【www.jpmy1688.com--网上银行】
理论上,黑客侵入银行肯定是可以的,但是难度可不小,下面我主要说说入侵银行要过哪些关卡。
一、从互联网入侵银行系统
首先明确一点,银行的网站和网上银行系统是分开部署的,你如果成功入侵银行网站,那么可以把网站主页换掉或者把网站新闻删光,然后就没别的卵用了。即使你改了主页,极有可能两分钟后银行网站就恢复原状了,因为大多数银行的网站都部署了防篡改系统,一旦发现网站被非法篡改后会立即自动恢复。
即便是最简陋的网上银行系统,在侵入它之前,都必须跨过IPS、WAF和防火墙各一道。
第一关基本上是传统防火墙,思科或华为的设备居多,这个估计难不倒经验丰富的黑客们。
第二关是IPS(入侵防御系统),我的感觉是IPS阻挡了绝大多数的安全攻击,至少我从IPS的日志审计结果中看到了不少被拦截掉攻击行为。据我所知,目前国内银行采用的IPS,用得最多的是TP家的,有兴趣的黑客可以去找一个TP的IPS做一下入侵测试,看看是否能过这第二关。
其实在防火墙和IPS之前还有一个F5的负载均衡器,F5也具备一部分攻击拦截能力,但是它的主要作用是LB,就忽略不计吧。
第三关是WAF(Web防火墙),这玩意主要是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护。诸如SQL注入、跨站脚本攻击之类的,遇到它基本就歇菜了,即便是网银系统的代码有这方面的漏洞也不会有事。
如果你连闯三关,就可以直接面对网银系统的Web服务器了,这可能是一台安装了AIX系统的小型机,在系统安全上的配置还是相当专业的,能不能搞定它,也需要你拿出看家本领,这是第四关。搞定第四关,那么你可以搞点破坏了,让银行的网银系统瘫痪一阵之类的,但是你自己好像拿不到啥有价值的东西。
第五关是网银系统的应用服务器和数据库服务器,如果你能搞定第四关,第五关应该不会遇到太大阻力,这时候,你可以获得好多银行用户信息,包括网银登录名、真实姓名、登录时间什么的,但是也就仅此而已,数字签名、网银密码之类的数据你也可以拿到,但是貌似都是用不可逆的算法加密的,基本上没什么用。网银系统本身只是一个壳,所有的交易都是在核心系统等后台系统中完成。
从网银系统到银行内部系统,又是一个防护重重的过程。由于各家银行的核心系统架构不一样,你必须好好摸索才能找到你想要的东东。
OK,是时候谈谈你的终级目的了。你如果想得到一份银行的客户资料,那么闯过重重关卡后,你成功的可能性还是有的;如果你想给自己的银行账户转一大笔线——那就有点危险,银行的业务系统,各个操作环节一环扣一环,你只是在数据库里改个数字什么的,当天日终处理的时候一定会被发现,所以你必须在24小时内完成取款、逃亡的所有动作。
二、从营业网点入侵银行系统
看到有答案说从网点WiFi能连上银行办公网,真的差点笑出声。。。某些银行网点的办公网,只是自己单个网点或者分行用用而已,顶多发几条通知、申请个请假流程,这能叫银行系统?当然,办公网内如果有很多关于业务的邮件往来,倒是有可能会包含一些敏感的信息。
三、外包人员入侵银行系统
最近几年,银行业开始高度重视外包风险,银监会都发布了专门的指引,还组织了一个外包监督检查联合管理平台。在这方面,个别小银行如果做得不到位,是有可能埋下安全隐患的。
银行的内部网络,一般来说会划分为若干个子网,包括但不限于外网、办公网、生产网、外联区域、测试网、开发网、外包开发网等等。各个子网之间,大多数是物理隔离的,完全不能互访。部分子网之间因业务需要会联通,但也都至少是逻辑隔离,部署防火墙以白名单形式开通访问。
在银行驻场的外包人员,一般只能接触外包开发网络,甚至都不能带自己的电脑,只能使用银行提供的PC进行开发,也不能使用U盘之类,并且根本接触不到银行的生产网络,入侵银行系统基本上是没什么机会的。
四、内部人员入侵
换了普通的行业,内部人员进入自己的系统,拷贝、篡改自家的数据应该是没什么难度的,银行在这一方面也有自己的办法。一是实行岗位、权限分离制度,负责开发、测试的人,不允许接触生产网;而接触生产网的人,往往不懂业务逻辑,没法天衣无缝地作案。二是实行严格的逻辑访问控制,运维人员要登录系统主机,必须通过审批后进入ECC(总控中心),通过ECC的工作站登录堡垒机,再跳转到主机进行操作,主机的密码基本是双人分段保管,这样你在主机上的所有操作都被堡垒机记录下来了,干了什么事全部记录在案。
曾经和一个工行计算中心的人聊过,他们做开发时,有权限可以直接改动自己的账户上金额,所以他的账户上经常会突然多出几百万、几个亿之类的,但每次改动都有几件事必须要做:
1、通知开户的支行,自己账户上的余额变动属于测试,不要记账;
2、在每天下班前,必须把金额改回到原来的数字;
3、在开发日志中,记录此事。
工行的系统每天都有一次自动进行的总核查,如果哪个支行出现了一分钱的差错,那么这个支行的负责人会被通报批评,而且是全国范围,这可是非常丢人的。
好吧,我们假设一下,碰上一个神级黑客,把以上关卡一一攻破,并且是个数据库高手,精通DB2+Cobol,数据结构基本摸清。但想篡改银行数据,不仅需要对数据逻辑精通,他还得对业务逻辑非常精通,要避免银行日间的异常账户监控、异常资金监控,避免晚间的借贷不平,单边账务,这些对于银行来说,都是系统的自动监控处理了,分分钟发现异常,冻结资金,黑客梦碎。
如果是黑核心数据的话,这也是几乎完全不可能啊。以银行内部工作人员的工作经验来看,即便把各种表名和字段名给黑客,他也用不来,他根本无法找出各个表的关系。各个表的数据都是关联的,任何一个表不对,当天日结都能作为疑账查出来。除了一些无关紧要的参数表,基本就没有独立的数据。银行内部除了系统内清算,还有联机清算。
所以总得来说入侵银行系统是有可能的,但真要弄出钱来,则又需要熟悉金融体系,想象力丰富。国内对金融管的比较死,比如通存通兑业务搞了几年后又被停了,跨境划转也很受限,这些都是不利于把钱弄出来的。