首页 » 漏洞 » 林鹏:只会说“HTTPS=安全”的都不懂安全

林鹏:只会说“HTTPS=安全”的都不懂安全

 

2014年伊始,由于国家政策转向利好,互联网金融尤其是P2P网络借贷产品呈现爆发式增长,许多一直关注互联网金融而又害怕政策风险的企业和金融巨头纷纷进入,推出自己的P2P网贷产品。

不过在这类产品风生水起时,安全也成了一个避不开的话题。《北京商报》2014年报道称,几乎多数P2P平台都遭受过黑客的攻击,只不过不少攻击并未曝光,其统计至2013年末公开数据显示,有70家P2P平台因遭遇黑客袭击而关门。

如何保护用户资金以及数据安全,保障对外服务的高可用性,成了横亘在P2P网贷乃至互联网金融从业者心头的大难题。本期笔者邀请到2015 乌云白帽子大会的演讲嘉宾lion_00,来分享他的从业经验。

林鹏:只会说“HTTPS=安全”的都不懂安全lion_00本名林鹏,其曾先后在酷六、当当、网信金融任职,负责过酷六的内网信息安全、当当和网信金融的公司整体安全。2015年上半年,他加入万达电商,负责万达包括电商、金融业务在内的整体安全体系建设和日常信息安全维护。

林鹏的履历正切合国内互联网业务安全的发展。在当当网,他是国内最早一批公司内部组建安全团队的领头人;在网信金融(旗下有P2P网贷、众筹等多项金融业务),也是国内互联网金融风生水起与安全危机并存的2014年。

黑客的两个类别

互联网金融对安全的要求比电商要高得多,这从攻击者的水准就能很容易看出来。林鹏称:“我们碰到的攻击者大多有着专业级别的水准,相比之下之前在电商可能更偏向传统的小黑客。”一个佐证是:他曾发现有一部分机器疑似被用0day(该漏洞2周才公布)入侵后,攻击者给机器编号,完全是要做持久性的控制。而且用的RootKit都是多进程守护的,干掉一个进程它会另启一个进程来做,不像传统小黑客做法,挂一个webshell就ok了。

对于从电商跳到互联网金融领域的林鹏而言,最大挑战来自用户帐号丢失问题。当当的帐号上基本上不存钱或者不会有很多钱,而网信金融上的投资者帐号则是大量真金白银存着,对用户而言意义完全不同。其次是DDoS,电商可能很少遇到,但互联网金融几乎家家都会遇到。

另外还有些电商上不太会碰到的杂项问题,像黄牛党、发红包套现、人工打码平台的对抗、以及猪八戒等任务交易平台等,这部分后续单独再讲。

守护互联网金融安全的原始手段

互联网金融是一个比较新的领域。在国内大家可能第一个知道的是支付宝的“余额宝”,然后各种“宝”,P2P、众筹才开始慢慢火起来。这之前也有人人贷、宜信,但都没有进入大众视野。在余额宝后,互联网金融安全也慢慢伴随着起来。

谈到银行安全,我们用到最多的是U盾和网银插件。那互联网金融用什么来保障安全呢?标配是HTTPS加密和支付密码,不过这肯定不够。

对P2P网贷产品而言,保障资金安全的绝招是同卡进出。即不管你拿这张卡投了多少钱,最后的收益都会回到投的卡上。如果说要中途换卡,你需要经过一些很原始的手段,比如人工审核照片,照一张一手拿身份证、一手拿银行卡,还需要露出来脸的照片上传给平台。可能很多用户都会觉得麻烦,但它却是当下最有效的措施之一。

同卡进出只能保障资金不丢失,如果帐号被盗用,攻击者是可以恶搞式的投一些长期项目,变相”冻结“帐号资金。而且某些公司脑子比较热,还做了其它资金出口,比如电商业务,那同卡进出也没辙了。

HTTPS是一种形同虚设的安全措施

前边谈到互联网金融产品的安全标配:HTTPS加密。说来好笑,这被很多公司放在官网来证明自家很安全,有些甚至是唯一文案。

HTTPS真的安全吗?错了。林鹏表示:“对我们这类做安全的人来说,HTTPS已经等同于不安全。如果说要劫持一个HTTPS,尤其是局域网有问题或者小区运营商捣鬼,完全没什么问题,它形同虚设。”而这还没谈及OpenSSL组件近两年频频曝出可窃听漏洞的严峻现状。

他认为比较适宜的一种宣传方式,是告知用户个人信息、资金以及借贷方风控三方面的安全措施。比如网贷的用户都拥有不少资金,那么身份证、银行卡、手机号等私人信息可以部分马赛克,即使帐号被盗也不会泄露;资金则是同卡进出、用户行为监控体系等;借贷方风控要看这家公司的具体征信体系,技术范畴很难解决。

顺便讲个有趣例子,某网贷平台为了表示自身交易透明,把员工工作场合放在公网上摄像头直播,后来某白帽子以为是漏洞报告到乌云,Orz…

如果3秒前用户数据库被拖,你现在应该?

强制所有用户更改密码?林鹏的建议更粗暴激进。他称如果在电商公司,会对所有留有余额的帐号进行冻结,需电话人工解封。这样虽麻烦,但至少可以保障用户资金安全。

网贷产品稍好,由于同卡进出功能的存在,资金至少不会损失,但要求所有用户更改密码是有必要的。当然这个过程会配合用户行为监控体系,以避免改密码时的二次攻击。其次是对期间资金操作的可撤销,免除用户遭受不必要的资金“冻结”。再其次还有私人信息加密和马赛克,前边说过。

林鹏在分享中多次提及,目前许多防护手段都还比较原始,需要人工去做确认。那真正现代化的手段是什么呢?他说是“用户行为监控体系”。用户、时间、环境、操作行为、操作对象等,构成一位用户的一次行为指纹,用户换操作系统&浏览器&IP地址、非常见时间投资、非常见链接操作……都会被记录下来。在P2P平台很常见的黄牛党,就可以在用户验真环节进行预防。

如果你对办活动如何打击黄牛党感兴趣,或者还想知道用户行为监控体系如何确定宽与严的界限,林鹏在7月中旬还有场分享活动——乌云白帽子大会。大会上他将分享更为详细的真实案例,感兴趣可以去看看。

原文链接:林鹏:只会说“HTTPS=安全”的都不懂安全,转载请注明来源!

0