文|左惟扬
作者很懒,什么也没留下。
今天不少P2P平台的服务器遭遇黑客攻击。作为一个IT男,给各位金融大咖普及点知识吧。目前P2P平台遇到的最常见的黑客行为有两种,一种是数据泄露,一种是黑客攻击。
先说数据泄露,根据个人经验,数据泄露只有两种原因,第一种是程序代码写得有问题,譬如最常见的SQL注入攻击,对于平台的老板或者CEO来说,其实不用关心具体是什么漏洞,只要找到个靠谱的技术负责人就行了,一般经验丰富的技术负责人,在上线前都会用这些工具做必要的检测。如果你家没做,那只能说明你家的CTO还不合格。
数据泄露的第二个常见原因,就是人,譬如说所谓“离职员工”或者“被女票拒绝的程序猿”。很多公司不重视IT方面的离职员工,其实这个是很不对的,作为互联网企业,特别是规模不大的企业,IT人员往往都会直接接触到公司的所有真实运营数据,所以,我个人的经验,对IT团队需要有严格的保密措施。不只是签保密协议,包括各种文档、资料、代码的归档管理,特别是各种权限的控制管理,譬如服务器的访问权限、数据库的访问权限等等。
我以前带团队的时候,对所有这些权限的分配都有详细的文档记录,随时更新。不允许低于某个级别的人具有高级别的权限。另外,我自己作为技术的负责人,权限也不是最高的。这些权限分配的记录,会保留一份纸质档,由董事会委托专人保管。PS:实际上就是存在财务的保险柜里。任何人员离职,如果涉及权限的,都必须及时由上一级申请修改密码或者取消账户。当然,还有一种情况,是未正式离职的员工,跟公司有矛盾,离职前黑公司一把,对于这种情况,第一是团队负责人的问题了,随时要掌握每个员工的情绪动态。第二就是前面有朋友提到的分而治之。我们采用的办法是,开发人员不管生产环境的程序部署,由专门的运维人员负责。而运维人员的服务器是做了限制的,只有固定的服务器才能做远程部署,在运维部有24小时的监控对着这些可以远程操作的服务器,其实主要还是靠人,负责人。
我们当时写了个脚本,每次正式上线前,最核心的数据库连接密码,都不是我们来设定,而是让老板来随机设置一个。所以,理论上除了老板,谁都不会知道这次的数据库密码。另外,程序里一定要有完善的日志记录,谁干了什么一目了然,日志系统跟主程序系统是分离的,当然,你还可以加上指纹验证之类的加密措施。其实,我接触的绝大部分程序猿,都是好孩子,程序猿的职业操守绝对比业务员高N倍,公司如果不是得罪死了程序猿,一般不会做出很恶意的行为。最后才是走法律途径。
说完了第一类,数据泄露,下面说第二类,黑客攻击。首先,纠正大家的误区,不要把黑客想得那么NB,咱们不是美国大片。对于黑客攻击,通常大家能遇到的有两类。
第一类是DDOS攻击,第二类是漏洞攻击。大家不是纯技术出身,咱们就不做名词解释了,直接打比方。
DDOS攻击,可以想象成有一个人(黑客)纠集了一大帮子人(通常叫肉鸡),以正常的方式来你的网站访问,好比我带着上万个小弟去万达,但是我不进去购物,就在门口晃悠,这样就会把其他正常想来万达买东西的顾客,都堵住,也就是所谓“拒绝服务”。
所以,从理论上来说,DDOS攻击是不可完全防止的,开门做生意,难免有小混混上门要收保护费,那么有什么办法可以做一些应对呢?
首先,我们要搞清楚,黑客纠集一帮小弟来堵门,也是需要成本的,譬如发个红烧肉加鸡腿的盒饭,目前黑市上的报价,1个G的流量攻击某个网站1小时,成本大概是50。量大可优惠。但请注意,这个是黑客圈内的报价,圈外的人未必能拿到这个价钱,当然,即便翻倍到100也不算太高。
然后,要多大的流量就能把门堵住呢?可以简单计算一下,一般P2P网站的带宽基本上都没有超过100M,具体带宽多少,大家可以去问问你们的IT部门,按我个人的经验值,100M带宽,1G的流量基本就能把门堵死了,那么我们能做的事情,无非这么几个:
1、服务器升级,增强处理能力。也就相当于万达发动员工来门口维持秩序,员工越多,能处理的小混混也就越多,但是请注意,服务器升级必然带来成本的增加,升级是有限度的;
2、增加带宽。类似像阿里云这样的服务器,是可以临时增加带宽的,如果实在不够,还可以找第三方协助,建议做P2P的跟这些第三方先打好关系,遇到事情了,可以及时应对。
3、常规的防范措施,也就是堵漏洞。如果用服务器,这个堵漏洞的工作就交给服务器的安全服务去做就行了,很多低水平的攻击可以直接被服务器的安全技术挡回去,这样如果黑客想真的攻击到你的服务器,所需的成本会更大。
我们需要分析下黑客的目的,个人接触过的,和听说过的,黑客攻击的目的无非有三:
第一种,是小白黑客,学了点黑客技能,就想来炫耀,譬如最常见的QQ盗号,这种黑客,一般跟平台没有恩怨也没有利益冲突,最多就是练练手,危害性不大。
第二种,是有目的性的,就是直接来要钱的。这种一般是有组织的,对付这类人,不到万不得已,千万不能妥协,妥协只会助长他们的嚣张气焰,一般的办法是加服务器、加带宽,硬扛,扛一段时间,这类黑客会因为成本过高,而放弃攻击。临时加服务器和带宽,成本还是可以控制的。我个人的意见是,宁可花更多的钱在加服务器和带宽上,也不能把钱给黑客,因为这种人是贪得无厌的,永远喂不饱,今天打发了,明天还会再来。
第三类黑客,就是我们所说的同业攻击了。竞争对手找了黑客做恶意的攻击,对于这类黑客的处理,我的建议是参照第二类,加服务器加带宽硬抗,但可以私下里做一些动作。我曾经给一个朋友的网站(不是P2P)遇到这种问题的时候做过一个策划,官方的表态是决不妥协,硬抗,承担全部用户的损失,但私下里,找相熟的媒体来发小道消息,把他们可能的对手全部针对一遍,也找黑客来对其他平台做一些尝试性的攻击,把水搅浑,让用户觉得这是行业性的问题,不是他们网站一家,然后扛一段时间,就可以大事化小小事化了了。这个仅限于小众点的行业,或者说直接竞争对手明确的企业。
最后,我个人的一些建议。对于黑客,其实这个属于危机公关中的一种,危机并不可怕,因为黑客的攻击结果是可以提前预估的,所以可以提前做好应对的预案。技术方面,请大家务必在自有技术团队外,储备一些防黑客的外围技术力量,包括网络安全、数据库安全等方面的技术专家,可以先交朋友,个别的可以请来做顾问。
另外,就是一些做网络安全的企业机构,一定要提前有接触,最好是先做一些浅层次的合作,这个比较适合已经到了一定量的平台。
先分享到这里,最后送大家一句话:不被黑客惦记的平台,不是好平台。