一觉醒来全都是来问快手昨天晚上被黑的信息的,大概看了一眼媒体报道,昨天晚上22点左右,快手遭到黑产攻击,直播间内出现大量的淫秽视频等大量色情内容,随后快手主动报案。
事件应该持续了一个多小时,最终以快手直接下掉整个直播间功能而告终,快手对外宣传遭遇黑灰产攻击,相应情况已上报给相关部门,并向公安机关报警。
因为没有亲历快手昨天晚上的攻击事件,目前从接收的信息角度,我只能从技术模拟来推演快手这次安全事件都遭遇了什么。
从目前接收到的信息来看,大概率是被黑灰产集中利用开播,导致的群体事件。
一个正常的用户想要在快手直播要经历注册账户-实名认证-视频开播流程,如果黑产想要攻击,首先就需要已经实名认证账户。
简单一点,可以通过撞库、盗号等各种方式获得用户已经实名的账户。
麻烦一点,通过第三方接码平台,利用虚拟小号、手机号批量注册到账户后,需要通过漏洞或者其它方式绕过“实名认证”获得实名权限进行开播,如果是这样必须有相对应的漏洞配合。
不管哪一种,只要获得了快手的已实名认证的用户权限,均可开直播这一点是一定的,当然在其它平台流程大差不差几乎也是一样的。
快手的这次问题,很多人反馈出现了大量的新号开播,不知道这里是因为通过手机号注册了就能开播,根本就没做实名身份认证,还是说实名认证这里被技术绕过导致这些群控用户直接开播。
正常情况下,各个平台都会有针对于视频内容的低俗、色情、暴力、政Z等针对性的视频审核服务,这里正常的流程是先用智能AI去审核,然后把鉴定准确切认可的直接封禁,疑似或者有问题的推给人工客服来审核。
视频流是实时的,但是很多AI审核其实是“异步”的,更多的是把某一个时间段的视频流切割成视频,然后推给AI审核,再反馈结果这里的时间是有阻隔的。
平台正常运行的情况下,涉及低俗、色情的内容不会那么多,那么这套工作流是可以正常进行的,但是一旦集中式爆发需要鉴黄的视频一旦多了,原本准备的视频智能审核的云投入的并发不够大,它就和DDoS一样没区别了,一堆需要审核的内容同一时间疯狂涌入到智能AI审核任务里,造成审核能力无法实时完成,出现了队列和拥堵,审核无法第一时间直接快速的给予业务反馈这个直播是否有问题,那么多直播间开着,自然业务也不知道到底问题在哪个直播间,去关哪一个。
即便是业务发现了集中式的情况,从发现问题,扩宽业务审核的“通路”到发现涉及的直播间数量太多完全失控,再换方案上报高层决策直接关闭整个直播间,对一家大公司来说一个小时时间是很正常的。
停了直播间是重大事故,每分钟都在创造经纪价值的,这个决策不是安全团队可以直接决策的,安全团队来应急肯定是想方设法的封禁涉事账户。
一个正常的直播流程,要通过采集本地音视频信号,经过编码压缩、封装处理后,利用流媒体协议推送到服务器,再通过CDN分发,最终到用户播放端,通过拉流、解码后完成实时播放。
用户播放内容时,需要通过用户特定标识或密钥+推流地址来关联用户与直播间的归属关系,很多无人直播的场景就是通过先获取RTMP推流地址和密钥后,利用手机系统漏洞拦截APP通信,替换原始推流地址为自身控制的推流服务器实现实时内容替换的。
由于这个方式很依赖手机系统漏洞,识别也不是很困难,一旦平台对“无人直播”严管,那么基本都会做好相应的安全策略。
虽然快手这次安全攻击和这个事情关系应该不会太大,我也延伸一下做一个科普。
另外一个角度就是去劫持CDN分发这个环节,直接干掉CDN的运营商,把原有的内容通过301/302定向到一个另外的内容实时内容替换,当然这个角度技术上存在可能性,实施起来并更不靠谱,毕竟干掉一个云厂的CDN平台也不是简单事儿,当然如果是某些小公司,为了省钱通过第三方的系统自建CDN从技术上就会有这样的可能。
曾几何时互联网上一个基于Golang开发,知名的开源CDN系统后面就被一个灰产团队接管了,最搞笑的是用这个框架最多的,其实也是搞灰产的亦或者站群团队。
如果是灰黑产的群控攻击,那么真的是堪称“灰黑产史无前例的教科书攻击了”,毕竟以往灰黑产只是集中注册账户你关了我再继续发,从来没有过这么大规模的恶意攻击行为,尤其是它并没有产生足够等额的价值获得。
-
事先准备大量的账户,现在的各平台的实名认证账户,最低要求都要验证手机号码,这里不管是通过自己写脚本通过合作接码平台、自己弄到大量的SIM卡自己建猫池去注册账户,还是通过社工库撞库,以目前的运营商手机壳实名制要求都是一笔不小的成本。
-
光有手机号注册还不行,各平台都有用户安全策略的,如果同一个地方忽然注册一堆账户肯定会被风控识别到,那么就需要准备大量的家用动态或静态IP。
-
几万个号又不可能直接用几万台手机,如果是人民币玩家用真机+物理手机卡直接开流量虽然不用解决风控问题,基站数据都从一个位置出来也一样会有问题通过IP代理这个事儿肯定是跑不脱的。
-
那如果是用云手机虚拟出来这些设备,那就需要完整的生成一套从操作系统、设备型号、IMEI、MAC….各种真机的指纹信息,很多提供安全策略的公司都能通过IMEI验证手机真伪的这里成本也不小。
-
部分平台不是注册了马上就能干啥,有一些是有新手期的,如果是这样还要批量执行“养号操作”,通过一些自动化能力,让这个用户在平台上实现一些随机性的浏览、点赞、真实留言互动,提高自己的“用户信用分”。
-
最终实施攻击,几万个账户同时发布直播,每个设备都要伪造不同的直播内容,就要先将违规的视频内容预先准备好,设定好账户与内容规则,然后再下发指令,几万个账户账户集体执行对控制端来说也有一定的压力,但是已经是这次攻击环节中,工作难度最轻的地方了。
既然是高端玩家,能用1万个账户推流也有可能用10万个账户去举报,如果想恶意的占满快手的审核通道,如果对方真的还有那么多实名账户,先对合法的直播间进行批量举报,恶意占满审核通道也不无可能。
当然不管怎样,几万个账户同时违规直播,占满“视频AI审核”的算力,让直播内容审核系统产生大量队列甚至瘫痪,一定是这次攻击实施的必经之路。
抛开劫持问题,如果针对打码平台的账户认证问题,我觉得最好的方案就是不信任用户“过去的认证状态”,在直播前再次检验一次人脸识别,核对实名信息与直播本人是否吻合。
如果这样执行了,相当于签发了一张“电子合同”,直播间再出现违法乱纪的问题,如果不是因平台技术漏洞导致的外,那么都应该是用户自己的违法问题。
至于批量攻击占满审核资源的问题,一个是加强算力,另外一个就是开设直播门槛,如果每个人开播都需要对比实名认证的身份+人脸核验,显然这里对灰产的约束就会成为个大问题,毕竟以前只需要搞手机号注册用户就行了,现在不但要搞到身份证号,还要想办法真的能伪造出对应的人脸,一定会成为更大的技术挑战。
当然如果正在读文章的你也有同样的安全担忧,作为一位安全公司的创始人,我很愿意在各位业务上协助共建安全策略,解决各种防治灰黑产以及其它安全问题。
我们旗下安全公司KNOWSAFE,是一家专业的互联网安全医院,它的职责就是帮助用户解决各项安全风险,甚至很多互联网公司会把我司当做其外部的安全部门整体将安全问题托管在我司,协同内部的技术研发团队一起解决内部风险。
有需求联系:Eva@1aq.com 或者这里也插个名片:
昨天群内传的最多的就是明年1月1日起,新修订的《中华人民共和国治安管理处罚法》将正式施行,其中第八十条:
【制作、运输、复制、出售、出租淫秽物品;传播淫秽信息】制作、运输、复制、出售、出租淫秽的书刊、图片、影片、音像制品等淫秽物品或者利用信息网络、电话以及其他通讯工具传播淫秽信息的,处十日以上十五日以下拘留,可以并处五千元以下罚款;情节较轻的,处五日以下拘留或者一千元以上三千元以下罚款。
前款规定的淫秽物品或者淫秽信息中涉及未成年人的,从重处罚。
明确将利用信息网络、电话、其它通讯工具传播淫秽纳入治安范畴,在这个时间点上出现这样的安全问题,无疑是给快手沉重的一个大逼斗。
这件事发生后最难受的应该是那些在快手上做直播卖货的商家,想必以后他们要是在想搞矩阵、群控,可能就真的没有那么容易了。
媒体引用
最后这段是直接总结给媒体朋友的,虽然每次都声明了除了合作媒体都需要和我确认,但是总是有一些媒体记者仍然采用洗稿其它媒体采访内容、或者二次总结我公众号内容,对我进行从未联络的被动采访,莫名其妙的断章取义恶意的更改我的言论本意,导致变成恶意公关诋毁内容。
请保留最后的职业素养如果不打招呼麻烦整段引用,不要再恶意删改我的内容了,或者直接发送采访提纲至:quu@1aq.com 否则我只能撕破脸皮下次直接挂出来了。
转载须知:
特别声明除了以下已多次合作建立信任的媒体:
澎湃新闻、人民网、新华网、新京报、IT时报、红星新闻、成都商报、南方都市报、虎嗅网、中国新闻周刊
其它任何媒体引用我文章内部分内容都请与我确认授权。
站外完整内容转载烦请注明来自公众号:网络尖刀,作者:曲子龙。
采访引用烦请注明来自:网络尖刀创始人曲子龙。
本篇文章来源于微信公众号: 网络尖刀
