HTTPS≠安全，互联网金融产品要当心

Posted 2021-04-30 极客邦科技Geekbang

有料、有用、有趣的互联网学习平台

“大牛V课堂”是Geekbang核心栏目，我们以线上微课堂的形式邀约互联网特定领域内的顶级大牛分享含金量最高的专业干货

林鹏

当当网安全团队领头人

2014年伊始，由于国家政策转向利好，互联网金融尤其是P2P网络借贷产品呈现爆发式增长。许多一直关注互联网金融而又害怕政策风险的企业和金融巨头纷纷推出自己的P2P网贷产品。

据《北京商报》2014年报道，几乎多数P2P平台都遭受过黑客的攻击，只不过不少攻击并未曝光，其统计至2013年末公开数据显示，有70家P2P平台因遭遇黑客袭击而关门。而国内众多银行P2P业务站点更是安全漏洞频发。如何保护用户资金以及数据安全，保障对外服务的高可用性，成了横亘在P2P网贷乃至互联网金融从业者心头的难题。

在当当网，林鹏是国内最早一批公司内部组建安全团队的领头人；在网信金融（旗下有P2P网贷、众筹等多项金融业务），他带领团队见证了国内互联网金融风生水起与安全危机并存的2014年。

互联网金融的安全挑战

互联网金融对安全的要求比电商要高得多，这从攻击者的水准就能很容易看出来。“我们碰到的攻击者大多有着专业级别的水准，相比之下之前在电商可能更偏向传统的小黑客。”林鹏曾发现公司有一部分机器疑似被用0day（该漏洞2周才公布）入侵，攻击者给机器编号，完全是要做持久性的控制。所用RootKit都是多进程守护，杀死一个进程会触发另一个进程继续监控，这并不像传统小黑客挂一个Webshell就完事的做法。

对于从电商跳到互联网金融领域的林鹏而言，最大挑战来自用户帐号丢失问题。当当的帐号上基本上不存钱或者不会有很多钱，而网信金融上的投资者帐号则是大量的真金白银，对用户而言意义完全不同。其次是DDoS，电商可能很少遇到，但互联网金融几乎家家都会遇到。

另外还有一些电商不太会碰到的问题，比如黄牛党、红包套现、人工打码平台的对抗、以及猪八戒等任务交易平台等。

互联网金融安全的原始手段

互联网金融是一个比较新的领域。国内众所周知的首推支付宝的“余额宝”，然后各种“宝”、P2P、众筹才开始慢慢火起来。此前的人人贷、宜信，都没有进入大众视野。余额宝之后，互联网金融安全才慢慢重要起来。

谈到银行安全，我们用到最多的是U盾和网银插件。那互联网金融用什么来保障安全呢？标配的是HTTPS加密和支付密码，不过这还不够。对P2P网贷产品而言，保障资金安全的绝招是同卡进出。即不管你拿这张卡投了多少钱，最后的收益都回到投的卡上。如果说要中途换卡，你需要经过一些很原始的手段，比如人工审核照片，照一张一手拿身份证、一手拿银行卡，还需要露出来脸的照片上传给平台。这对于用户而言可能有些麻烦，但它却是当下最有效的措施之一。

同卡进出只能保障资金不丢失，如果帐号被盗用，攻击者恶搞式地投一些长期项目，变相”冻结“帐号资金。再加上某些公司业务激进，做了其它资金出口，比如电商业务，那同卡进出也无能为力。

“HTTPS是一种形同虚设的安全措施”

如上所述，互联网金融产品的安全标配是HTTPS加密。但HTTPS真的安全吗？林鹏表示：“对我们这类做安全的人来说，HTTPS已经等同于不安全。如果说要劫持一个HTTPS，尤其是局域网有问题或者小区运营商捣鬼，完全没什么问题，它形同虚设。”而这还没谈及OpenSSL组件近两年频频曝出可窃听漏洞的严峻现状。

林鹏认为比较适宜的一种宣传方式，是告知用户个人信息、资金以及借贷方风控三方面的安全措施。比如网贷的用户都拥有不少资金，那么身份证、银行卡、手机号等私人信息可以部分马赛克，即使帐号被盗也不会泄露；资金则是同卡进出、用户行为监控体系等；借贷方风控要看这家公司的具体征信体系，技术范畴很难解决。

还有令人大跌眼镜的案例，某网贷平台为了表示自身交易透明，把员工工作现场在公网上实况直播，后来某白帽子以为是漏洞报告到乌云网。

如果3秒前用户数据库被拖

网贷产品稍好，由于同卡进出功能的存在，资金至少不会损失，但要求所有用户更改密码是必要的。当然这个过程会配合用户行为监控体系，以避免改密码时的二次攻击。其次是对期间资金操作的可撤销，免除用户遭受不必要的资金“冻结”。再其次还有前面提到的私人信息加密和打马赛克。