愛與恨,罪與罰,淺談互聯(lián)網(wǎng)金融的安全隱患
那些年,我嘗過的互聯(lián)網(wǎng)的鮮
我是一個數(shù)據(jù)庫安全從業(yè)者,盡管每天會聽到、看到、處理該領(lǐng)域相關(guān)的安全事件,但基于僥幸心理,從概率角度來推斷,從未想過,從未發(fā)生過,這種事情真的會落到自己的頭上。盡管我每天有數(shù)通電話是來自各種銀行擔(dān)保、投資理財、外匯交易,但這些,都沒有能夠足夠觸動到我那根敏感的神經(jīng),直到一個與往常一樣的下午,這件事的發(fā)生……
我同時是一個互聯(lián)網(wǎng)模式的擁躉,各種與此相關(guān)的新鮮事務(wù),最新應(yīng)用,我都會勇于去嘗試,期間不吝惜提供個人相關(guān)信息,這些信息包括,姓名、電話、郵箱,甚至與此關(guān)聯(lián)的身份證號碼(用過手機(jī)銀行的都知道,不提供是無法享受其服務(wù)的),誰知道呢?即使我不說,聚集了一些字段后,按照現(xiàn)在大數(shù)據(jù)身份識別分析技術(shù),恐怕早已經(jīng)能夠智能解決“我是誰“這個哲學(xué)領(lǐng)域的復(fù)雜問題,而在現(xiàn)實身份認(rèn)證中,關(guān)于“我是誰”早已迎刃而解。
手機(jī)銀行一出,我被深深吸引。直接手機(jī)下載App,我對這種方式,贊不絕口,屢試不爽,工資第一時間查看,理財線上操作,轉(zhuǎn)賬分分鐘的事情,不用排大隊,不用看四大行姑娘們養(yǎng)尊處優(yōu)的臉色。緊接著,互聯(lián)網(wǎng)金融來了,別忘了,我是個互聯(lián)網(wǎng)的擁躉,自然不會錯過嘗鮮的機(jī)會,于是宜人貸、盈盈理財?shù)雀髀稟PP被我嘗試了個遍。這些信息,都是需要身份證信息的,我統(tǒng)統(tǒng)貢獻(xiàn)出來,相信金融行業(yè)各家銀行保險機(jī)構(gòu)的安全性。直到有一天,一連串的來電詢問,我整個人都毛了。
自作孽,不可活,終于攤上事兒了
就在近期,7月的一個下午,準(zhǔn)確時間16點10分,我收到一封郵件,以我個人名義的注冊的一個外匯金融交易賬號注冊成功,且姓名、電話、郵箱地址完全吻合。本故事毫無虛構(gòu),完全真實,有圖有真相。接下來,在每一個時間點,奇妙的事情均在發(fā)生,而我的小心臟,也逐步加速跳動。
接著,第二封郵件來襲,這次是獲取到金融賬戶登陸名密碼信息。
緊接著4分鐘后,接到金融外匯公司的客服來電,但前兩次均因不明電話而未接聽。
2分鐘過后,郵件繼續(xù)追剿,金融外匯機(jī)構(gòu)請求我與其聯(lián)系。
當(dāng)日下午18點31分,因為對方多次來電,我便接聽了電話。客服詢問我是否為我本人,手機(jī)號是本人么,是不是在今天的幾點幾分用什么郵箱賬號進(jìn)行過怎樣的操作。這通電話中的一系列問題完成后,嚇了自己一身冷汗。對方的專業(yè),直覺告訴我她不是個騙子,而且經(jīng)我的核實確認(rèn)后,發(fā)現(xiàn)不是本人操作,直接消除了此賬號,未能有更進(jìn)一步實際操作。這個詢問過程結(jié)束了,我的聯(lián)想并未結(jié)束,關(guān)聯(lián)此前在銀行留下的諸多信息,開通過的諸多互聯(lián)網(wǎng)賬號,哪一個都綁著我的錢袋子,怎能不擔(dān)憂?
整個事件,我的個人信息暴露無遺,在我毫不知情的情況下,被動完成了外匯交易平臺注冊全過程,如果沒有人工核實校驗環(huán)節(jié),以我名義被注冊的賬號,將開展系列交易動作,很可能還會和我現(xiàn)有的銀行賬戶掛鉤,那么這個平臺下所產(chǎn)生的交易盈虧,均將和我的賬戶做對應(yīng)。或者我馬虎一些,直接對該賬戶進(jìn)行存款操作,對方直接可獲漁翁之利。
站在數(shù)據(jù)庫安全行業(yè)的肩頭眺望
上文提到了,我是一個數(shù)據(jù)庫安全從業(yè)者,我們每天會面對銀行、保險、基金、互聯(lián)網(wǎng)金融各類企業(yè)用戶,在金融領(lǐng)域整體信息化建設(shè)的過程中,信息安全建設(shè)緊隨其后,但是黑客的能力也是在不斷進(jìn)步的,而且系統(tǒng)越復(fù)雜,自身的漏洞也會越多,漏洞越多伴隨著的是黑客的攻擊手段也會越來越多。傳統(tǒng)的安全防護(hù)思維已經(jīng)無法適應(yīng)現(xiàn)在安全態(tài)勢的發(fā)展,原有部署的防病毒、網(wǎng)關(guān)類基礎(chǔ)安全產(chǎn)品,已經(jīng)不足以抵御愈變愈復(fù)雜的攻擊行為。這就好比我們把財富放在家里,就覺得相對安全了,然后你把家里的防盜門裝好,便認(rèn)為家里的東西本身就不需要再做什么安全措施了。這就好比數(shù)據(jù)庫都是放到企業(yè)內(nèi)部或者內(nèi)網(wǎng)當(dāng)中,在外圍加上防火墻,再加一些控制就變得很安全了。實際上這個是遠(yuǎn)遠(yuǎn)不足夠的,就拿銀行的內(nèi)部系統(tǒng)來看,第一個就是內(nèi)部很多第三方開發(fā)人員,他們可以直接訪問數(shù)據(jù)庫,有一些好一點,弄一個測試庫,但是測試庫又與真實數(shù)據(jù)庫中的數(shù)據(jù)相同,實際上在這種情況下數(shù)據(jù)庫中的數(shù)據(jù)是可以直接被開發(fā)人員拿走的;第二種情況就是運(yùn)維人員,銀行內(nèi)部大多也沒有足夠的運(yùn)維人員,運(yùn)維也是外包服務(wù),這就造成外部的運(yùn)維人員可以直接接觸到系統(tǒng)的生產(chǎn)庫,所以這些外部的運(yùn)維人員是可以直接把數(shù)據(jù)庫中的數(shù)據(jù)拿走的。另外還有一些更可笑的,有一年,香港花旗銀行做裝修,裝修過程中由于安全防護(hù)沒做好,數(shù)據(jù)庫服務(wù)器丟了。數(shù)據(jù)庫服務(wù)器丟失以后,實際上后端的那些數(shù)據(jù)存儲是完全有手段還原成明文的。那個時候數(shù)據(jù)自身的一些防護(hù)措施已經(jīng)不起作用了,花旗銀行的所有客戶資料都泄露了。
新興的互聯(lián)網(wǎng)金融業(yè),多金,多用戶,更是在忙著業(yè)務(wù),忙著系統(tǒng)如何快速支撐和運(yùn)轉(zhuǎn),對安全問題的重視程度并不是第一位考慮的因素,但站在個人用戶的角度,風(fēng)險低、安全才是第一前提,然后才是如何在安全基礎(chǔ)上財務(wù)增值。從數(shù)據(jù)存儲的介質(zhì)來看,核心數(shù)據(jù)最終都會落到數(shù)據(jù)庫里,如果數(shù)據(jù)庫被顛覆了,一切歸零,對于互聯(lián)網(wǎng)金融企業(yè)來講,損失不可預(yù)估。因此說,安全是一個水桶原理,往往是從最短板的地方流出,那么現(xiàn)在發(fā)生的信息泄露事件90%以上都和數(shù)據(jù)庫有關(guān),數(shù)據(jù)庫安全這塊最短的木桶短板,在互聯(lián)網(wǎng)金融這個新興領(lǐng)域仍不可忽視。
數(shù)據(jù)庫安全這個領(lǐng)域,因為新,因為尚未形成網(wǎng)絡(luò)安全同等的市場規(guī)模,業(yè)內(nèi)基本的認(rèn)知還停留在數(shù)據(jù)庫安全審計與防護(hù),目前市面上被認(rèn)知較多、用戶接受度較高較多的也是數(shù)據(jù)庫審計產(chǎn)品,該類事后追蹤審計產(chǎn)品確實在金融行業(yè)應(yīng)用較多,但從安全防護(hù)的過程來看,數(shù)據(jù)庫安全同樣包含事前的數(shù)據(jù)庫安全體檢、事中的數(shù)據(jù)庫安全訪問控制防御、庫內(nèi)數(shù)據(jù)的加密和事后的行為監(jiān)測與審計。而事后的追溯反映,快也要3到6個月,企業(yè)才會知道,而散落在外面的數(shù)據(jù),在這個時間里,不知道已經(jīng)被傳閱和販賣了多少次了。因此,事前的防御和事中的過程控制不可或缺。通常數(shù)據(jù)庫防火墻和數(shù)據(jù)路加密產(chǎn)品,可以解決此類問題。
現(xiàn)在訪問數(shù)據(jù)的途徑變多了,那么在系統(tǒng)中留下的后門和竊取數(shù)據(jù)的途徑也變多了,用戶數(shù)據(jù)的價值增大了,所以現(xiàn)在數(shù)據(jù)泄露事件頻發(fā)也是一個必然的現(xiàn)象,數(shù)據(jù)庫安全也在逐漸被企業(yè)提高維護(hù)意識。企業(yè)的安全意識在提高,涉及到個人的隱私信息,更是需要嚴(yán)格保密。真正讓用戶在享受互聯(lián)網(wǎng)金融便捷服務(wù)的同時,感到安心。
