秋天不落叶10
黑客不敢攻击阿里巴巴?不存在的。黑客的攻击是任何一家网站都需要面临的问题,阿里巴巴也不例外。事实上,阿里巴巴随时随刻都要对各种突发状况做好预案,其中就包括黑客侵入。黑客攻击阿里巴巴,甚至成功侵入的案例都是可以找到的。只不过黑客的攻击绝大多数时候都是徒劳无功的罢了。黑客敢于侵入阿里巴巴,只不过由于各种原因,很少有人从中获利罢了。
黑客泛指擅长IT技术的人群,在某些时候特指利用自己高超的IT技术采取非常规手段谋利的人群。阿里巴巴作为一家电商平台,有一个庞大的金融服务平台 — — 蚂蚁金服,该公司旗下的支付宝用户量,交易额都是天文数字。如果有黑客可以侵入该系统,潜在的获利可能也是非常惊人的。而黑客给人一种“为所欲为”的印象,因此,难免有人疑惑:他们为什么不侵入阿里巴巴,是不敢吗?
之所以提出这个问题,刻板印象起到了很大的作用。大概有以下一些不太准确的印象在影响人们的思维:
1. 黑客技术高超,为所欲为,不会被追究责任
2. 网络系统比较容易受攻击
3. 侵入一个大型网站比抢银行容易
4. 阿里巴巴总是运行平稳,没有受到攻击
5. 其他,比如黑客发动攻击似乎不需要成本等等
事实上是,
尽管很少有阿里巴巴被黑客侵入的新闻,不代表阿里巴巴没有被侵入过,更不代表阿里巴巴没有黑客攻击。其次就是,阿里巴巴的系统安全程度非常高,想要从阿里巴巴手中抢钱,难度不亚于抢一个安全措施很强的银行。某种意义上,想要从阿里巴巴手中捞钱,有点像抢金库,非但保护措施严密,搬运黄金也是一个大难题。最后,黑客发动攻击也是需要成本的,就跟悍匪抢银行一样,风险很高,收益并不见得就很高。
阿里巴巴作为世界顶级的互联网公司,其系统很难被侵入。一方面,阿里巴巴的系统非常庞大,非常复杂,普通的黑客想要攻入阿里巴巴,可能还需要先升级一下自己的作业设备。其次就是,阿里巴巴非常有钱,招聘了很多世界顶级的精英人才,从设计到运营到安全防范等每一个细节,都有世界顶级的人才在为阿里巴巴保驾护航。黑客想要侵入这样一个系统,拿到好并且可以全身而退,实在是太难了。有这种能力和毅力,还不如直接到顶级互联网企业就职,得到的回报可能要高得多。鉴于网络是虚拟的,很难形象形容阿里巴巴系统的安全性。我们以现实生活为例,阿里巴巴就像什么呢?一个被全副武装的士兵层层把手的金矿。而且这批守护者是什么人,通通都是特种部队。想象一下,究竟什么样的匪徒才会下决心去打它的主意?尽管会有人在利益的诱惑下铤而走险,但是想要成功的难度太大了。就算成功了,阿里巴巴真的就会坐视不管,不采取法律行动维护自己的利益吗?阿里巴巴就算防不住你的攻击,也不至于就让你那么容易逍遥法外的。
不是没有黑客想侵入阿里巴巴,也不是没人敢侵入阿里巴巴。但是,侵入阿里巴巴难度太大,成功的可能性很低,回报不理想,风险大。真正有那个实力的人,往往都是绝顶聪明的人,谁愿意去做这种事情呢?某种意义上来说,能侵入阿里巴巴的往往没动力,想侵入的基本没能力,自然就很少会有成功入侵的事情发生了。
镁客网
其实阿里巴巴一直都在被黑客攻击,只不过,黑客最终都较量不赢巨大的阿里巴巴。几番较量下来,黑客发现攻击阿里太恐怖了,不是捞不捞得到钱的问题,而是付出代价巨大,赶紧逃之夭夭;其次,阿里这么十几年来对网络安全的防患做得十分的严密和到位,让黑客们难以下手。
一、来看看阿里被攻击的几个事件。
其实阿里旗下网站每年都被黑客攻击,我们来看几个案例:
1、事件一 阿里云被攻击
2014年12月24日,阿里云计算发布声明称,12月20日-21日,部署在阿里云上的一家知名游戏公司,遭遇了全球互联网史上最大的一次DDoS攻击,攻击时长14个小时,攻击峰值流量达到每秒453.8G。
2、事件二 淘宝被攻击
2015年6月,平湖市公安局网警大队在办理诈骗案件中发现一犯罪团伙利用阿里漏洞进行账号窃取行为,警方进一步侦查发现,该团伙于2015年10月14日至16日通过租用阿里云平台向淘宝发起攻击,获取淘宝账户信息约9900万,其中2059万账户为确实存在并且密码吻合。
3、事件三 阿里全球速卖通被攻击
2015年1月份,不明身份黑客攻击阿里巴巴全球速卖通平台,阿里巴巴向监管机关报案,并配合有关部门对此事进行的调查处理。
以上是阿里系的阿里云、淘宝和速卖通被攻击的案例,其实阿里系的各大网站每天都有黑客在攻击。
二、阿里自身网络安全防患严密到位、抗攻击能力强。
1、先来看看阿里的网络安全组织“阿里神盾局”
阿里神盾局是指阿里巴巴集团旗下安全部,自2005年建立后逐步建立全面的账户安全、信息保护、反欺诈等管理机制,利用大数据构建强大的实时风险防御能力。
“神盾局”职责范围很广,在阿里巴巴庞大的交易系统背后,为保障用户的权益做坚实护盾。主要包括以下几类:保护知识产权,即打假;保护账户安全,主要防止虚假注册;保护交易安全,主要防止交易欺诈、恶意差评、敲诈勒索和炒信;保护信息安全和禁限售排查;保护隐私防止信息泄露;保护数据安全;大数据风控等等。阿里安全部副总裁杜跃进表示:“阿里安全要做保护用户最关切的安全——包含购物、交易、支付、侵权、金融、防数据泄露、反欺诈、反假货等全交易链条;致力于打造应用层的安全生态环境,面向终端用户也面向行业企业、涵盖终端打通云端,通过多维度大数据构建诚信体系。”
2、神盾局里边高手如云、卧虎藏龙
肖力----安全攻防领域资深专家、吴瀚清----《白帽子讲安全》的作者,江湖地位极高的道哥、潘爱民----互联网底层技术专家、刘嘉伟----知名架构师。
他们构建了阿里巴巴体系安全防护系统,每天处理数亿次的黑客攻击。
此外,神盾局中还有20多位原公检法系统的刑侦、经侦专家和网安、网监精英,比如徐平,他曾从警16年,是国内著名的刑侦专家,专门打击网络犯罪。
3、阿里神盾局构建的系统而完善的防护机制,可以充分的看到,黑客的小攻击阿里自身就能解决,对于实在解决不了的大的攻击或造成重大损失的攻击,阿里会报警报案,联合政府网警、网监部门执法,黑客自然无法逃身,不仅没讨到好处,还背负了刑事责任,得不偿失。
蒋建华GL
首先,我们先假设一个黑客要攻击淘宝的几种可能:
攻击成功,没闹出动静;
攻击成功,动静太小咱不知道;
攻击成功,动静太大被法办;
想要攻击,没信心能进去;
想要攻击,没信心能出来。
当年有人去阿里巴巴安全事业部面试,拿了offer之后,有个洗脑大会,专门介绍了这个部门的老大,据说是前公安系统的,如果你敢造次,我就能抓你,这就是最好的办法。
这也就是说:小打小闹,我技术防御,直接无视;大规模的,我技术定位,直接抓你。
而且黑客如果攻击淘宝,不会让你知道。
绝大多数情况下,黑客不会让你知道他做了什么,除非满足下面的一些情况,才有可能让你知道他攻击了:
1.被攻击的网站本身无利可图,宣告对其攻击不会给自己带来安全风险。
2.向外宣告,本身是这个攻击行为的一部分。潜伏不会带来利益。
3.可能未知的其它个性化原因。
如果攻击淘宝,显然这是有利可图的,即便仅仅是读数据也可以卖钱,这种有利可图的攻击,黑客绝对不会分享或者宣告出来,攻击完一定是闷声发大财。闷声发大财更能够长期的获利,更多的获利。所以你绝对不会看到黑客宣称攻击了淘宝。
如果一个网站虽然没有经济价值但能当肉鸡跳板用,黑客也会留着它,保护好现场,不会让任何人知道这已经是自己的肉鸡了。这种情况黑客也不会让你知道。
如果攻击某些完全不赚钱的小网站,攻击完之后发现完全无利可图,甚至连当肉鸡的价值都没有,这时唯一剩下的价值可能只有向世人宣告自己黑了一个网站,所以你才会知道这个网站被攻击了。
你看,只有最后一种情况你才会知道黑客做出了攻击,而实际上黑客攻击的主体你根本就不知道。
再来阐明几个概念,攻击不等于直接修改账户里的数字,有很多方法通过攻击来实现利益。比如:1.修改数据库信息(金额,装备);2.获取用户信息倒卖(批量卖公众信息);3.拒绝服务攻击(勒索或者受雇于竞争对手);4.渗透获取特定目标信息(商业机密,数据,产品图纸代码)。
最重要的一点,淘宝在一个完善的安全保护机制下(非安全技术,还有审计,管理,法律法规等),通过上述方法来获利,虽然是最直接的,但是风险也是最大的(很难变现,容易被发现,引起很大的关注度,领导会特殊重视等等)。其次,淘宝(或者支付宝)的安全技术在国内甲方来说,算的上是最好的之一,或许没有之一。
打个比方。你是情愿开飞机大炮去抢银行,还是就拿把枪去抢一些住着贪官的别墅区?前者又难成功,风险又大。后者被抢了,说不定都不敢去报警……
当然淘宝也不是无懈可击的,2345的攻击在某些层面也是能成功的,不过总的来说,淘宝的防护做的还是不错的,攻击淘宝的性价比太低。
黑客、病毒木马作者、钓鱼网站经营者,没有一天不在尝试攻击淘宝。
至于为什么没听过类似消息,就是因为不造成损失的,一般不会计较,造成损失,就会报警。而且黑客这行本来就只崇尚动手,不崇尚逼逼。再说攻击淘宝这事儿本身,性质和抢银行差不多。要么搞成了闷声发大财,要么搞不成丢脸不乱说,要么技术太菜被追踪给送进去,所以你才看不到张嘴的。
对了,很多优秀的黑客都在淘宝上班。
易用软件问答
1. 这次在阿里巴巴安全部,仅在一次活动中就接触到了四位“前警察”,负责讲解的阿里员工就曾是公安局负责宣传工作的民警。
2. 2016年6月,厦门市电信网络诈骗警情同比下降29.21%。
3. 政法老将变“特工”对于安全部来说,重要的任务之一必然是反入侵。
阿里巴巴的安全部建立于2005年,十多年来,安全部逐渐建立了账户安全、信息保护、反欺诈等管理机制,专业地说,就是利用大数据构建实时风险防御能力。
据阿里巴巴内部人员透露,支付宝乃至阿里巴巴整个核心平台的网络在08年大规模升级维护后,不夸张的说和五角大楼一个安全级别,这并非说顶级黑客团队攻不进去,而是黑进去以后的数据连锁机制无人可破,数据保护有自启和人为两种,触动后的唯一结果就是阿里巴巴陷入瘫痪,等待工程师们查出漏洞后重启,而资金在这期间无法转入转出分毫,全世界的大型银行的网络终端各有不同,唯独这个闭锁机制大同小异。阿里巴巴总部像是一个大学校园,园区里食堂、星巴克、邮局一应俱全,安全部就处在其中一栋办公楼的三层。
安全部的核心地带是在一间封闭的会议室里,室内一面墙上布满电子显示屏幕,实时监控着包括淘宝账号异常登录、虚假认证和恶意交易在内的行为。
某省份地图上或某块屏幕上不时有几处指标闪烁异常。会议室的中间是指挥台,遇到异常闪烁的指示灯,工作人员会在这里向同事发出预警。
每天早上,安全部的“特工”会来到会议室开晨会。晨会之前,大家查看内部系统抓取的动态数据,查收淘宝等产品团队上报的异常问题,根据不同的预警级别选择10起案件列入当天的议程,并进行分工处理。
安全部有分析组,负责处理日常安全情报、研判电信网络灰黑产业,还有行动组,负责处理电信网络诈骗等突发风险事件,解决账号、交易、信息等安全问题。
现场大屏幕上显示,有账号因为异常登录被冻结,安全部相关负责人余伟民说:“例如你一个小时前在北京登录,过了一个小时在杭州登录,那就是异常登录,账号会被冻结。”他说:“在淘宝上下单,仅需几十毫秒,阿里能做到上百项安全检测。”
警企合作前面我们已经提到了公安部与阿里安全部合作的钱盾反诈平台,这堪称警企合作的典型范例。
该平台是阿里巴巴集团在2014年推出的,经过两年发展,钱盾反诈平台现包括“刺猬”、“御城河”和钱盾APP。其中,“刺猬”用于打击伪基站和钓鱼链接。“御城河”为商家、服务商、物流等合作伙伴提供信息泄露风险识别服务。钱盾APP则为普通老百姓服务,不仅可以拦截诈骗电话和短信,还可以发现伪基站,拦截钓鱼网站,并提供守财保险。
“很多公众场所都提供免费 Wi-Fi,蹭网已经成为习惯,但有的电信网络诈骗犯罪分子就是利用这一点,通过伪基站分享Wi-Fi,发送钓鱼链接。”工作人员介绍,钱盾APP可以检测半径5公里以内的伪基站,还可以精准定位。
今年初,钱盾平台在厦门市公安机关上线试运行。3月份以来,厦门市公安机关向钱盾输入3000余条涉案电话、QQ号、银行账号等信息,累计清洗出有效诈骗电话2463个,破获电信网络诈骗案件1556起,紧急止付212万元。
2016年6月,厦门市电信网络诈骗警情同比下降29.21%。
如果你认为“神盾局”和公安机关的合作仅仅体现在钱盾项目上,那你就错了。
阿里巴巴已经与我国多省市的公安机关建立了反诈骗中心,签订合作框架协议,协助公安机关进行数据分析、扩展研判、证据收集,此外还可以通过大数据主动监控,进行安全预警。例如今年5月,绍兴发生一起通过社交平台进行的招嫖诈骗案,“神盾局”通过大数据查明了犯罪嫌疑人身份和落脚点,使得4名犯罪嫌疑人被及时抓获。
政法老将变“特工”对于安全部来说,重要的任务之一必然是反入侵。
工作人员介绍称,阿里巴巴安全技术团队所打造世界级的反入侵体系每天从近万亿条数据里实时搜索可疑的入侵行为,会对任何入侵攻击进行发现、判断、告警、处置和溯源,在最短的时间内完成全流程的处理。
“我们还曾经成功防御过史上最大的DDOS攻击,攻击时长达14个小时,峰值达到每秒453.8GB。”
除了常规的技术人员,安全部还有不少高手,被称为“特工”。
这些人里包括知名“白帽子”,也就是反黑客团队,例如安全攻防领域资深专家肖力,《白帽子讲安全》作者吴瀚清,知名架构师刘嘉伟等。
还有公检法系统的前工作人员,“神盾局”有20多人曾经就职于政法系统,之前做过公安的有十几位,有干过二三十年刑警的老将,还有经验丰富的经侦、技侦、网监等警种的原警界成员。这次在阿里巴巴安全部,仅在一次活动中就接触到了四位“前警察”,负责讲解的阿里员工就曾是公安局负责宣传工作的民警。
由于安全部面临的工作很多都与法律相关,例如发现违法违规行为时需要懂法,因此,安全部有近60位法律专家。此外,随口能说出流利俄语、日语、法语、西班牙语等的“特工”也不少,外语人才也是安全团队的重要成员。
现在互联网金融是越来越广泛,越来越多的用户都开始选择了网上购买金融投资,或者找一些平台借贷,借呗就成了最好的选择了!支付宝很多人的借呗无故被关停。一夜之间让很多人彻底失去了融资的渠道。好在微信上的蚂蚁生财,不用上征信,也不用拼人品,关汪、徵信、蚂蚁生财申请,对于芝麻分要求550分以上才可以,额度比花呗高,最低是2万,最高是20万。这给剁手党解决了生活所带来的困惑,纷纷得到用户的好评。也使得我们更进步享受到互联网带来的便捷!
一、事件一 阿里云被攻击
2014年12月24日,阿里云计算机发布声明称,12月20日-21日,部署在阿里云上的一家知名游戏公司,遭遇了全球互联网史上最大的一次DDos攻击,攻击时长14个小时,攻击峰值流量达到每秒453.8G.
2、事件二 攻击在成本之上
所谓的黑客攻击不是指哪打哪,什么成本都不需要的,其实也是一场时间、金钱、团队的比拼,不光花时间扫描对方漏洞,还有可能需要买攻击流量,在消费巨大精力攻击,如果攻击的成本很大,但能得到的利益比不一定高,也就不值得了。
比如阿里巴巴的防御能力是90分,黑客需要用90分以上的成本攻击,还不一定100%成功得到想要的结果,还不如花费同样的精力高一些防御力低一个级别的公司。
3、事件三 阿里全球速卖通被攻击
2015年1月份,不明身份黑客攻击阿里巴巴全球速卖通平台,阿里巴巴向监管机关报案,并配合有关部门对此事进行的调查处理。
互联网金融行业在近几年做得风生水起,但是技术安全一直都是行业的一块短板,网站遭受黑客攻击的事件频频发生。但却很少有黑客攻击阿里巴巴。
首先攻击阿里巴巴无法达成目标和目的! 阿里这样的巨头,毋庸置疑是黑客们攻击的最佳对象。一是攻击成功,可以成为炫耀的资本,成为热点,成为黑客圈的红人;二是阿里庞大的体系,攻击成功,巨大收获的可能性很高。
那么,为何没有相关的攻击新闻?一是阿里的安全性确实高,防护能力很强(安全投入大的直接效果);二是公关能力强大,即使有攻击事件,也不会有报道,基本被内部消化了。
最重要的是,阿里巴巴核心整体是大数据+云计算。安全系统比较完善,里面有防御攻击系统,而且阿里云有多款防入侵的产品,其中一个是阿里云盾。云盾可提供DDoS防护,主机入侵防护,以及漏洞检测、木马检测等一整套安全服务。就算是攻击好了,黑客也得不到任何东西,而攻击的账户没有这方面的压力,还有账户保险呢,攻击阿里巴巴就触及犯法的规章里了。得不到好处还犯法,所以黑客不敢。
阿里巴巴做为国内最大的电店平台,其安全性的维护绝对是第一考虑要素,而且阿里巴巴也完全有能力去支付相应的费用
第二、黑客分两种,一种是以发现bug帮忙找出问题存在的黑客,他们不会恶意的去攻击,在发现bug后很少会去做宣传,所以就算是黑了阿里,也很有人知道。第二种黑客会以攻击他人来展示自己的技术或是谋取暴利,但很少有人攻击阿里巴巴的原因教参第一条,因为一旦失败就很要是能会被反跟踪从而负法律责任
以前黑客频繁攻击是为了出名,毕竟多数都是伪黑客,无非是用别人的软件找点漏洞做点手脚罢了,随着时间的推移,能留下来的都是经典的人物了,技术跟阅览都有了长足发展,懂得了什么才是黑客,什么才是真正的黑客,至于黑客攻击的目标,以前是为了好奇学习,证明自己的水平,现在是为了利益,毕竟现在数字货币这么吃香。关于阿丽也好,其他大型的网站也好,他们肯定也再好奇,只不过看最终的利益大小或是值得与不值得的问题。
阿里这样的巨头,毋庸置疑是黑客们攻击的最佳对象。一是攻击成功,可以成为炫耀的资本,成为热点,成为黑客圈的红人;二是阿里庞大的体系,攻击成功,巨大收获的可能性很高。所以,阿里受到攻击的次数应该是同行中前几位的了。
那么,为何没有相关的攻击新闻?一是阿里的安全性确实高,防护能力很强(安全投入大的直接效果);二是公关能力强大,即使有攻击事件,也不会有报道,基本被内部消化了。
手机用户87055967537
每日分享科技互联网相关内容,喜欢就请关注我。
其实并不存在黑客不敢攻击阿里巴巴的言论,黑客一直在持续攻击阿里巴巴,而且很多次成功案例影响巨大。比如2014年低,阿里云遭受400G以上的DDoS攻击,造成其客户长达14小时的业务影响,2015年阿里巴巴淘宝电商漏洞被团伙利用,并盗取帐号。整个互联网的攻击态势从来没有停歇,不论被攻击者到底是怎样的公司。
01 互联网充满攻击态势
目前互联网上超越50%的流量都不是人为流量,也就是自动化触发的,很多都是黑客设计的自动化扫描攻击流量,只要在互联网上,所有公司、个人、机构都在持续遭受攻击,只不过是否需要花费相对应的成本进行进一步攻击而已。
02 攻击在成本之上
所谓的黑客攻击不是指哪打哪,什么成本都不需要的,其实也是一场时间、金钱、团队的比拼,不光花时间扫描对方漏洞,还有可能需要买攻击流量,在消费巨大精力攻击,如果攻击的成本很大,但能得到的利益比不一定高,也就不值得了。
比如阿里巴巴的防御能力是90分,黑客需要用90分以上的成本攻击,还不一定100%成功得到想要的结果,还不如花费同样的精力高一些防御力低一个级别的公司。
03 攻击技术远优于防御能力
在黑客攻防领域,攻击技术其实是远远超越防御能力的,就算是阿里巴巴这样的互联网巨头拥有强大的安全团队,也不能掉以轻心。很多人认为攻击者都是单大独斗,其实黑客不一定是一个人,很可能是一个团队,如果这个团队强大到超越阿里巴巴的防御团队,就很可能出现较为危险的攻击事件。
科技银狐
引石老王一致致力反劫持与反黑客技术的研究。据我所知,阿里巴巴作为全球最大、最有钱的公司,每一个黑客如果能攻破它,那一定是黑客最大的“荣耀”。所以,黑客们几乎天天在想办法攻击阿里巴巴,但由于阿里巴巴安全防御与反黑客技术非常牛X,安全团队有很多也来自黑客的大牛,所以至今无法被攻克阿里巴巴。2010年曾经有黑客试图攻入过支付宝,但很快被阿里通过漏洞修补干掉了。引石老王要说明的一点是,没有攻破并不代表黑客们不敢攻击阿里,而恰恰是一真攻击而无法得手。
引石老王关注高科技应用,分享创业心得,致力于人工智能防劫持技术与信息安全反黑。关注引石老王,与您一起交流!
引石老王
互联网金融行业在近几年做得风生水起,但是技术安全一直都是行业的一块短板,网站遭受黑客攻击的事件频频发生。但却很少有黑客攻击阿里巴巴。
首先攻击阿里巴巴无法达成目标和目的! 阿里这样的巨头,毋庸置疑是黑客们攻击的最佳对象。一是攻击成功,可以成为炫耀的资本,成为热点,成为黑客圈的红人;二是阿里庞大的体系,攻击成功,巨大收获的可能性很高。
那么,为何没有相关的攻击新闻?一是阿里的安全性确实高,防护能力很强(安全投入大的直接效果);二是公关能力强大,即使有攻击事件,也不会有报道,基本被内部消化了。
最重要的是,阿里巴巴核心整体是大数据+云计算。安全系统比较完善,里面有防御攻击系统,而且阿里云有多款防入侵的产品,其中一个是阿里云盾。云盾可提供DDoS防护,主机入侵防护,以及漏洞检测、木马检测等一整套安全服务。就算是攻击好了,黑客也得不到任何东西,而攻击的账户没有这方面的压力,还有账户保险呢,攻击阿里巴巴就触及犯法的规章里了。得不到好处还犯法,所以黑客不敢。
欧界科技
AO心如止水
1、技术上阿里的团队很厉害,防御机制足够抵御顶级黑客。
2、阿里余额宝很多钱,那是与国家安全联网的,黑客攻击会触发报警,攻击阿里属于金融攻击的~与国家为敌,利益权衡不值得
秋名山de车神
以前黑客频繁攻击是为了出名,毕竟多数都是伪黑客,无非是用别人的软件找点漏洞做点手脚罢了,随着时间的推移,能留下来的都是经典的人物了,技术跟阅览都有了长足发展,懂得了什么才是黑客,什么才是真正的黑客,至于黑客攻击的目标,以前是为了好奇学习,证明自己的水平,现在是为了利益,毕竟现在数字货币这么吃香。关于阿丽也好,其他大型的网站也好,他们肯定也再好奇,只不过看最终的利益大小或是值得与不值得的问题。
