全球黑客盯上中国P2P?
1月27日,全国人大财经委副主任吴晓灵女士的发言再次震惊了国内互联网金融行业,“根据世界反黑客组织的最新通报,中国P2P已经成为全世界黑客宰割的羔羊。
目前国内有在线交易功能的P2P网站接近1600家,但是自建网站和系统的比例可能还不到1/10,有些即使是自建的网站也还不成熟,存在被黑客攻击的漏洞。因此国内P2P被国际黑客盯上是非常有可能的事情。
P2P网贷的技术安全问题根源在于两类,一种是某些公司以为P2P的门槛很低,就购买网站模版进入,但 其实P2P的隐形门槛非常高,以至于很多公司只能选择成本低廉的现成模版,于是便依赖第三方提供的模版,这些模版的价格区间一般是5—10万,数百万级别 的也有,但是一家好的P2P公司,网站是经过长年累月的积淀的,每年投入都至少千万级。另一类是自建的P2P模版,但是因为技术和运用能力不专业,容易被找出漏洞,很多几个人开发的P2P网站虽然是自建,但可能还不如模版。可以说这两类公司因为无法在技术和安全上投入,所以尤其容易成为被攻击的目标。
从黑客可能对P2P进行的攻击来看,大致可以分为对平台的攻击和对用户本身的攻击。
黑客对P2P平台的第一种攻击是DDoS,此类攻击主要目的是让P2P公司的服务瘫痪,从 2013到2014年有许多这样的前车之鉴,使得正常的用户不能使用平台,黑客一般通过这种方法直接勒索平台,攻击的黑客常躲在国外,不易发觉。P2P公司对此类攻击的防卫手段分为主动防御和被动防御,被动的防卫措施主要是增加容量,增加服务的站点,即增加资源;主动的防御措施主要是服务后置,前端以轻量的服务判别是否是攻击流量,是则丢弃该服务请求,否则正常提供服务。
第二种攻击是利用系统漏洞进行攻击。没有一种系统是完全安全的,安全级别高的系统不正确的使用方法也会造成平台安全问题。此类攻击主要防范在人,即系统管理员。系统管理员要及时安装系统安全补丁;将系统提供的缺省账户关掉并严禁无口令弱口令用户登录系统,不在平台安装和使用不明来源的应用程序;正确配置防火墙,阻止攻击性的访问。因此对P2P公司的系统管理员要求就会非常高。
第三种是一种不太为人知的攻击,叫做XSS攻击。这种攻击是在客户端向网站注入恶意脚本,达到攻击的目的。目前P2P公司还没发现类似的先例,不过其他领域有一个比较有名的例子,就是有人将车牌写成脚本,监控去扫车牌的时候脚本在服务器上执行了, 把数据库删除了。防范这类攻击的要点在于网站开发人员对所有的用户输入的内容要严格检查,阻止用户输入脚本的执行。虽然P2P领域还未发生,但是应引起 警觉。
第四种攻击是网络监听,通过定向收集网络上传输到平台的数据,获取平台的敏感信息。P2P公司的防卫手段主要是平台开发时一定要注意在平台与客户端交互的敏感数据采取密级较高的加密算法加密,严禁以明文传送存储密码等。
第五种攻击是重现攻击,黑客截获了用户请求,并重复向平台发送该请求或经过修改的请求。防范是在开发的时候对请求要有校验,杜绝重复请求。
除此以外还有对于P2P公司用户的攻击,主要是获取用户身份,获得用户密码。方法有多种: 网络监听,除平台要做好防范,用户最好不要连接不熟悉不信任的WiFi热点;获得用户名后暴力破解密码。有专门的软件和密码字典可以破解密码,弱的密码几秒钟即可破解;钓鱼网站,钓鱼邮件,用户访问不熟悉的站点,点击了不受信任的邮件里的附件和链接等等,都有可能被放置木马,使得用户隐私信息泄露。
对于用户攻击的防范,一方面要加强平台自身建设,使得黑客即使获得密码也要提高黑客获取利益的门槛。比如,对于P2P来说,同卡进出,****实名验证,严控手机号修改,****修改等等,增加黑客的成本。另一方面,要加强用户网络安全教育,不访问不受信任的站点,不打开不熟悉人发来的邮件附件,不听不信陌生电话等等。
标签:
P2P
MORE>> 深度阅读
