11 月 19 - 20 日 Apache Pulsar 社区年度盛会来啦,立即报名! 了解详情
写点什么

林鹏:HTTPS≠安全,互联网金融产品要当心

  • 2015-06-28
  • 本文字数:2352 字

    阅读完需:约 8 分钟

2014 年伊始,由于国家政策转向利好,互联网金融尤其是 P2P 网络借贷产品呈现爆发式增长。许多一直关注互联网金融而又害怕政策风险的企业和金融巨头纷纷推出自己的 P2P 网贷产品。

据《北京商报》2014 年报道,几乎多数P2P 平台都遭受过黑客的攻击,只不过不少攻击并未曝光,其统计至2013 年末公开数据显示,有70 家P2P 平台因遭遇黑客袭击而关门。而国内众多银行P2P 业务站点更是安全漏洞频发。如何保护用户资金以及数据安全,保障对外服务的高可用性,成了横亘在P2P 网贷乃至互联网金融从业者心头的难题。

当当网,林鹏是国内最早一批公司内部组建安全团队的领头人;在网信金融(旗下有P2P 网贷、众筹等多项金融业务),他带领团队见证了国内互联网金融风生水起与安全危机并存的2014 年。

互联网金融的安全挑战

互联网金融对安全的要求比电商要高得多,这从攻击者的水准就能很容易看出来。“我们碰到的攻击者大多有着专业级别的水准,相比之下之前在电商可能更偏向传统的小黑客。”林鹏曾发现公司有一部分机器疑似被用0day(该漏洞2 周才公布)入侵,攻击者给机器编号,完全是要做持久性的控制。所用RootKit 都是多进程守护,杀死一个进程会触发另一个进程继续监控,这并不像传统小黑客挂一个Webshell 就完事的做法。

对于从电商跳到互联网金融领域的林鹏而言,最大挑战来自用户帐号丢失问题。当当的帐号上基本上不存钱或者不会有很多钱,而网信金融上的投资者帐号则是大量的真金白银,对用户而言意义完全不同。其次是DDoS,电商可能很少遇到,但互联网金融几乎家家都会遇到。

另外还有一些电商不太会碰到的问题,比如黄牛党、红包套现、人工打码平台的对抗、以及猪八戒等任务交易平台等。

互联网金融安全的原始手段

互联网金融是一个比较新的领域。国内众所周知的首推支付宝的“余额宝”,然后各种“宝”、P2P、众筹才开始慢慢火起来。此前的人人贷、宜信,都没有进入大众视野。余额宝之后,互联网金融安全才慢慢重要起来。

谈到银行安全,我们用到最多的是U 盾和网银插件。那互联网金融用什么来保障安全呢?标配的是HTTPS 加密和支付密码,不过这还不够。

对P2P 网贷产品而言,保障资金安全的绝招是同卡进出。即不管你拿这张卡投了多少钱,最后的收益都回到投的卡上。如果说要中途换卡,你需要经过一些很原始的手段,比如人工审核照片,照一张一手拿身份证、一手拿银行卡,还需要露出来脸的照片上传给平台。这对于用户而言可能有些麻烦,但它却是当下最有效的措施之一。

同卡进出只能保障资金不丢失,如果帐号被盗用,攻击者恶搞式地投一些长期项目,变相”冻结“帐号资金。再加上某些公司业务激进,做了其它资金出口,比如电商业务,那同卡进出也无能为力。

“HTTPS 是一种形同虚设的安全措施”

如上所述,互联网金融产品的安全标配是HTTPS 加密。但HTTPS 真的安全吗?林鹏表示:“对我们这类做安全的人来说,HTTPS 已经等同于不安全。如果说要劫持一个HTTPS,尤其是局域网有问题或者小区运营商捣鬼,完全没什么问题,它形同虚设。”而这还没谈及 OpenSSL 组件近两年频频曝出可窃听漏洞的严峻现状。

林鹏认为比较适宜的一种宣传方式,是告知用户个人信息、资金以及借贷方风控三方面的安全措施。比如网贷的用户都拥有不少资金,那么身份证、银行卡、手机号等私人信息可以部分马赛克,即使帐号被盗也不会泄露;资金则是同卡进出、用户行为监控体系等;借贷方风控要看这家公司的具体征信体系,技术范畴很难解决。

还有令人大跌眼镜的案例,某网贷平台为了表示自身交易透明,把员工工作现场在公网上实况直播,后来某白帽子以为是漏洞报告到乌云网。

如果 3 秒前用户数据库被拖

数据库被拖的案例数不胜数,一旦发现常规做法是敦促或强制所有用户更改密码。林鹏的建议更粗暴激进,如果在电商公司,会对所有留有余额的帐号进行冻结,需电话人工解封。这样虽麻烦,但至少可以保障用户资金安全。

网贷产品稍好,由于同卡进出功能的存在,资金至少不会损失,但要求所有用户更改密码是必要的。当然这个过程会配合用户行为监控体系,以避免改密码时的二次攻击。其次是对期间资金操作的可撤销,免除用户遭受不必要的资金“冻结”。再其次还有前面提到的私人信息加密和打马赛克。

林鹏在分享中多次提及,目前许多防护手段都还比较原始,需要人工确认。那真正现代化的手段是什么呢?他认为是“用户行为监控体系”。用户、时间、环境、操作行为、操作对象等构成一位用户的一次行为指纹,用户换操作系统、浏览器、IP 地址、非常见时间投资、非常见链接操作等等都会被记录下来。通过上述用户画像,在 P2P 平台很常见的黄牛党,就可以在用户验真环节被有效鉴别。

如果你对如何打击黄牛党感兴趣,或者想了解用户行为监控体系如何确定宽与严的界限,2015 年 7 月 17~18 日,台湾著名黑客大会 HITCON 将来到北京,与著名漏洞平台乌云网联合举办乌云第二届“白帽子大会”。这是HITCON 会议在创办十年来第一次走出台湾。另外,本次乌云白帽子大会还引入了HITCON 的经典环节“算命摊”。台湾和大陆的两代知名黑客与资深信息安全人士如HITCON 创始人TT、乌云创始人剑心、Ucloud 创始人季昕华、阿里巴巴副总裁杜跃进博士、IBM 安全系统首席架构师李承达等,以及知名自媒体人池建强将参与该活动。

关于受访者

lion_00本名林鹏,先后在酷六、当当、网信金融任职,负责过酷六的内网信息安全、当当和网信金融的公司整体安全。2015 年上半年,他加入万达电商,负责万达包括电商、金融业务在内的整体安全体系建设和日常信息安全维护。


感谢魏星对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群)。

2015-06-28 02:403488

评论

发布
暂无评论
发现更多内容

适合 Kubernetes 初学者的一些实战练习(一)

Jerry Wang

云原生 #Kubernetes# Kubernetes 集群 Serverless Kubernetes 3月月更

什么是分支模式 ? 各(类)分支正确的使用方式

阿里云云效

云计算 阿里云 云原生 Feature 分支模式

css

wudaxue

Java中的序列化安全漏洞梳理

陈德伟

Java 安全 编程语言、 序列化机制

AppCube低代码快速开发健康打卡应用

DS小龙哥

3月月更

一文了解MySQL的Buffer Pool

华为云开发者联盟

MySQL 缓存 缓冲池 Buffer Pool 脏页

企业和团队如何创建高效实用的知识管理体系

小炮

知识管理 企业

常见的反爬措施:UA反爬和Cookie反爬

华为云开发者联盟

Python 爬虫 Python爬虫 反爬虫 Cookie反爬虫

模块六作业-拆分电商系统为微服务

浪飞

关于技术团队的考核(24/100)

hackstoic

技术管理

表数据都删了一半,可我的表文件咋还是那么大

华为云开发者联盟

MySQL 文件 innodb 数据页

实时渲染大赛结果将于3月31日晚8点B站直播公布,敬请期待!

3DCAT实时渲染

实时渲染 3D动画

《LeetCode刷题报告》题解内容Ⅰ

謓泽

3月月更

大数据培训Hive 提高查询效率的方法

@零度

hive 大数据开发

重学架构之拆分电商系统为微服务

陈华英

架构实战营

浏览器原理

wudaxue

ABAP 简易弹出输出/输入框

Jasen Ye

Input abap decide CONFIRM

【前端架构必备】手摸手带你搭建一个属于自己的脚手架

战场小包

前端 脚手架 3月月更

电商系统微服务拆分

Geek_8d5fe5

「架构实战营」

【高并发】解密导致并发问题的第二个幕后黑手——原子性问题

冰河

并发编程 多线程 协程 异步编程 精通高并发系列

go 1.18 bufio 包中的 Writer.AvailableBuffer

Richard

go 1.18 Writer.AvailableBuffer

Ant Design Landing

云原生

SaaS React Ant Design Landing page

AliSSR 语音超分算法:让在线会议语音更明亮更自然

阿里云视频云

阿里云 音视频 智能降噪 音频3A 音频算法

洞见科技参编的中国信通院《联邦学习场景应用研究报告》正式发布

洞见科技

联邦学习 隐私计算 中国信通院 洞见科技

适合 Kubernetes 初学者的一些实战练习(二)

Jerry Wang

Kubernetes 云原生 Kubernetes 集群 Serverless Kubernetes 3月月更

java培训JVM面试题分享

@零度

JVM JAVA开发

教你识别一些sequence的相关问题

华为云开发者联盟

序列 GaussDB(DWS) sequence GTM bind关系

web前端培训使用 Vue3来实现文章目录功能

@零度

Vue 前端开发

Vue

wudaxue

时间轮原理及其在框架中的应用

vivo互联网技术

服务器 时间轮

面试突击34:如何使用线程池执行定时任务?

王磊

java面试

林鹏:HTTPS≠安全,互联网金融产品要当心_安全_王彪_InfoQ精选文章