在2010年的美国“BLACKHAT(黑帽子)”大会上,一名安全研究人员就演示了如何破解ATM机,并让机器自动吐钞票。
这听起来让人觉得不可思议。当然,能够掌握这样技术并登上“黑帽子”大会演讲的黑客数量少之又少。但这个案例却给了银行业敲响警钟。
安恒信息的专业技术人员表示,现在国内银行自助服务终端的应用现状确实问题多多,如设备品牌多、软件开发代理商多、运行平台多、软件版本多等,这也导致了自助服务软件较难维护,同时容易暴露高危性的风险漏洞,也比较容易出现恶意软件感染。
尽管目前不太可能出现让ATM机自动吐钱情况,但是安恒信息的安全研究人员发现目前银行的自助设备的上线和运维主要由第三方外包公司负责,第三方维护人员可以随意备份硬盘数据。由于维护人员和开发人员的安全意识不足,可能会导致自助系统遭到恶意的攻击,出现无法预知的异常情况。
安恒信息的安全研究人员举了个实例,在给省内某大型商业银行扫描漏洞和进行信息安全防护时,也曾经发现过无需外接设备,就能通过ATM机主机屏幕直接进入内网系统的漏洞。
经第三方数据统计分析,国内银行自助服务终端目前保有数量为40万台左右,不易于实质监控的特性,导致产生的不安全因素越来越多。这些令银行家们坐立不安的隐形漏洞和问题,通过安恒信息提供的修补和维护,很快得到了解决。
招标会力压IBM、惠普,签下中移动大单
随着手机业务的不断创新,除了常规的语音业务、短信业务之外,手机上网、手机银行、手机证券、移动传真等与大众生活息息相关的业务,也逐渐被各个行业、各类用户所广泛使用。
在这些看似便捷的移动信息服务背后,业务受理、业务开通、帐务结算等各个环节均需要相应的业务系统给予支撑。这些庞大的信息系统应用在给企业和客户带来便利的同时,也使得企业所面临的风险在不断增加。心存不轨的黑客利用网上营业厅等存在的漏洞进行经济犯罪的案例,时有发生。
当然运营商对于这些躲在暗处的黑客,不放任其捣乱。前不久,中国移动网页漏洞综合扫描系统集中采购结果公布,安恒信息WEB应用弱点扫描系统成功入选,覆盖了3个典型配置,成为入围产品款型最多的厂商。
在这场基于全球技术发展前沿,并且结合移动自身特点制定严格技术要求的“比武大会”上,跟安恒信息一同“掰手腕”的,不仅有来自绿盟、安域领创等国内知名厂商,还有IBM、惠普等国际巨头。
经过漏洞发现能力、漏洞验证能力、漏洞误报率、漏洞漏报率、系统稳定性、可靠性、环境适应性等各方面的综合评估,安恒信息最终拿到了技术评分第一名。从去年11月份开始,广东、江苏、浙江、云南等省移动公司陆续与安恒信息签约,安恒信息的相关系统将应用于全国移动各个部门的应用安全检查工作过程。
“未来随着手机支付和云计算的应用,黑客必然会开辟新的战场,公司这类产品的应用必然会越来越宽泛,有更大舞台。”对于公司的未来,范渊很有信心。
