構建資訊保安堡壘,駐守網際網路金融世界邊防線

幾維安全小編發表於2018-12-18

隨著中國網際網路金融市場的發展、政策試點擴大範圍、央行開放徵信牌照、從網際網路巨頭到新興創業公司都開始佈局消費金融。特別是隨著移動網際網路的普及和推廣,移動網際網路金融也逐漸成為網際網路金融的主要服務模式。網際網路金融蓬勃興起給大眾帶來了更加便捷的金融服務。但與此同時,網際網路金融伴生的安全問題快速積累、集中爆發,在一定程度上嚴重影響和制約了網際網路金融的健康發展,安全問題成為網際網路金融發展過程中無法迴避的問題。


一般來講,網際網路金融安全主要包括業務安全與技術安全兩大範疇,關於業務安全,因涉及商業模式,監管政策,業務創新、風控機制等多方面複雜因素,不在本文闡述範圍之內,而重點針對網際網路金融的技術安全問題。


築建網際網路金融安全防線集結號已吹響  


金融行業資訊化發展早、資訊化程度高,現代金融服務更離不開強大的資訊系統支撐,資訊保安是金融業發展的前提,金融資訊系統的安全更是國家金融安全的重要組成,金融行業資訊系統是國家關鍵資訊基礎設施,要求在網路安全等級保護制度的基礎上實行重點保護。


近年來,我國密集釋出了一系列金融規範和標準,資訊系統安全等級保護也跨入2.0時代,特別是網際網路金融已成為風險防控的重點關注領域,而等級保護評定不止有利於從資訊保安角度實現金融業務保障,更是金融企業品牌、可信度的有力體現。 


目前主要的網際網路金融模式包括第三方支付、線上理財、P2P網貸、直銷銀行、網際網路保險及網際網路眾籌等。各自都曾經發展過或即將面臨各種安全威脅。

以P2P行業為例,自2013年以來,P2P行業中已有上百家平臺遭遇黑客攻擊,甚至不乏個別P2P平臺上千萬資金被黑客洗劫一空的惡性事件。P2P平臺的安全性受到監管部門的格外重視,為保證P2P的健康發展,2017年的8月份國家出臺了《網路借貸資訊中介機構業務活動管理暫行辦法》,同年10月又出臺了《網際網路金融風險專項整治工作實施方案的通知》,規定網路借貸資訊中介機構應當按照國家網路安全相關規定和國家資訊保安等級保護制度的要求,開展資訊系統定級備案和等級測試。


再比如直銷銀行,雖然是使用者通過網際網路和移動端獲取銀行產品和服務的一種新型金融產物,但自誕生之日起也面臨各種的安全風險,比如在推廣拓客時,不法分子和黑產黑客用各類指令碼軟體批量註冊大量無效賬號,作弊,“薅羊毛”,影響正常使用者體驗,嚴重的甚至產生流量攻擊,導致服務當機。也有通過撞庫、盜號、漏洞等登入銀行賬號,盜取資金,資訊,給使用者造成財產損失。


鑑於各類網際網路金融存在的嚴重技術安全風險,國家制定了各種監管政策規範行業發展,比如對網貸行業資訊保安提出明確要求並作為平臺合規的重要門檻之一,達不到不予備案甚至取締。而於2017年6月1日起實施的《網路安全法》更是將現行的網路安全等級保護制度上升為法律,並在第三十一條更明確規定,“國家對公共通訊和資訊服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者資料洩露,可能嚴重危害國家安全、國計民生、公共利益的關鍵資訊基礎設施,在網路安全等級保護制度的基礎上,實行重點保護。”


國家等級保護認證是中國最權威的資訊產品安全等級資格認證,共分五級,等級越高,說明安全防護能力越強,但認證難度也更高,例如等保三級就需要在嚴格監督下從兩大方面300多項要求進行測評。


目前大多數網際網路金融平臺獲得的以第二級認證為主,屬於“指導保護級“僅適用於一般的資訊系統,只有少數平臺獲得了三級等保認證,即“監督保護級”,適用於涉及國家安全、社會秩序和公共利益的重要資訊系統,說明網際網路金融全行業等保級別還較低,距離國家對非銀行金融機構的最高階認證第三級還有不小差距,下一步需要繼續提升。


網際網路金融安全風險蔓延態勢及具體表現


據相關機構統計資料顯示,早在2014年,中國移動網際網路金融呈現爆發式增長,全年交易額超過20萬億人民幣。 移動支付發展迅猛,各家金融機構也伴隨著移動網際網路發展大潮紛紛推出了各自的金融客戶端應用程式(這裡主要指手機銀行客戶端應用程式,以下簡稱“手機銀行APP”),由此,移動金融支付的安全問題也不斷爆發:釣魚詐騙、資訊洩露、資金盜取等。而除了資金出現的問題,實際上還有另一個問題一直被大家忽視,即移動金融app的安全性。金融類APP出現的安全漏洞相比WEB平臺要高出很多。


有關機構對金融行業的移動 APP 安全進行評測發現,“網貸之家”中“發展指數”前100名網際網路金融公司旗下的88款Android應用,從資料傳輸安全性、資料儲存安全性、敏感資料保護水平、APP程式碼保護強度、密碼演算法與協議安全性五個維度進行評估,結果發現大量的手機金融app存在安全問題,這些安全問題可能導致使用者敏感資訊洩露、密碼明文傳輸等隱患。而當前國內移動網際網路金融APP資訊保安存在著以下十大安全隱患:通訊資料明文傳送、通訊資料可解密、敏感資料本地可破解、除錯資訊洩漏、敏感資訊洩漏、密碼學誤用、功能洩露、可二次打包、可除錯、程式碼可逆向等。其潛在風險佔比為:


  • 高危佔比23%:資料傳輸不安全導致盜取使用者錢財損害平臺利益。
  • 中危佔比40%:使用者敏感資訊洩露,應用被重打包後加入惡意程式碼和廣告。
  • 低危佔比37%:應用崩潰,APP主要邏輯被逆向。

2018年11月28日,中國消費者協會召開新聞釋出會對100款App的個人資訊收集與隱私政策情況進行測評的情況進行了通報。在被評測的10個類別中,以安全、可信賴等宣傳語示人的金融理財在此次測評中排名墊底。根據測評結果,新聞閱讀、網上購物和交易支付等型別APP為總平均分相對較高的APP類別,而金融理財類APP得分相對較低,僅為28.91分。

構建資訊保安堡壘,駐守網際網路金融世界邊防線


中國資訊保安在《2018年一季度熱點行業APP安全報告》中對網際網路金融典型移動應用場景也進行了安全檢測,檢測結果顯示超過六成的網際網路金融APP自身安全性較好,而所存在的安全隱患點基本都集中在程式碼保護方面。單看未採取安全防護措施的網際網路金融APP檢測資料發現,其資料安全的重災區為資料庫安全問題,其次是資料傳輸安全問題和隱私/敏感資料洩露方面。


構建資訊保安堡壘,駐守網際網路金融世界邊防線

構建資訊保安堡壘,駐守網際網路金融世界邊防線


釣魚扣費風險、惡意攻擊防護風險、APP伺服器被攻擊風險、DoS攻擊風險方面也存在類似現象,未採取安全防護措施的網際網路金融APP對於DDoS攻擊防護方面問題十分嚴重,釣魚扣費、惡意攻擊防護方面也不樂觀。


構建資訊保安堡壘,駐守網際網路金融世界邊防線

網際網路金融APP安全隱患分佈圖


結合以上資料分析,網際網路金融APP安全風險主要包括以下9大類:


構建資訊保安堡壘,駐守網際網路金融世界邊防線


以程式碼加密為核心的安全保障策略 


資料傳輸安全及其衍生的安全風險成為網際網路金融領域的“阿喀琉斯之踵”,而程式碼安全更是駐守堡壘的護城河,通過程式碼加密可有效提高網際網路金融的資訊保安。


幾維安全通過長期研究發現,以程式碼加密為核心的安全保障策略主要可分為傳統程式碼加密和基於LLVM的程式碼加密方式,進一步對其技術原理和適用性的區別進行分析:


若採用傳統程式碼加密方式將面臨移植性問題和相容性問題。從加密實現原理看,傳統程式碼加密方式針對的作業系統、晶片架構均為特定的一個小集合,較難對多端且同源的程式碼做一致性的保護,且與晶片架構不相容、記憶體需求顯著增加。而其加密過程往往需要干預正常的App執行時(Hook技術),但對於像Android這類高碎片化的平臺,干預執行時意味著很難把方案做到完備;像iOS這類完全封閉的平臺,干預執行時更意味著方案沒法工作,目前蘋果基於安全考慮不允許很多底層的操作,比如動態分配程式碼記憶體。 


LLVM是模組化、可複用的編譯器工具鏈集合,它提供了完整的API操作介面,可自定義整個編譯過程。能實現在架構無關的IR級別做防護,可以適應任意晶片架構。若採用基於LLVM的程式碼加密方案可以函式為單位進行防護,適應低記憶體執行環境;並能根據不同安全需求制定初級、高階、旗艦級的防護。


構建資訊保安堡壘,駐守網際網路金融世界邊防線


  • 初級防護:“混淆”

Obfuscator-LLVM是2013年開源的一個混淆編譯器,也是國產安全編譯器的鼻祖,能實現程式碼膨脹、塊亂序等功能。通過反編譯混淆之後會將程式碼量增大,將執行邏輯做轉換。從逆向分析的角度看,程式碼量的增加在一定程度提高了逆向的難度。


  • 高階防護:塊排程編譯器

從逆向分析的角度看,只要函式邏輯是連貫就總是可以做分析,所以切斷函式邏輯是一個程式碼防護的方向。基於這個方向的思考可做出塊排程編譯器,實現原始函式的邏輯掐斷,讓逆向的人無法分析。將各基本的關鍵程式碼塊排程成為獨立的實體,靜態反編譯工具將無法做程式碼的連續性分析,這將使得逆向分析無法進行。塊排程還可對函式呼叫加密,使常用的通過函式呼叫來猜測函式邏輯的破譯變得不可能。


  • 旗艦級防護:虛擬機器

一直以來,在外掛、反外掛最激烈的Windows網路遊戲攻防戰場,虛擬機器防護往往是最後一道防線,也是強度最高的一道防線,而虛擬機器更是程式碼安全的最高堡壘。


由於LLVM-IR的平臺無關性,因此KiwiVM也能平臺無關的實現函式級的虛擬化,而其靜態程式碼加密方式決定了一旦成功虛擬化,配合虛擬CPU的執行時即可完整的實現原始程式碼的功能,不存在干預執行時的Hook操作,因此相容性可以達到100%。


       應用場景及例項   


以XX銀行手機端APP安全加固專案為例,幾維安全針對Android和ios兩個平臺不同特徵,採用不同方案對手機APP進行安全加固。其中針對Android平臺採用Java2C+程式碼虛擬化(KiwiVM)+裝置指紋SDK+白盒金鑰SDK;針對iOS平臺採用程式碼虛擬化(KiwiVM)+裝置指紋SDK+白盒金鑰SDK


  • Android 平臺APP保護方案

通過幾維安全設計的獨有編譯技術( LLVM )把Java位元組碼轉譯為彙編指令,再對彙編指令進行程式碼虛擬化保護。主要採用Java2C+程式碼虛擬化(KiwiVM)+裝置指紋SDK+白盒金鑰SDK等。


構建資訊保安堡壘,駐守網際網路金融世界邊防線


  • IOS 平臺APP保護方案

ios平臺APP主要面對程式碼反編譯的威脅,所以對於程式碼的保護是重中之重。ios平臺APP直接採用幾維安全的KiwiVM對原始碼進行虛擬化保護。

構建資訊保安堡壘,駐守網際網路金融世界邊防線

結束語

資訊保安是網際網路金融業務開展的基本要求,更是網際網路金融行業健康可持續發展的基本保證。構建資訊保安堡壘,駐守網際網路金融世界邊防線,助力網際網路金融業務開展,助力金融企業安全品質保障品牌樹立,助力網際網路金融發展,勢在必行。

相關文章