人行数字货币研究项目组:从SWIFT黑客事件看金融网络安全

导读:在大规模地实施变革性应用(包括数字货币)之前,需要对网络安全问题投入全新的研究,以制定出与之相适应的解决方案

作者|中国人民银行数字货币研究项目组

文章|《中国金融》2016年第17期

环球银行金融电信协会(SWIFT)是国际银行同业间的合作组织,成立40多年以来,其利用全球计算机通信网络系统的支撑,为200多个国家和地区超过8000家金融机构提供国际贸易金融结算等服务,并以安全、可靠、高效为主要特点。然而,近一年来,针对SWIFT系统发生的一系列网络安全问题引发了人们的普遍担忧。2015年1月,黑客攻击了厄瓜多尔南方银行,利用SWIFT系统转移了1200万美元;2015年底越南先锋商业股份银行也被曝出黑客攻击未遂案件;2016年2月,孟加拉国央行的SWIFT系统遭到攻击,损失了8100万美元,成为迄今为止规模最大的网络金融窃案,在业内掀起巨大震动。本文拟从网络安全的角度出发,分析SWIFT遭受攻击的过程及其背后反映的问题。

网络安全体系的要素

网络安全体系是一个十分庞大和复杂的话题,很难以某一种大而全的方式一概而论。电信标准ITU-T X.800试图从安全攻击(如拒绝服务、更改消息、重放、伪装、流量分析等)、安全机制(如加密、数字签名、访问控制、完整性机制等)和安全服务(如对等实体认证、数据源认证、访问控制等)三大方面的关系来为开放系统互连(OSI)的安全通信提供一种概念性和功能性的框架定义。而结合TCP/IP的层次模型,又可针对数据传输所涉及的物理层及接口层、网络层、传输层和应用层分类出各个不同层次的安全技术。此外,如果以各类工程实现技术来定义,则又将涉及防火墙技术、VPN技术、入侵检测技术、漏洞分析技术、防病毒技术、备份与恢复技术、密码技术、审计分析技术等等诸多相互交叉的门类。由此可见网络安全体系的复杂性。

从一个典型的工程实践角度来考虑网络安全体系,我们认为一个良好的安全体系设计至少基于以下这些要素:基于可证明安全的密码技术;清晰定义的安全需求、安全机制和安全服务;结合安全需求的网络拓扑设计以及所有涉及网络交互的设备选型;周全的软件系统安全部署,包括软件正确执行所有安全功能、抵御病毒和木马入侵的能力;具备足够的安全可审计性;实施前进行完备的系统安全论证和攻击检测。此外,还有往往最容易被轻视甚至忽视的是系统运维过程中的安全管理,对整套系统管理和操作涉及的各个环节均需要有十分明晰的制度以及与此相对应的场地、设备和人员管控措施,并对管理和操作人员如何按照系统安全设计的意图正确操作要有严格的培训和审核。

SWIFT系统的网络安全特点

作为每天承载巨额金融交易的系统,SWIFT在设计中比较充分地考虑了安全性。

SWIFT网络系统由系统端的系统控制处理机(SCP)、片处理机(SP)和地区处理机(RP)构成。其中系统控制处理机(SCP)是整个网络端最核心的主控机,检测控制整个网络功能的运行。片处理机(SP)负责整个网络中报文存储转发,目前共有四台处于激活工作状态。地区处理机(RP)则是系统端的门户,所有用户发出的电报都由RP对其格式、语法、地址代码等进行审核,合格后才能发往SP,以减轻SP的工作负载。用户端中的每个逻辑终端(LP)通过用户端的计算机系统(CBP)连接到SWIFT的访问点(SAP)并以此与系统端的地区处理机进行业务交互(见图1)。

SWIFT系统主要的安全问题包括身份假冒、报文被截取(读取或复制)、修改、重播,报文丢失、报文发送方或接收方否认等。对此,SWIFT系统进行了相应的安全部署:采用基于RSA公钥密码体系的数字证书和数字签名技术作为安全基础,实现身份鉴别和密钥协商;登录时采用唯一身份号和与此对应的一次性连接代码进行,以此进行合法身份的鉴别;报文进行加密传输,同时采用校验码(CHK)和消息认证码MAC机制来实现报文的完整性、防篡改和抗抵赖;采用智能卡等密码硬件进行密钥存放、生成、登录密码的产生等,保证了密钥的安全性。

孟加拉国SWIFT系统遭攻击过程分析

在孟加拉国SWIFT系统安全事件中,黑客用植入木马的方式一步步控制了SWIFT客户端计算机系统,从而最终成功完成了交易转账。在攻击过程中,黑客将孟加拉国央行存放在纽约联储的1.01亿美元进行了转账。其中,2000万美元被转到斯里兰卡,目前已被追回;另外8100万美元被转到菲律宾,至今去向未明。据报道,孟加拉国SWIFT系统的网络拓扑结构设计存在巨大缺陷,SWIFT用户端计算机系统所在网络和其他计算机网络并未实现隔离,并且网络中缺乏防火墙设备,使得SWIFT用户端计算机系统十分容易被植入木马。木马植入成功后,该木马可实施监听转账交易、控制数据库、劫持打印机等关键操作,从而几乎操控了客户端所有的关键行动。

根据推测,此次木马攻击的完整步骤为:木马程序不断地查询“登录”记录,每隔5秒进行一次,直到查询到;木马监听FIN报文,解析其中的关键信息,获取交易对应的各类信息,比如账面的起始余额、交易金额和最终余额,并删除合法交易的记录;木马劫持数据库访问的相关语句,并且可以从数据库中查询到有多少余额可以用于转账;木马通过篡改,将报文中的交易额篡改为获取到的最多可用余额,并且篡改拼接其他所需的信息,执行篡改后的数据库指令,达到篡改目的;在完成篡改后,木马程序劫持打印机控制对账单的信息,从而不会被当场核对发现。

由此,攻击者利用孟加拉国央行SWIFT系统部署中的各项网络安全漏洞(包括网络拓扑设计漏洞、网络入侵检测能力漏洞、本地软件安全漏洞等),通过木马程序实施了整个攻击过程并造成了巨额损失。

从这一案例中我们可以发现,SWIFT系统的安全性是基于用户端电脑可信这一假设的。当用户端电脑忠实可信地执行交易并发出了正确的报文,则其后续的一系列密码学技术可以高强度地抵御网络传输过程中可能面临的各类攻击场景。然而,黑客往往并不会从系统防御最强的环节入手,而是通过木马植入打破了用户端电脑可信这一前提,使得看似周密的安全方案受到威胁。

SWIFT系统安全事件带来的思考

网络安全是一个系统性问题,即使理论上考虑得再周全,但由于实施环节十分众多,只要有某几个关键环节在实施中暴露出漏洞,即有可能被黑客找到突破口。所以,我们必须在系统方案设计、部署、运行的各个阶段均具备十分专业的整体安全方案论证、实施和检测能力,尤其是应关注系统中的短板。

SWIFT事件暴露出两个最核心的问题。一是如何保证信息源头的可信性,在受木马入侵的情况下,数据发送源头有可能被完全控制,从而后续网络传输即使再安全也已经无济于事。二是对中心的过分信任问题,收到指令方由于确信SWIFT系统是安全可靠的,所以做出了转账动作。针对这两个核心问题,有专家认为,在金融领域采用基于安全芯片的“可信计算机+环形清算链结构技术”是能够极大提升系统安全性的下一代安全架构。可信计算机依赖其中的可信芯片构建信任链,可以实现对计算机的整个软硬件环境进行可信度量,防止木马侵入和篡改。基于环形清算链结构技术,有可能通过对交易账本进行集体核实,一个对账节点的篡改不会影响整个网络的结果,从而避免攻击者利用信息的不对称对某些节点实施欺骗。

随着互联网技术应用领域的迅速拓展,比如互联网向物联网扩展、金融领域数字货币应用的推广、基于区块链的智能合约应用的诞生等,网络安全问题将大大突破现有的模式。网络将面对数量呈几何级数增长的接入设备或逻辑节点,而且这些设备或逻辑节点往往具有某些程度的无需人为干预的自主执行能力,网络交易速度也将呈爆发性增长,这些应用场景是明显区别于现有的网络交易特点的。因此,在大规模地实施变革性应用前,需要对网络安全问题进行全新的研究,以制定出与之相适应的解决方案。

针对新型应用带来的网络安全问题,我国应当尽快形成以政府为主导,跨产业界和学术界的联合研究力量,不断地推进安全技术创新研究、标准更新以及第三方检测能力的升级。■

(责任编辑 张 林)

results matching ""

    No results matching ""