V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
stevele
V2EX  ›  问与答

对于阿里云截取用户加密信息,你们怎么看?

  •  6
     
  •   stevele · 2017-05-31 12:16:16 +08:00 · 4653 次点击
    这是一个创建于 2764 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天在知乎看了个帖子,不知道千万云这次怎么搞。原帖地址: https://www.zhihu.com/question/60496554

    我直接把内容转过来:

    用阿里云的同学务必关闭其镜像中默认安装 的 Snort / gshelld / aliyun-service / aegis 相关的所有进程,特别是前两个,方法是直接删除文件并重启,别问为什么,别问我怎么知道的,我特么更新了一晚上 PKI 了,所有密钥和服务器证书全换了。

    下周 XX 所有服务包括邮箱全换到独立服务器,国内的云无法信任。

    说下细节,由于我们需要做 一个爬虫来抓取各使馆网站获得最新消息和 签证进度,鉴于使馆网站都在国外,所以设定了一个 ipsec 的隧道连接到日本的服务器做 抓取,阿里服务器做提取并通过另外一条隧 道传回公司内网。

    然后我发现在特定时间点,抓取特定内容时,内网服务器报连接重置, 而在阿里服务器上模拟是抓的到的,看抓取目标发现页面上有某些你懂得关键词。

    然后问题来了,既然出口服务器,阿里服务器内网服务器之间都是加密连接,那 gfw 是如何检测出关键词的呢? 显然这个重置不是墙发出的。

    而唯一的明文传输是在本机端口之间发生的,杀掉上述进程后,抓取恢复,再也没出现连接重置。

    所以我有理由怀疑阿里在监控客户主机的本机端口流量,并对某些内容发出 REST。

    更进一步,是否获得了我的私钥和整个 PKI 体系的关键密文?我不清楚,但显然是有能力做到的。

    这件事情极为可怕,而且经过日志分析发现这个行为是随机发生的,很难取证,欢迎大家按我的步骤复现看下,但一定要跑的时间足够久才能发现。

    如果不仅仅是监控而是同时侧录内容呢?用户隐私基本就全被看光光了,本机端口的流量谁也不会加密,也没法加密啊。


    其实对于阿里云的安全策略我一直有所耳闻,圈里的同学也都说过这个事情,不过这种情况到底算不算侵犯用户隐私呢?用户的数据还敢不敢放在云上?对于这类事情有没有相关的法律以及措施?

    第 1 条附言  ·  2017-05-31 14:12:49 +08:00

    抱歉,帖子是我转过来的。

    不过这个事情没有真相之前,我是不会删贴的。

    75 条回复    2017-06-01 15:08:33 +08:00
    qcloud
        1
    qcloud  
       2017-05-31 12:18:29 +08:00 via iPhone   ❤️ 2
    😂万一再来一个一千万可咋整
    stevele
        2
    stevele  
    OP
       2017-05-31 12:20:09 +08:00
    @qcloud 我只是搬运工,逃
    mornlight
        3
    mornlight  
       2017-05-31 12:29:31 +08:00
    aegis 好像是云盾
    Leafove
        4
    Leafove  
       2017-05-31 12:31:03 +08:00
    使用阿里的产品无差别默认自己是裸奔模式,到现在还不明白?!
    DoraJDJ
        5
    DoraJDJ  
       2017-05-31 12:32:57 +08:00
    多谢打醒,原本还想考虑用 HKB 搭个$$用
    lyhiving
        6
    lyhiving  
       2017-05-31 12:35:34 +08:00 via Android
    阿里云技术很先进,不要以为这样就可以。逃
    15015613
        7
    15015613  
       2017-05-31 12:36:23 +08:00 via Android
    现在知乎必须要登录了吗?
    Leafove
        8
    Leafove  
       2017-05-31 12:43:29 +08:00
    @DoraJDJ #5 可以 hkb 纯中转
    shiji
        9
    shiji  
       2017-05-31 12:54:01 +08:00 via Android
    第一要务难道不是要把这几个相关的程序掏出来逆向一下么?不去深入研究一下不符合风格啊。。
    至于作者如何害怕想想如何恐怖之类的能不能等这边证据确凿了再开始抒情?
    skycham
        10
    skycham  
       2017-05-31 13:01:15 +08:00
    @shiji 第一要务显然是自己的业务安全啊。
    notreami
        11
    notreami  
       2017-05-31 13:37:07 +08:00
    坐等公关+水文,顺便提高下难度。不要科普架构,也不要科普什么安全。科普下法律法规,以及如果出现泄漏,如何处理。
    19zero
        12
    19zero  
       2017-05-31 13:44:09 +08:00
    先骑墙,不过看起来有点像阴谋论,不深入一下就扣个帽子,不妥
    n6DD1A640
        13
    n6DD1A640  
       2017-05-31 13:58:06 +08:00
    前排瓜子板凳已备,坐等公关
    mooncakejs
        14
    mooncakejs  
       2017-05-31 14:00:30 +08:00
    黑的好厉害, 没有关键性证据就发这种文章,罚一千万都是应该的。
    akwIX
        15
    akwIX  
       2017-05-31 14:03:30 +08:00 via Android
    @aliyun123 速来洗
    liuyq
        16
    liuyq  
       2017-05-31 14:04:42 +08:00
    利益相关,不多说。关注一些具体怎么处理以及相关的法规吧。
    jasontse
        17
    jasontse  
       2017-05-31 14:05:17 +08:00 via iPad
    这帖子价值一千万也不稀奇,反正是我穷我有理。
    Quaintjade
        18
    Quaintjade  
       2017-05-31 14:05:22 +08:00 via Android   ❤️ 2
    用阿里产品默认裸奔+1
    有个底层程序常驻系统,有什么做不到的?安全软件和木马的区别有时仅在于善意还是恶意。

    很记得久之前云盾因为 bug 导致误删文件引过争议,我以为很多人都知道这几个程序。后来因为允许关闭+误删率低+确实有用,所以没人再提。
    /t/217931
    19zero
        19
    19zero  
       2017-05-31 14:09:11 +08:00
    刚上 ECS 看了下,没有发现这个所谓的 snort 进程啊,你们都有这个进程么?
    stevele
        20
    stevele  
    OP
       2017-05-31 14:13:47 +08:00
    感谢大家的回帖,期待阿里官方的回复以及解决办法。
    jiangzhuo
        21
    jiangzhuo  
       2017-05-31 14:17:55 +08:00
    肯定是阿里云的软文,看得我都想去开台阿里云的 ECS 去下载这几个程序来逆向了(逃
    Quaintjade
        22
    Quaintjade  
       2017-05-31 14:19:32 +08:00 via Android
    另外 openvz,kvm 的母鸡复制出小鸡的 pki 私钥文件也不难。
    stevele
        23
    stevele  
    OP
       2017-05-31 14:24:16 +08:00
    @jiangzhuo 哈哈,那他们应该不会再搞我了。
    19zero
        24
    19zero  
       2017-05-31 14:33:58 +08:00
    @stevele 阿里云官微回复了:请大家勿传播未经证实的猜测,稍后可关注阿里云正式的技术说明。
    6oML852dJf9Kn2l7
        25
    6oML852dJf9Kn2l7  
       2017-05-31 14:35:48 +08:00
    等会?楼主?你能删帖?
    RqPS6rhmP3Nyn3Tm
        26
    RqPS6rhmP3Nyn3Tm  
       2017-05-31 14:38:01 +08:00
    说的好像你能删帖一样
    akira
        27
    akira  
       2017-05-31 14:38:42 +08:00
    全是猜测 ,没证据说个锤子啊
    solomaster
        28
    solomaster  
       2017-05-31 14:45:15 +08:00
    国家规定。别只怪到某个企业头上。你问我哪条规定?不要问我……当我放屁就好。
    solomaster
        29
    solomaster  
       2017-05-31 14:46:11 +08:00
    @solomaster 上条消息纯属胡闹,已作废。请无视。:)
    aliyunservice
        30
    aliyunservice  
       2017-05-31 14:47:23 +08:00
    请大家勿传播未经证实的猜测,稍后可关注阿里云正式的技术说明。
    mokeyjay
        31
    mokeyjay  
       2017-05-31 14:48:20 +08:00   ❤️ 1
    @aliyunservice #30 是技术说明还是面额 1000W 的法院传票?
    iyaozhen
        32
    iyaozhen  
       2017-05-31 14:49:45 +08:00
    不用打码吧。
    发朋友圈的也算是业内的大 V (名人)了。
    jingniao
        33
    jingniao  
       2017-05-31 14:51:34 +08:00
    稍微有点云计算常识的应该都知道
    这里面不存在技术问题,只有做不做跟做到哪步的问题
    不过好多用户不关心你是不是能看我的数据的……
    Netherlands
        34
    Netherlands  
       2017-05-31 14:51:37 +08:00 via iPhone
    自己的阿里云 ss,莫名其妙隔几十分钟就无法连接,再等一两分钟又好了,换过几个 vps,一直都是这样
    ScotGu
        35
    ScotGu  
       2017-05-31 14:52:09 +08:00
    我有理由相信不止只有一套软件层面的墙。
    ovear
        36
    ovear  
       2017-05-31 14:55:14 +08:00
    关注
    robinshi2010
        37
    robinshi2010  
       2017-05-31 15:47:07 +08:00
    @iyaozhen 确实没必要打码。原 po 微信都说了可转载。
    stevele
        38
    stevele  
    OP
       2017-05-31 15:57:19 +08:00
    @aliyunservice 未证实是啥意思,都不能说话得咯
    crisfun
        39
    crisfun  
       2017-05-31 15:59:04 +08:00 via iPhone
    你国资本主义专政啊,说几句怀疑就要担心 1000 万
    changwei
        40
    changwei  
       2017-05-31 16:01:44 +08:00
    就算是数据传输通道加密了,但是你硬盘都在人家机房里面了,人家想看你数据库数据还不是分分钟的事情。这种就是看业界良心了
    Crossin
        41
    Crossin  
       2017-05-31 16:01:58 +08:00
    坐等删帖,见证大事件
    jarlyyn
        42
    jarlyyn  
       2017-05-31 17:25:46 +08:00
    "不过这个事情没有真相之前,我是不会删贴的。"

    然后一共发过 3 个帖子,两个是怼阿里云的。

    虽然我也开贴骂过阿里云,但……
    lilifenghao44
        43
    lilifenghao44  
       2017-05-31 17:30:59 +08:00
    坐等公关
    surfire91
        44
    surfire91  
       2017-05-31 17:57:13 +08:00
    gulangyu
        45
    gulangyu  
       2017-05-31 18:02:08 +08:00 via Android
    一千万是什么梗?
    Ouyangan
        46
    Ouyangan  
       2017-05-31 18:07:15 +08:00
    roooz
        47
    roooz  
       2017-05-31 18:17:45 +08:00
    受争议的中国网络安全法即将于 6 月 1 日生效,新的规定加强了对科技产品的限制。

    网络安全法除了要求将数据储存在本国外,还要求对关键硬件和软件进行安全审查,要求实现“安全可控”。对于这些要求,外国行业组织在致函中国的信中认为,这些措施增加了负担,限制了竞争,可能会降低产品的安全性,危及中国公民的隐私。中国国内的专家支持这些改变。北邮研究互联网管控的教授李玉晓称,网络安全对国家安全至关重要。
    aliyunservice
        48
    aliyunservice  
       2017-05-31 18:25:35 +08:00
    各位好,详情请查看官微声明: http://weibo.com/1644971875/F5FnTeIMa?type=comment
    gouchaoer
        49
    gouchaoer  
       2017-05-31 18:30:01 +08:00 via Android
    @jingniao 你说说阿里云怎么做到监控 https 内容的,就算在 ecs 上安装阿里的证书也做不到啊
    iyaozhen
        50
    iyaozhen  
       2017-05-31 18:48:31 +08:00
    @aliyunservice 赞,官微回复很及时。但是没有解释用户现象的原因,不能让我等“阴谋论的吃瓜观众”信服呀
    Havee
        51
    Havee  
       2017-05-31 18:59:41 +08:00
    看不到...微博需要登陆,然微博账户早成僵尸大军中的一员了。
    shanks
        52
    shanks  
       2017-05-31 19:05:40 +08:00
    "阿里在监控客户主机的本机端口流量,并对某些内容发出 REST "

    说的好像你这里很多商业机密一样。。。。aliyun 会为了配合 ZF 做审查,把公司信誉都压上去吗?现在 aliyun 是什么体量?不说动机,Linux server 场景这么复杂,单纯是这个实现也不容易吧?还消耗了 VM 的性能,做这种吃力不讨好的事,脑子进水?

    所以说,不要听风就是雨,将来报道出了偏差,你要负责任 (滑稽
    jingniao
        53
    jingniao  
       2017-05-31 19:07:11 +08:00
    @gouchaoer 监控 https ?具体技术细节不太清楚,但阿里云的云盾有 root 权限,你觉得它什么事情干不到?根本没必要管你什么 https 的。
    asdwddd
        54
    asdwddd  
       2017-05-31 19:07:33 +08:00
    又一个类似的帖子?那就再回复下

    极尽一切手段窃取用户的隐私,看看安卓支付宝客户端做的恶心行为就知道了
    云主机虽然有登录密码,但是阿里随时可以绕过查看服务器的资料的
    但是,你要无条件相信阿里的节操
    人家声明了还不够么?

    自从没点接受协议,支付宝就强制开通了芝麻信用!
    对阿里把用户当煞笔忽悠的行为深恶痛绝!
    asdwddd
        55
    asdwddd  
       2017-05-31 19:13:50 +08:00
    @shanks 说的好像你这里很多商业机密一样。。。。aliyun 会为了配合 ZF 做审查......

    不要把什么锅都摔给 ZF,这地洗的

    流氓行为窃取用户隐私目的是来做广告赚钱的
    支付宝安卓客户端做得像木马一样的,看看微信难道就不配合 ZF 了
    尼玛真无耻,自己做得破事还怪到 ZF 头上!
    shanks
        56
    shanks  
       2017-05-31 19:21:23 +08:00
    "然后我发现在特定时间点,抓取特定内容时,内网服务器报连接重置, 而在阿里服务器上模拟是抓的到的,看抓取目标发现页面上有某些你懂得关键词。"

    @asdwddd 原帖的意思明显就是做审查啊,不然干嘛要特意提关键字?
    withlqs
        57
    withlqs  
       2017-05-31 19:24:21 +08:00
    主人公怕是连基本的网络层概念知识都很欠缺....
    roooz
        58
    roooz  
       2017-05-31 19:49:40 +08:00
    @asdwddd 建议你看看一本当今 ZF 不准看的书,《雾&锁#中 @国》,并不是什么野鸡作者写的,看完可能会对你这种心态有改善
    Jzer0n
        59
    Jzer0n  
       2017-05-31 20:40:36 +08:00
    我相信阿里云是不会这样做的!!!

    就好比:

    我相信腾讯不会把我们的聊天记录上交给任何政府部门!!!

    我相信百度云也没有任何的 8 秒安全教育片!!!
    asdwddd
        60
    asdwddd  
       2017-05-31 20:45:12 +08:00
    @roooz 不敢看 涉及政治的 风险极大 不要命了呀

    刚发了贴子 说了下自己遇到的两件事,就被人威胁恐吓准备 100 万 1000 万
    发个贴,阿里有这么可怕吗?

    提醒:慎用阿里 DNS !窃取和跟踪用户隐私.
    https://www.v2ex.com/t/365011#reply23
    asdwddd
        61
    asdwddd  
       2017-05-31 20:49:44 +08:00
    @roooz 网上也有好多境外敌对的分子怂恿年轻人,我只是针对阿里云,没针对政府,国外那么多恐怖袭击事情,国内的审查也是必须的,自己不做违法的事情倒是没什么怕的,就是对骚扰电话,窃取用户隐私的行为很反感!
    roooz
        62
    roooz  
       2017-05-31 21:00:02 +08:00
    @asdwddd 我以为 ZF 在你心目中是一个正直伟岸的形象;那本书是新闻界人士写的,写的只是我国媒体的现实运行方式,看完会让对很多当代事件有全新的认识

    那些问题取决于阿里的红色股东有多大力量
    t6attack
        63
    t6attack  
       2017-05-31 21:17:31 +08:00
    我也认为是源作者判断错误。虚拟主机、VPS、云主机,在宿主机面前,本身就是全透明的。
    人家要拿数据、要监控内容,可以直接拷贝、扫描整个硬盘,没必要费劲搞这些。
    mingyun
        64
    mingyun  
       2017-05-31 22:53:39 +08:00
    吃瓜群众到场
    580a388da131
        65
    580a388da131  
       2017-05-31 22:58:51 +08:00
    @roooz 何清涟的私货太多
    wangdu2012
        66
    wangdu2012  
       2017-05-31 23:01:20 +08:00 via iPhone
    国内云,慎重
    yangff
        67
    yangff  
       2017-05-31 23:01:53 +08:00
    所以说有人 backup 了样本没?发上来看看啊?
    matthewgao
        68
    matthewgao  
       2017-06-01 09:14:31 +08:00 via iPhone
    阿里云怎么会用 snort... 开玩笑
    jinhan13789991
        69
    jinhan13789991  
       2017-06-01 09:27:28 +08:00
    经证实属实,亲爱的用户,恭喜您得到我公司为您特别定制的 1000W/年的专业定制化云主机套餐一份,套餐包含以下内容:双核 512M 内存,2G 云硬盘。请您尽快激活使用。
    激活后发现:带宽为 0,想用还要花钱买带宽。
    Hozzz
        70
    Hozzz  
       2017-06-01 09:33:43 +08:00
    @t6attack 如果进程监控,可以实时获取数据,方便快捷,还能知道你现在在做什么,完全没必要去做扫描硬盘麻烦事
    19zero
        71
    19zero  
       2017-06-01 09:59:43 +08:00
    关于数据安全保护的声明

    今天有客户反映,使用阿里云服务器部署爬虫业务时发现网络连接不稳定的现象,怀疑可能是 gshelld、aliyun-service、Aegis、Snort 四个程序导致的。

    我们在此郑重声明:阿里云的所有程序不会查看客户的密钥和服务器证书,也不会检测客户服务器的端口流量数据。

    gshelld、aliyun-service 和 Aegis 是阿里云镜像自带的程序。其中,gshelld 是 ECS 上 XEN 自有的一个开源程序,主要负责 XEN 上面虚拟机的初始化、管控等功能; aliyun-service 是阿里云 KVM 平台 ECS 虚拟机配置进程,是 qemu 的一个开源模块,主要负责 KVM 上面的虚拟机的初始化功能;

    Aegis 包括 AliYunDun 和 AliYunDunUpdate 两个进程,主要负责安全防御和安骑士升级更新。

    客户提及的四个进程中,Snort 并不是阿里云官方镜像默认的程序,而是一款常用的开源入侵检测软件,建议客户查看 Snort 规则配置是否影响爬虫服务。

    阿里云一直将保护客户数据隐私和数据安全视作生命线。未经客户授权,阿里云绝不会擅自查看客户敏感数据,包括但不限于端口流量,私钥、PKI 关键密文等。

    我们相信,透明的沟通是信任的基石。关于数据安全,我们欢迎一切形式的质询。

    阿里云

    5 月 31 日
    ——————————————————————
    楼上有句话说的对,阿里云真的想要看你的数据、监控内容,直接扫整个硬盘就行了,没必要费劲搞这些。
    Reign
        72
    Reign  
       2017-06-01 10:35:08 +08:00
    抛开问题,你咋删帖?我很想知道
    nodeath
        73
    nodeath  
       2017-06-01 11:06:21 +08:00
    抛开问题,你咋删帖?我很想知道 ls+1
    zieglar
        74
    zieglar  
       2017-06-01 12:22:47 +08:00
    楼主不要乱立 flag
    stevele
        75
    stevele  
    OP
       2017-06-01 15:08:33 +08:00
    @Reign
    @nodeath
    @zieglar 你们都没有被找过吧,找过以后你们就知道了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3241 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 41ms · UTC 12:21 · PVG 20:21 · LAX 04:21 · JFK 07:21
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.