微信号:infoqchina

介绍:有内容的技术社区媒体

网络安全|万达电商安全主任工程师这样说“安全”,你的思考呢?

2015-06-30 12:38 魏星

2014年伊始,由于国家政策转向利好,互联网金融尤其是P2P网络借贷产品呈现爆发式增长。许多一直关注互联网金融而又害怕政策风险的企业和金融巨头纷纷推出自己的P2P网贷产品。


据《北京商报》2014年报道,几乎多数P2P平台都遭受过黑客的攻击,只不过不少攻击并未曝光,其统计至2013年末公开数据显示,有70家P2P平台因遭遇黑客袭击而关门。而国内众多银行P2P业务站点更是安全漏洞频发。如何保护用户资金以及数据安全,保障对外服务的高可用性,成了横亘在P2P网贷乃至互联网金融从业者心头的难题。

互联网金融的安全挑战


互联网金融对安全的要求比电商要高得多,这从攻击者的水准就能很容易看出来。“我们碰到的攻击者大多有着专业级别的水准,相比之下之前在电商可能更偏向传统的小黑客。”林鹏曾发现公司有一部分机器疑似被用0day(该漏洞2周才公布)入侵,攻击者给机器编号,完全是要做持久性的控制。所用RootKit都是多进程守护,杀死一个进程会触发另一个进程继续监控,这并不像传统小黑客挂一个Webshell就完事的做法。

对于从电商跳到互联网金融领域的林鹏而言,最大挑战来自用户帐号丢失问题。当当的帐号上基本上不存钱或者不会有很多钱,而网信金融上的投资者帐号则是大量的真金白银,对用户而言意义完全不同。其次是DDoS,电商可能很少遇到,但互联网金融几乎家家都会遇到。

另外还有一些电商不太会碰到的问题,比如黄牛党、红包套现、人工打码平台的对抗、以及猪八戒等任务交易平台等。

互联网金融安全的原始手段


互联网金融是一个比较新的领域。国内众所周知的首推支付宝的“余额宝”,然后各种“宝”、P2P、众筹才开始慢慢火起来。此前的人人贷、宜信,都没有进入大众视野。余额宝之后,互联网金融安全才慢慢重要起来。

谈到银行安全,我们用到最多的是U盾和网银插件。那互联网金融用什么来保障安全呢?标配的是HTTPS加密和支付密码,不过这还不够。

对P2P网贷产品而言,保障资金安全的绝招是同卡进出。即不管你拿这张卡投了多少钱,最后的收益都回到投的卡上。如果说要中途换卡,你需要经过一些很原始的手段,比如人工审核照片,照一张一手拿身份证、一手拿银行卡,还需要露出来脸的照片上传给平台。这对于用户而言可能有些麻烦,但它却是当下最有效的措施之一。

同卡进出只能保障资金不丢失,如果帐号被盗用,攻击者恶搞式地投一些长期项目,变相”冻结“帐号资金。再加上某些公司业务激进,做了其它资金出口,比如电商业务,那同卡进出也无能为力。

HTTP是一种形容虚设的安全措施


如上所述,互联网金融产品的安全标配是HTTPS加密。但HTTPS真的安全吗?林鹏表示:“对我们这类做安全的人来说,HTTPS已经等同于不安全。如果说要劫持一个HTTPS,尤其是局域网有问题或者小区运营商捣鬼,完全没什么问题,它形同虚设。”而这还没谈及OpenSSL组件近两年频频曝出可窃听漏洞的严峻现状。

林鹏认为比较适宜的一种宣传方式,是告知用户个人信息、资金以及借贷方风控三方面的安全措施。比如网贷的用户都拥有不少资金,那么身份证、银行卡、手机号等私人信息可以部分马赛克,即使帐号被盗也不会泄露;资金则是同卡进出、用户行为监控体系等;借贷方风控要看这家公司的具体征信体系,技术范畴很难解决。

还有令人大跌眼镜的案例,某网贷平台为了表示自身交易透明,把员工工作现场在公网上实况直播,后来某白帽子以为是漏洞报告到乌云网。

如果3秒前用户数据库被拖


数据库被拖的案例数不胜数,一旦发现常规做法是敦促或强制所有用户更改密码。林鹏的建议更粗暴激进,如果在电商公司,会对所有留有余额的帐号进行冻结,需电话人工解封。这样虽麻烦,但至少可以保障用户资金安全。

网贷产品稍好,由于同卡进出功能的存在,资金至少不会损失,但要求所有用户更改密码是必要的。当然这个过程会配合用户行为监控体系,以避免改密码时的二次攻击。其次是对期间资金操作的可撤销,免除用户遭受不必要的资金“冻结”。再其次还有前面提到的私人信息加密和打马赛克。


专家介绍


lion_00本名林鹏,先后在酷六、当当、网信金融任职,负责过酷六的内网信息安全、当当和网信金融的公司整体安全。2015年上半年,他加入万达电商,负责万达包括电商、金融业务在内的整体安全体系建设和日常信息安全维护。


林鹏在分享中多次提及,目前许多防护手段都还比较原始,需要人工确认。那真正现代化的手段是什么呢?他认为是“用户行为监控体系”。用户、时间、环境、操作行为、操作对象等构成一位用户的一次行为指纹,用户换操作系统、浏览器、IP地址、非常见时间投资、非常见链接操作等等都会被记录下来。通过上述用户画像,在P2P平台很常见的黄牛党,就可以在用户验真环节被有效鉴别。



做行业中的KOL,也许下一个就说你!

很多时候,真理是在被质疑中诞生的。


网络安全工程师除了保证正常工作,混迹各技术论坛学习提升外,还得防火防盗防黑客;用户真正关心的是我的密码都在被谁知道?我的钱放在你们那儿真的安全?万物互联时代如何保障信息安全,以减少事故发生,取得用户信赖?


对林鹏的观点,你有什么想说?对于互联网金融安全,你有什么真知灼见?


点击“评论”,亮出你的声音!我们一直在寻找的技术人中的KOL,也许就是你!聊聊|有颜值,就不拼,只求和你谈谈心,点击文字可进入文章了解InfoQ技术意见领袖养成计划。



回复关键词查看对应内容:

React | 架构师 | 运维 | 云 | 开源 | Kubernetes | 架构 | 人工智能 | Kafka | Docker | Netty | CoreOS | QCon | Github | Swift | 敏捷 | 语言 | 程序员 | 实践 | 物联网 |




版权及转载声明:

极客邦科技专注为技术人提供优质内容传播。尊重作者、译者、及InfoQ网站编辑的劳动,所有内容仅供学习交流传播,不支持盗用。未经许可,禁止转载。若转载,需予以告知,并注明出处。


【号外】

极客邦科技官方顶级账号已开通,关注极客资讯,引领技术潮流,新鲜有温度,专业有态度的技术人社区。更多精彩内容,动动手指,长按二维码自动识别即可获取关注。您也可以搜索“geekbang01”手动获取。

关于“geekbang01”,我们还在成长,希望有更多有极客精神有专业有态度的技术人来共同浇灌,一起茁壮。


 
InfoQ 更多文章 Facebook如何实现PB级别数据库自动化备份 学术派Google软件工程师Matt Welsh谈移动开发趋势 Spotify为什么要使用一些“无聊”的技术? 妹纸们放假了,汉纸们做啥? 大多数重构可以避免
猜您喜欢 Mysql max_allowed_packet 被修改设置为1GB或者1024B原因 Android逆向之旅---解析编译之后的AndroidManifest文件格式 React Native: 配置和起步 HDFS NameNode内存全景 Debian 创始人 Ian Murdock 先生去世