首先得说说技术实力,阿里的程序员精英水平至少是中国乃至世界前五,阿里系里有很多可以独当一面的大神,这里的独当一面意思就是就算这些大神单飞出来自己创业,也能做出很牛X的事业。这群人一起打磨一件作品,这个作品的含金量可想而知。
再说说攻击成本和防御成本:作品防御做得越好,攻击者消耗的成本也就越高,这个成本包括时间、金钱、精力和被发现的风险。
我觉得一个能拥有可以黑进支付宝技术的人,脑子应该很好用,不可能算不清楚这笔账。以支付宝的技术和公关实力,可以在最短的时间里,查清每一笔资金流、追踪IP定位到始作俑者、修复出现的漏洞、控制舆论化解攻击事件。
如果无巧不巧地偏偏有这么一个人,技术实力过硬,受到了严重的精神打击,决定不计成本地向支付宝发起黑客行动。那么他大概会有两种思路,一是攻击,二是入侵。
1.攻击
攻击可以分为网络攻击(DOS、DDOS、SYN之类)和物理攻击(砸机房剪电缆之类)
这里就谈谈最普遍最常见的DDOS攻击吧。
其实在早些年(2010年以前),我觉得支付宝还是扛不住大规模DDOS的,300G的峰值估计支付宝就扛不住了,但那个时候宽带还不算普及,我手上有两千多台肉鸡,顶多能上1G的峰值,也就是说只要有六十万台肉鸡DDOS支付宝,支付宝服务器就可能瘫痪,不过这可是六十万台肉鸡啊!!给肉鸡刷流量或者卖卖广告,一个月也能挣好些零花钱!!可能那些聪明且厉害的黑客都会算这笔账,因此当时的支付宝居然没有被日常DDOS到瘫痪(或许有但没有上大新闻)。
后来阿里系有一个心理学博士王坚,在那个时候,他觉得要发展云计算,王坚既不会写代码,又不是计算机高材生,只是一个学心理学的,不知道怎样就和马云一拍即合了,就组建了阿里云。
马云说,王坚说他知道大数据的方向,我信任他。如果撞墙了,这钱打水漂了,我花得起,这是战略。
然后马云一年10亿地往阿里云里投钱。然后阿里云开始几十万几十万地买服务器,注意不是几十万元,是几十万台……
也是那个时候,吴翰清(花名:道哥)加入了阿里云,道哥本是资深黑客一枚,对黑客的攻击手段再熟悉不过了,据传他加入阿里云的第一天就嗅探内网同事的邮箱,然后得到了所有人的邮箱密码,还骚骚地给他们发一封邮件说你们邮箱存在安全隐患记得换密码。可是这样的一个高手,却选择研究云盾……
前几年阿里云一直在亏损,买服务器,做云计算,接着亏损,买服务器,做云计算……没想到持续了几年之后,竟然真的做出点成就来了!2015年的时候,我和圈里的朋友大概合计一下手上的资源,DDOS攻击大概可以打出300G的峰值,但是此时的阿里早已不是这个级别了,那一年双11的访问量几乎就像是一场大规模的纯人肉的DDOS,但是支付宝的表现简直帅气。
说到DDOS,就得提一下去年(2016年)Mirai僵尸网络的DDOS攻击,Mirai使用61个弱密码(诸如password、123456)操控肉鸡发起DDOS攻击,直接把半个美国打断网,后来又把德国打断网,但是其DDOS的峰值也就665G,但此时阿里云扛住600G的峰值已经是刷日常任务了……保守估计目前阿里系扛住1T的攻击应该是没什么问题,但是全球范围内能发起1T攻击的个人(独行黑客)应该不超过五个,毕竟Mirai用弱口令控制了几乎百万台的肉鸡,这个量还是挺大的,打出的攻击效果却破不了阿里的防御。
话说回来,还能玩DDoS么?实不相瞒我现在都是在用阿里云的产品来保护自己的网站……你知道现在能打出100G的峰值值多少钱吗?3000块,在黑产圈这种单子挺多的,主要都是打游戏私服,比如A开了个私服,玩的人挺多,B也开了一个,但是玩的人不多,B付款,我这边钱一到账,回车一敲,分分钟A的私服里卡成幻灯片,只要不太过分闹到最后要对簿公堂,这几乎就是黑产圈的可持续发展道路……所以有点肉鸡干什么不好要去弄支付宝?
至于物理攻击, 2015年5月27号,电缆门的事情大家都知道了吧……
社工学高手表示DDoS什么的弱爆了,悄悄地跑搜索到机房位置,开个磁铁车(参考breaking bad毁炸鸡哥硬盘桥段),分分钟黑了支付宝。就像我能搜索到上图阿里云北京机房的照片,一定有更厉害的能搜索到他的具体位置,这种社工学类的黑客还是比较不好防御的,只能加强安保了……不过我相信支付宝机房的安保级别应该还挺高的。
2.入侵
假设入侵者是一位DBA高手或者CCIE的天才,那么他肯定是一个偏执狂,就算他手上有大把原创的0day,直接黑进支付宝,把支付宝脱裤,获得了最高权限,请问他能干什么??
难道疯狂地跟自己的账户余额尾数后加0?
还是伪造转账?亦或是劫富济贫??
还是在首页留言“你好我发现了你们服务器的漏洞,请联系XXXXXX”
或者只是单纯给用户弹窗“天空不曾留下鸟的痕迹,但我已经飞过”(我喜欢玩这种弹窗还是在or=or的年代……)
如果是出于报复心理,或者战略目的,删除、毁坏数据,但支付宝当然有备份啊,不出意外的话3小时应该就能恢复正常运营……其次这种恶意入侵很容易就上升到刑事高度,工信部网络安全管理局、公安部网络安全保卫局这两个单位和阿里安全系统紧密合作,你知道国家部门有多少种方法可以定位到黑客吗?曾经有人伪造IP地址入侵某部门服务器,只能知道入侵者的城市,无法判断其详细地址,因为该部门有资料涉及到机密,于是强制给该城市停电……最后找到了入侵者……
实际上阿里(包括支付宝)当然存在着很多漏洞,每天都有很多个人和团体在不断地寻找他的漏洞,但是所发现的漏洞远不够致命,大多都是一些服务器远程代码漏洞、变量覆盖漏洞、远程命令执行漏洞,大多也就是能进院子但不能进屋子的意思,想从屋里偷东西还差一大截。
阿里有一个ASRC,安全响应中心(Alibaba Security Response Center,简称ASRC),相当于阿里的军情六处,主要就是针对各种漏洞和入侵者的一套方案。有漏洞改之,有入侵者招安之。你若发现了我的漏洞,要么你公之于众或卖给别人然后去坐牢,要么你悄悄告诉我,我还可以给你一笔辛苦费,并封你一个齐天大圣(安全专家)的称号。基本上有点脑子的人都成了安全专家,而不是只能上新闻还上不了头条黑客。
一个人的力量是薄弱的,但保不齐有人想组队群攻阿里呢?
黑客圈总共就那么大,能玩的起大手笔的就那么几个团队,你想要办一件轰动网络的大事,难免走漏风声。ASRC就厉害了,不止买漏洞,还买情报……你要是在某个饭局上听到喝高了的同行说哪天要脱支付宝的裤子,只需要记下几个关键字,邮箱抄送到ASRC,一经查实情报费就到账了(不得不说阿里系给钱还是挺爽快的)。
其实安全圈子待久了,你就会发现你心心念念达到的高度,早就有前辈留下的脚印,你费尽心思入侵的系统,甚至都可能只是大神们几个小时匆匆写出来的,不拘小节而没有完善那些无关紧要的漏洞罢了。我想纯粹的技术流,费劲千辛万苦最终到了支付宝的数据量面前,估计也是得惊叹这个作品的美妙,享受这微妙的喜悦,然后提交漏洞吧。
PS:我觉得支付宝在后台数据库应该插入一个招聘的广告,非正常渠道进入数据库时都弹出这个招聘广告,毕竟这种人才可是很难得。这大概是支付宝浏览量最少的广告了。
正经吃这碗饭,有高工资拿,还养尊处优,离你不行。
有这条件,谁他妈想坐牢?
以上。集邮爱好者一枚。