受访者:lion_00本名林鹏,先后在酷六、当当、网信金融任职,负责过酷六的内网信息安全、当当和网信金融的公司整体安全。2015年上半年,他加入万达电商,负责万达包括电商、金融业务在内的整体安全体系建设和日常信息安全维护。
2014年伊始,由于国家政策转向利好,互联网金融尤其是P2P网络借贷产品呈现爆发式增长。许多一直关注互联网金融而又害怕政策风险的企业和金融巨头纷纷推出自己的P2P网贷产品。
据《北京商报》2014年报道,几乎多数P2P平台都遭受过黑客的攻击,只不过不少攻击并未曝光,其统计至2013年末公开数据显示,有70家P2P平台因遭遇黑客袭击而关门。而国内众多银行P2P业务站点更是安全漏洞频发。如何保护用户资金以及数据安全,保障对外服务的高可用性,成了横亘在P2P网贷乃至互联网金融从业者心头的难题。
在当当网,林鹏是国内最早一批公司内部组建安全团队的领头人;在网信金融(旗下有P2P网贷、众筹等多项金融业务),他带领团队见证了国内互联网金融风生水起与安全危机并存的2014年。
互联网金融的安全挑战
互联网金融对安全的要求比电商要高得多,这从攻击者的水准就能很容易看出来。“我们碰到的攻击者大多有着专业级别的水准,相比之下之前在电商可能更偏向传统的小黑客。”林鹏曾发现公司有一部分机器疑似被用0day(该漏洞2周才公布)入侵,攻击者给机器编号,完全是要做持久性的控制。所用RootKit都是多进程守护,杀死一个进程会触发另一个进程继续监控,这并不像传统小黑客挂一个Webshell就完事的做法。
对于从电商跳到互联网金融领域的林鹏而言,最大挑战来自用户帐号丢失问题。当当的帐号上基本上不存钱或者不会有很多钱,而网信金融上的投资者帐号则是大量的真金白银,对用户而言意义完全不同。其次是DDoS,电商可能很少遇到,但互联网金融几乎家家都会遇到。
另外还有一些电商不太会碰到的问题,比如黄牛党、红包套现、人工打码平台的对抗、以及猪八戒等任务交易平台等。
互联网金融安全的原始手段
互联网金融是一个比较新的领域。国内众所周知的首推支付宝的“余额宝”,然后各种“宝”、P2P、众筹才开始慢慢火起来。此前的人人贷、宜信,都没有进入大众视野。余额宝之后,互联网金融安全才慢慢重要起来。
谈到银行安全,我们用到最多的是U盾和网银插件。那互联网金融用什么来保障安全呢?标配的是HTTPS加密和支付密码,不过这还不够。
对P2P网贷产品而言,保障资金安全的绝招是同卡进出。即不管你拿这张卡投了多少钱,最后的收益都回到投的卡上。如果说要中途换卡,你需要经过一些很原始的手段,比如人工审核照片,照一张一手拿身份证、一手拿银行卡,还需要露出来脸的照片上传给平台。这对于用户而言可能有些麻烦,但它却是当下最有效的措施之一。
同卡进出只能保障资金不丢失,如果帐号被盗用,攻击者恶搞式地投一些长期项目,变相”冻结“帐号资金。再加上某些公司业务激进,做了其它资金出口,比如电商业务,那同卡进出也无能为力。
“HTTPS是一种形同虚设的安全措施”
如上所述,互联网金融产品的安全标配是HTTPS加密。但HTTPS真的安全吗?林鹏表示:“对我们这类做安全的人来说,HTTPS已经等同于不安全。如果说要劫持一个HTTPS,尤其是局域网有问题或者小区运营商捣鬼,完全没什么问题,它形同虚设。”而这还没谈及OpenSSL组件近两年频频曝出可窃听漏洞的严峻现状。
林鹏认为比较适宜的一种宣传方式,是告知用户个人信息、资金以及借贷方风控三方面的安全措施。比如网贷的用户都拥有不少资金,那么身份证、银行卡、手机号等私人信息可以部分马赛克,即使帐号被盗也不会泄露;资金则是同卡进出、用户行为监控体系等;借贷方风控要看这家公司的具体征信体系,技术范畴很难解决。
还有令人大跌眼镜的案例,某网贷平台为了表示自身交易透明,把员工工作现场在公网上实况直播,后来某白帽子以为是漏洞报告到乌云网。
如果3秒前用户数据库被拖
数据库被拖的案例数不胜数,一旦发现常规做法是敦促或强制所有用户更改密码。林鹏的建议更粗暴激进,如果在电商公司,会对所有留有余额的帐号进行冻结,需电话人工解封。这样虽麻烦,但至少可以保障用户资金安全。
网贷产品稍好,由于同卡进出功能的存在,资金至少不会损失,但要求所有用户更改密码是必要的。当然这个过程会配合用户行为监控体系,以避免改密码时的二次攻击。其次是对期间资金操作的可撤销,免除用户遭受不必要的资金“冻结”。再其次还有前面提到的私人信息加密和打马赛克。
林鹏在分享中多次提及,目前许多防护手段都还比较原始,需要人工确认。那真正现代化的手段是什么呢?他认为是“用户行为监控体系”。用户、时间、环境、操作行为、操作对象等构成一位用户的一次行为指纹,用户换操作系统、浏览器、IP地址、非常见时间投资、非常见链接操作等等都会被记录下来。通过上述用户画像,在P2P平台很常见的黄牛党,就可以在用户验真环节被有效鉴别。
如果你对如何打击黄牛党感兴趣,或者想了解用户行为监控体系如何确定宽与严的界限,2015年7月17~18日,台湾著名黑客大会HITCON将来到北京,与著名漏洞平台乌云网联合举办乌云第二届“白帽子大会”。这是HITCON会议在创办十年来第一次走出台湾。另外,本次乌云白帽子大会还引入了HITCON的经典环节“算命摊”。台湾和大陆的两代知名黑客与资深信息安全人士如HITCON创始人TT、乌云创始人剑心、Ucloud创始人季昕华、阿里巴巴副总裁杜跃进博士、IBM安全系统首席架构师李承达等,以及知名自媒体人池建强将参与该活动。