【51CTO.com原創(chuàng)稿件】5月12日至今，肆虐全球的WannaCry勒索病毒讓全球網(wǎng)民度過了灰暗恐慌的一周，也讓諸多普通網(wǎng)民真正意識到，網(wǎng)絡安全并非只是網(wǎng)絡公司或安全公司的事了，自己也是網(wǎng)絡安全中的一員。據(jù)了解，WannaCry勒索病毒是黑客組織“影子經(jīng)紀人”外泄的黑客工具，而該組織日前再次發(fā)出警告，將于今年6月披露更多的黑客工具，主要瞄準路由器、瀏覽器、Windows 10、或者手機！這就是說，第一波的勒索病毒主要針對Windows系統(tǒng)，而接下來的將會涉及到我們每個人的手機！

在寫文章前，我想先問一個問題：你覺得網(wǎng)絡安全距離你有多遠？

估計如果是一周前，很多人會回答說，網(wǎng)絡安全是不是網(wǎng)絡公司和安全公司的事情么，跟我有什么關系？

而現(xiàn)在，在經(jīng)歷了肆虐全球的WannaCry（想哭）勒索病毒后，相信越來越多的人開始意識到自己也是網(wǎng)絡安全中的一員！

從5月12日起，WannaCry勒索病毒迅速席卷了全球150多個國家和地區(qū)，近30萬臺電腦遭到攻擊。中國也深受其害，除了諸多個人用戶受到病毒勒索外，我國許多行業(yè)也受到極大影響，其中包括：石油、教育、公安、交通等重要領域。

病毒爆發(fā)后，各大安全廠商及技術專家紛紛獻策，針對WannaCry勒索病毒的討論和分析一直沒有停止過。各大公司內部也緊急發(fā)布了針對小白用戶的防“毒”指南！我們隨便來看兩例：

兩份提醒的最后無一例外地都在強調一件事：安全意識！

預防網(wǎng)絡風險，意識、習慣是關鍵！

云計算-恩威-成都：為了安全，不要去百度網(wǎng)盤下東西，考慮網(wǎng)盤內可能存有病毒文件。不要點擊未知的鏈接、軟件和郵件，更不要用百度網(wǎng)盤和U盤近期。

PHP-狄欽dQ-廣州：平時上網(wǎng)不要在隨意下載未知名的文件，單位很多辦公電腦以前都是各種奇怪的游戲軟件，還有360，金山，電腦管家等全家桶。辦公的人都不知道自己怎么下載來的。引來病毒也是有的事。目前特殊時期，暫時規(guī)定不能自行下載軟件，相關下載都需經(jīng)過安全檢查。設備上都做了ACL限制和終端隔離，網(wǎng)絡設備商已經(jīng)出了相關安防指導，我們總部IT和網(wǎng)絡安全部門已經(jīng)連發(fā)三封郵件了。目前沒有徹底解決方案，一旦電腦中毒要么給錢要么重裝，個人電腦可能不是特別要緊，要是服務器或重要數(shù)據(jù)被入侵那就gg了。

Java+李賽+鄭州：莫名的恐慌，小白更是會胡亂下載，下載東西習慣到官網(wǎng)下，雖然不能保證百分百。如果個人電腦中招了，重裝系統(tǒng)可以解決吧，論數(shù)據(jù)備份的重要性。

鏟屎官~項目經(jīng)理~北京：所以網(wǎng)管就把網(wǎng)站禁用了，安全教育不能少，措施也不能少，下載后檢驗md5值，雖然有點費事，但是起碼安全一丟丟。根本的問題還要自己解決。數(shù)據(jù)就悲劇了。

網(wǎng)工-sevenot-成都：對于小白用戶來說，養(yǎng)成一個良好的上網(wǎng)、使用習慣，能夠防御普遍性攻擊就足夠了。

好吧，再來看看這個國際大企業(yè)微軟針對WannaCry勒索病毒的聲明。除了告知用戶們及時添加補丁之外，在最后，也強調：

為保護我們的客戶整體生態(tài)系統(tǒng)的原則，以下原則請牢牢記住：一些常見的網(wǎng)絡攻擊經(jīng)常會通過網(wǎng)絡釣魚策略或惡意附件的方式，客戶應該提高警惕，不要輕易打開不可信或未知來源的文檔！

在網(wǎng)絡安全的世界里，沒有一款軟件是完美的，都會存在潛在的漏洞。我們不能將自己的安全完全寄托在安全工具里，只有提高自己的網(wǎng)絡安全意識，養(yǎng)成良好的上網(wǎng)習慣，做到不好奇、不亂點、及時備份，才能在病毒、黑客突襲的時候明哲保身。就像網(wǎng)友們所說的：“只有遇到類似于WannaCry勒索病毒的時候，才知道一個好的上網(wǎng)習慣是有多么重要”。

黑客為什么可以做到在無需知道源碼的情況下找出系統(tǒng)漏洞？

相信很多人都會有疑問：Windows并沒有開源，每次大規(guī)模爆發(fā)的網(wǎng)絡攻擊都和Windows漏洞有關。像這次爆發(fā)的WannaCrypt病毒，黑客為什么可以在不看源碼的情況下挖出漏洞呢？來看看我們51CTO開發(fā)者群里的小伙伴怎么說吧：

Java+李賽+鄭州：掃面開放端口，不斷傳遞數(shù)據(jù)，觀看返回數(shù)據(jù)的變化？類似暴力破解？

云計算-恩威-成都：但最主要的還是Windows，也就是微軟默許了這個行為，不然哪有安全廠商的天下。一般軟件在測試的時候，都會留下后門或者快捷鍵，Windows系統(tǒng)大，因此漏洞也就多了。打個比方，你寫10000行代碼肯定比你寫100行代碼錯誤的地方要多得多。

人非圣賢孰能無過，在編Windows的時候（還有就是開發(fā)者編程水平不是很高考慮層面不廣），或多或少的會留下漏洞，在發(fā)布后這些漏洞就會被不懷好意的人揪出來。同時，Windows為了適應各種不同的硬件，以及滿足作為PC操作系統(tǒng)的需求，他要靠大量復雜的組件去提供各種功能。Windows為了占有市場，給開發(fā)者提供的權限很大。有一種反編譯技術叫“脫殼”，幾乎沒有哪個是黑客做不到的，只要你發(fā)布補丁，就會有人利用，當然還還可以抓包分析，所以找尋某個軟件漏洞的技術和工具以及思想多了。總結來說就是以下幾點原因：

1、使用Windows的人很多，所以發(fā)現(xiàn)bug的幾率高；
2、WIndows為了面向開發(fā)者，提供了Win32API接口、framework、dll類庫，有時難免會有代碼缺陷漏洞；
3、Windows的服務、端口、策略、注冊表的依賴項很多，一旦有一方面漏洞就會影響其他的；
4、Windows很多軟件和底層的邏輯不是很嚴密；
5、微軟內部技術人員代碼泄露或者離職從事其他行業(yè)所引發(fā)的連鎖反應；
6、很多安全優(yōu)化類的軟件接管了Windows的防火墻、安全IPsec策略和殺軟功能；
7、WindowsNT內核問題，而且視窗類型的操作系統(tǒng)對硬件支持需要很多協(xié)議的一旦那個協(xié)議或者標準存在問題就會影響上層或者全局；
8、隨著編譯與反編譯、加密與解密、網(wǎng)絡等其他技術的不斷發(fā)展，各種工具軟件不斷開發(fā)出來 這樣對系統(tǒng)造成了危險；

前端-楊益達-成都：蘋果和安卓主要是應用商店的應用證書安全白名單機制，像安卓沒有root你裝下來源不明的應用也一樣能讀取和監(jiān)控你手機的大量信息。

PHP-Coeus-安徽：其實就是因為沒有開源BUG和漏洞才多的吧，就像我們前端的
不需要知道源碼也知道你ajax請求的地址和參數(shù)，然后就嘗試能不能XSS。

Android-arige-北京：其實每個平臺的漏洞都差不多，只不過window的漏洞影響面大，所以大家都知道。另外window的市場很大，更受黑客青睞，更愿意下功夫去挖它的漏洞。

研發(fā)管理-彭-深圳：脫殼是對付加密的，而且從黑盒測試中可以返現(xiàn)很多漏洞的。一般公司的測試都不看代碼，有經(jīng)驗的測試能夠發(fā)現(xiàn)很多bug，不過利用bug比如做堆棧溢出以后執(zhí)行特定代碼需要編程功力，發(fā)現(xiàn)0day的都是大牛，首先搞出某種攻擊方式的也是大牛，其他的人只要沿著這個思路不停地去嘗試攻擊系統(tǒng)，就可以找出很多漏洞了。這個不需要看源代碼，比如搞sql注入的，現(xiàn)在大把的工具給你用。
另外有些漏洞是掃街出來的,比如你給一個web服務器發(fā)送一些特定數(shù)據(jù),然后它crash了,或者出來一堆莫名其妙的輸出,說明這里有個漏洞,很可能是個溢出，然后你嘗試更改發(fā)送數(shù)據(jù),分析那里的二進制數(shù)據(jù)代碼，也許就發(fā)現(xiàn)了一個新漏洞了。

Java-勝新-大連：其實做后臺開發(fā)把代碼給代碼漏洞掃描工具掃描過一遍以后也是同樣的感覺。

勒索病毒敲響警鐘，移動支付的安全如何保障？

據(jù)了解，肆虐全球的WannaCry勒索病毒是黑客組織“影子經(jīng)紀人”外泄的黑客工具，而該組織日前再次發(fā)出警告，將于今年6月披露更多的黑客工具，主要瞄準路由器、瀏覽器、Windows 10、或者手機！這就是說，如果說第一波的勒索病毒主要是針對Windows系統(tǒng)，那么接下來的攻擊將會瞄準我們每個人的手機！這對于出門不帶現(xiàn)金，習慣了手機支付的同學們無疑是一記重擊！在黑客橫行的今天，移動支付的安全該如何保障呢？

后端接口開發(fā)-劉聲杰-成都：移動支付最需要我們做的就是關閉一些不必要的免密支付，比如取消對手機設置指紋。支付寶免密碼支付，太有安全隱患了，如果企業(yè)自己設計支付類的第三方產品，一定要考慮這些。比如通過一定的數(shù)據(jù)收集分析該用戶的消費習慣，如果發(fā)現(xiàn)有異常，就直接提醒用戶，但是分析用戶消費習慣。這個是不太好界定什么才是異常消費，因此用戶習慣才是關鍵。

51CTO-小官-運營：如果產品中涉及到支付，可以調用支付寶插件，集成接口。但是還沒有支付寶官方聲明的安全問題

PHP-Coeus-安徽：說到底，還是很久以前說過的那句話，安全著東西主要還是看人，無論預防還是攻擊，人才是最大的漏洞。互聯(lián)網(wǎng)沒有啥安全可言的，暗網(wǎng)下多少見不得人的勾當，我們現(xiàn)在使用到的互聯(lián)網(wǎng)只是整個互聯(lián)網(wǎng)的九牛一毛而已。

網(wǎng)絡&興趣：服務端Linux的安全性要比win高出很多了吧,再加上大公司一般都有很高端和齊全的安全設備在出口和專人維護,想突破還是很困難的,手機端的支付密碼也都是加密傳輸?shù)?就算被捕獲,不懂密碼學也不好破解的。

云計算-恩威-成都：移動支付方式場景劃分主要包括遠程支付和近場支付。

關于移動支付安全如何保障，我來說說我的分析思路吧！
1、移動安全現(xiàn)狀和特性是什么？（理論和現(xiàn)實）
2、影響移動支付的安全因素有那些？（保護得尋找源頭）
3、移動支付軟件的設計者、開發(fā)者和產品運營的人應當些什么？（細節(jié)和目的）

技術性保護：源碼保護、文件風險檢測、APK防止二次打包、so庫加密、dex三重保護、安全評估及處理。
社會性邏輯保護：
1. 雙重身份驗證（APP和手機驗證）
2. 使用官方應用商店的支付應用
3. 加強設備本身安全性
4. 使用信用卡而非借記卡
5. 使用可信任的因特網(wǎng)連接
6. 設置賬戶更改警報
7. 確定轉賬人信息
8.必要時不定期修改密碼

遠程支付中，終端APP多通過TLS/SSL協(xié)議完成用戶和遠程服務器間的網(wǎng)絡安全連接，通過數(shù)字證書實現(xiàn)雙端身份認證，并使用協(xié)商的對稱會話密鑰對后續(xù)傳輸?shù)慕灰仔畔⑦M行加密和完整性保護。尤其是andriod，由于系統(tǒng)的開源，所以底層的漏洞會引發(fā)移動支付安全（包括錄屏、劫持數(shù)據(jù)包、木馬、保存密碼等等）。

Java-勇波-北京：掃一掃支付盡管快捷，但你只要打開支付界面，所謂安全就在手機解鎖和軟件解鎖2個了。還是密碼的好些，但又不方便 。因此支付寶微信，還是少放些錢后解綁所有銀行卡，信用卡，在安全方面，沒有什么絕對安全的，還是使用習慣的問題。

網(wǎng)工-sevenot-成都：其實生物識別的密碼并沒有我們想象中的安全，生物特征一旦別竊取，就基本告別任何安全體系，因為我們沒法改變自己的生物特征。對于普通用戶來說，一個良好的使用習慣比學習安全知識來得實用，一個良好的使用習慣，能夠防御普遍性攻擊就足夠了。

后端接口開發(fā)-劉聲杰-成都：其實，我們只要保護好自己的很多個人信息，尤其是支付密碼必須和其他平臺的密碼不一致。現(xiàn)在很多APP都會收集手機里面的個人信息，很多網(wǎng)站的密碼還不知道是否加密，所以我們一定要保證支付密碼和其他平臺不一樣。

寫在最后

WannaCry勒索病毒1.0和2.0的余溫還未冷卻，黑客就又囂張放話，手機移動端將成為他們的攻擊對象之一。本篇文章，匯總了諸多技術牛人們對于安全，尤其是手機支付安全的看法，希望能給你一些啟示，在病毒來襲時，提前做好防護措施。最后，套用一句“云計算-恩威-成都”的話：有守衛(wèi)，財安全！

歡迎加入51CTO開發(fā)者QQ交流群 312724475學習。

【51CTO原創(chuàng)稿件，合作站點轉載請注明原文作者和出處為51CTO.com】