威客众测马坤：路由器之洞，运营商之痛_IDC国内资讯

中国IDC圈1月12日，2015年1月7-9日，第九届中国IDC产业年度大典（IDCC2014）（http://www.idcquan.com/Special/idcc2014/live/）在北京国家会议中心隆重举行。本次大会由工信部通信发展司、中国信息通信研究院（工信部电信研究院）、云计算发展与政策论坛、数据中心联盟指导，中国IDC产业年度大典组委会主办，中国IDC圈承办，作为国内IDC行业规模大、具权威性和影响力的盛会，此次大会再创辉煌，三天的会议参会人数超过8000人次。

从1月7日到9日连续三天，工信部相关领导、IDC企业、电信运营商、互联网企业、设备厂商等各行业精英齐聚一堂，以"大变革新生态"为主题煮酒论道。其中威客众测西北区总经理马坤应邀出席本次大会并发表了"路由器之洞，运营商之痛"的演讲。

威客众测西北区总经理马坤

以下为马坤演讲实录：

马坤：大家好，我先介绍一下威客众测，大家可能对威客众测比较陌生，另外这个PPT上面标了一个四叶草安全，我是它的创始人，威客众测是一个平台，整个西北区的业务由我负责，本人从事网络安全大概有12年之久，从2002年，当时见证过中美黑客大架，一系列国内外比较关注的安全事情。

先说一下近几年出现的安全问题，在2014年大家可能都听过像心脏出血，或者像这种SSIOV3的基于中间认证的结识，还有破壳这种漏洞。可能在座的不知道这种成因是什么，但是危害大家应该都知道，一个点可以让一个盘子全线崩溃。

2015年信息安全产业将是特别好的一个趋势，这也是我们行业现在在朝气蓬勃发展的原因，一个是国家政策扶持，另外信息安全事件非常多。说到黑客大家应该都很熟悉，可能入门的门槛非常低，再加上它引发的后果和灾难非常大，所以大家对黑客都是没有好感，但是在2002、2003一直到2006年黑客是个褒义词，实现很多人没有实现的东西，在现在问题体现到很多大家熟悉的网站被攻击数据被窃取，游戏帐号被盗，或者我们隐私被泄露。像韩国一个大学生没有什么基础，就20岁攻击了多国网站，就是利用网上现有的漏洞去学习、模仿。但是后果也很严重，他没有用这些东西做正向的事，所以被抓。

另外我们家用的智能电表包括智能家居也在不断的出现问题，这些是属于硬件层面，也由协议层、应用层所引发的。包括我们最近一直在泄露的邮箱数据，现在据不完全统计流传到市面的在国内的，就是我们这个行业把它叫的设工库，大概有七十多亿针对全球的库，可能我们在座的各位邮箱、手机、身份证，如果黑客知道其中一项信息，他可能就会关联出来很多你相关的信息，就可以查到家里面非常详细的情况，比如家里面有没有老人生病？你自己喜欢吃什么样的东西。在分享干货之前，我说我分享的是干货，因为我自己是技术出身，我必须隆重的介绍一下我们威客众测这个平台。

北京锦龙信安科技有限公司，是2014年成立的，然后也是由我们某一个IDC行业所投资成立的一家公司，在旗下就是现在成立了一个威客众测的平台，主要就是把互联网上一些安全爱好者会聚到一起，然后让他们去做正向事情的一个公益性平台。然后把厂家和白帽子，白帽子是我们这个圈子里头对做正向黑客事情人的尊称。公司现在有40多个人，然后设立了山东和西安两个办事处，西安办事处是我来牵头的，所以也是处在一个发展期，但是我们在2014年做了很多事情，可能大家不太熟悉威客众测，但是都用过滴滴打车等等其他的，在大家看不见的地方这些东西在陆陆续续出来，也是威客众测牵头，包括其中有两个项目是我自己带头在做的，我们查出来非常严重的问题，也帮助他们解决这方面的问题，所以也算是在背后做一些正向的事情。

2014年8月1号威客众测发布了以后，与国内著名的安全组织非盈利机构的安全组织，这是一个国际知名组织叫OWSP，成立了一个合作。在2014年9月份，与安全联盟达成了一个深度合作伙伴关系，安全联盟是国内一家著名的安全公司，也是针对各种各样的站长碰到的一些问题他们去做一些公益的事情。在2014年10月份到11月份中间威客众测与爱加密、通付盾、摩贝科技、聚合数据、四叶草安全等等众多安全公司83达成产品和引擎上的合作。

公司的历程，在一年发展的其实比较迅速，我们在半年之内，2014年8月22号在鸟巢办了一个黑客安全大会。2014年9月份360中国互联网安全大会我们也是承办商，2014年11月24日主持人陈新龙先生也是成为了中国网络安全大会的协办单位。威客众测参加中国互联网安全大会，2014年10月8日，威客众测参加全球互联网大会，2014年9月15日威客众测参加OWASP网络攻防大赛，2014年10月24威客众测作为第二届中国网络安全大会的协办单位，2014年10月27威客众测作为聚合数据开发者伙伴支持计划成员，2014年10月27威客众测作为全国知名XCTF全国网络安全技术对抗联赛赞助商与服务商。公司半年发展的过程是非常快的。

另外这个平台拿四个字来概括就是多快好省，我们多就是白帽子多，安全检测速度快，在座某一个专家或者朋友不管在行业做得好与坏都有自己的网站或者产品，我们是可以提供厂家的免费入驻帮厂家检测，我们用互联网的思维。好就是因为白帽子多集众家所长。省当然就是省钱，因为现在来说经济都不太景气，所以大家都希望用很少的钱来干很多的事，而且我们去做检测的时候，检测不出来漏洞是不收费的。传统的服务模式，安全服务是我们所从事的行业，都是通过人天或者项目制度来走的，我自己当时接了一个安全服务的项目，一段代码审计，是一个E级用户量的一个应用，BS架构的一个应用。当时我们去接服务的时候，按行数来算，一行一毛钱，还有一家给我们砸价，是一行五分钱，当然他的行数比较多。所以现在互联网思维也在把搞安全人的地位逐渐提升。

另外一个网站，比如说大家所熟知的大众点评、新浪、搜狐，最早一个安全检测几万块钱，现在随着服务器数量增多，项目越来越贵，很多网站尤其是个人办的网站没法去承受传统服务行业的资金支出，虽然对我们来说我们干的事情非常值这个数量，但是对客户来说需要更省钱的办法，我们这个模式设立了资金池，这个资金池就是一个厂家打算入驻的时候可以放一些资金进来，我们查不出来漏洞的时候会把资金退回去。这个更有确保性，而且不像传统的动辄几十万出去了不一定有效果。

另外像传统厂家，他们去做服务的时候都会固定的几个人或者一个团队，我们这边做会带动十万个白帽子，活跃度基本在几千，我们可以调动非常多的人来检测。说到这块儿大家想我是一个厂家我把这个抛给安全黑客或者安全厂家检测做等于是暴露在外头了，所以我们这块儿有一种模式，把这种隐私跟客户包括跟白帽子之间达成一种保密协议，我们是点对点的，我们有战略合作平台入驻厂家，入驻白帽子，接保密项目，大程度的保证了厂家的关心的隐私问题。现在我们非常完美的做出来的项目15个，入驻厂家70个，我们白帽子十万人有很多是不活跃的，活跃的基本保持在一万左右，累积资金池220万左右，站队这个数量一些爱好者可能互相组成战队一起来接项目，战队的数量有500个。半年期间我们做到国内大的信息安全平台，跟微软、新浪、搜狐、网易、小米、京东、去哪儿、爱奇艺、58同城、滴滴打车、乐视、华为等等大家熟悉的都有合作。厂家和安全爱好者入驻都是免费的，入驻过程中会签署一个认证，大家入驻进来的时候提交真实的信息，避免我们考证。

这是外人所看到的，没有认证或者没有注册所看到的信息，他是看得不完整。所以保证厂家的隐私，或者无关紧要的人关注到我们安全的问题。公司基本就这样，介绍完了，我现在说一些干货。今天讲这个议题是因为跟我们IDC息息相关的，做网站的人都熟悉，很多人想到安全就说我的网站被攻击了，但是真正的大老虎，就是我今天说的这个议题，因为被黑客攻击还是有防范的办法。

他提的这个高度有点高，你的交换机安全吗？据运营商统计基本一半以上的交换机都有过被攻击的，但是没有人知道，为什么？说到路由交换上为什么会出现这样的问题？固件升级不及时，路由器的固件跟电脑上不一样或者跟手机上不一样，它没有PC上面的补丁和自动升级。你只能去替换固件，而且这种固件只有经销商或者合作伙伴才能去有权利拿到固件。而且这种路由交换设备的后期服务费用非常贵，也没有人愿意在这上面花钱。最重要路由交换设备不能关闭，比如说我们有一个机房，有一个客户的服务器出现问题了，我把它下架或者关闭，是只会影响到一个点，但是交换机一旦下架那可能影响的点特别多。所以固件升级的不及时和交换机、路由器所处的地位导致了一部分后门能在里面长驻。

现在路由交换弱口令很多，甚至早期的有空口令。包括黑客常用的ssh、A.telnet的弱口令的扫描，还有SMP的可写的通信字符串，这种方式都是可以拿下服务器权限的。路由交换设备本身就是服务器，基本上现有的路由交换设备都是Unix的架构，它在里面工作，大家只是没有去深挖。它跟服务器的道理是相通的。现在说几个事件，这几个事件大家应该都听过，首先是斯诺登爆料的"棱镜计划".我先用几个例子阐述一下这是什么样的计划。在前段时间有一个顶级的安全新闻事件，并不是发生在斯诺登身上，而是在华为上面体现的，有专家研究出来，他们发现华为交换机有时候经常会远程执行控制中心发回一些信息，后来这个也是时有时无，斯诺登爆料后把这个事件阐述清楚了，路由里面的CPU里面的（Bels）被人写入东西，Bels通过internet，交换机往外连的时候它会抓住一切机会连接NSA，这个事情大家都爆出来，但是没有人深挖。说到路由和交换，常规的路由家用很多，D-link，早期的DIR100有人发现的修改符串可以直接进行配置和管理的漏洞，这个也是被我们国内某些爱好者爆出来的，然后国外进行了报导，国内封杀。后来D-Plink也不甘示弱，他说中国爆我们的东西我们也爆你们的东西，把国内的厂家腾达爆出来一个问题，腾达是在UDP协议的7329端口上，基于UDP协议开放的7329端口，只要入侵者连接端口，就会通过一些方式去执行任意的命令，或者任意的他想执行的行为就可以拿下腾达的权限了，所以爆料越来越多。基于TCP32764的爆料更是影响到了国际上的路由器和交换机，连通互联网的时候端口就开放了，只要用户去通过端口执行一些信息的时候，他就可以被入侵者拿到权限，作为网络中的一个跳板。

我这儿说的干货在这两页上，我们做普通的防火墙就可以，还有最基本的防护策略，另外关闭不用的服务，最重要的配置一个日志服务器，这个被很多人忽略了。有的人说我已经被攻击了而且经常丢包，我该怎么办？有人说防护，这都是没法防，路由器的安全说白了进去以后没法下架除非换，所以我们只能做一些补救的措施，检查日志，定位被攻击方式，另外我们自己研发了基于路由交换的，在国内没有的一套工具，配套的服务作用，思科都有MD5校验值，出厂的时候随着固件一块儿出来，黑客一旦换固件MD5直接会换了。我们这个工具可以半自动化的查找，去校对，可以把人工核查的时间缩短到原先的1%.大家到时候联系威客众测就可以。如果谁担心自己机房出现这样的问题，其实不用担心出现问题，百分之八九十都存在这样的问题，我们之前做过一些调查，所以有需要都可以联系威客众测。检测后门，抓包。刚刚分享的这两页就是干货，没有什么太难的东西，只要大家有信心可以把很多攻击防护掉。