOST WIN8 X86 装机专业版 V2017.05(32位) 下载
- 9Win11纯净中文版下载_Windows11中文纯净版22621下载
- 10萝卜家园 GHOST XP SP3 安全稳定版 V2018.05 下载