環球銀行金融電信協會(SWIFT)是國際銀行同業間的合作組織,成立40多年以來,其利用全球計算機通信網絡系統的支撐,為200多個國家和地區超過8000家金融機構提供國際貿易金融結算等服務,并以安全、可靠、高效為主要特點。然而,近一年來,針對SWIFT系統發生的一系列網絡安全問題引發了人們的普遍擔憂。2015年1月,黑客攻擊了厄瓜多爾南方銀行,利用SWIFT系統轉移了1200萬美元;2015年底越南先鋒商業股份銀行也被曝出黑客攻擊未遂案件;2016年2月,孟加拉國央行的SWIFT系統遭到攻擊,損失了8100萬美元,成為迄今為止規模最大的網絡金融竊案,在業內掀起巨大震動。本文擬從網絡安全的角度出發,分析SWIFT遭受攻擊的過程及其背后反映的問題。
網絡安全體系的要素
網絡安全體系是一個十分龐大和復雜的話題,很難以某一種大而全的方式一概而論。電信標準ITU-T X.800試圖從安全攻擊(如拒絕服務、更改消息、重放、偽裝、流量分析等)、安全機制(如加密、數字簽名、訪問控制、完整性機制等)和安全服務(如對等實體認證、數據源認證、訪問控制等)三大方面的關系來為開放系統互連(OSI)的安全通信提供一種概念性和功能性的框架定義。而結合TCP/IP的層次模型,又可針對數據傳輸所涉及的物理層及接口層、網絡層、傳輸層和應用層分類出各個不同層次的安全技術。此外,如果以各類工程實現技術來定義,則又將涉及防火墻技術、VPN技術、入侵檢測技術、漏洞分析技術、防病毒技術、備份與恢復技術、密碼技術、審計分析技術等等諸多相互交叉的門類。由此可見網絡安全體系的復雜性。
從一個典型的工程實踐角度來考慮網絡安全體系,我們認為一個良好的安全體系設計至少基于以下這些要素:基于可證明安全的密碼技術;清晰定義的安全需求、安全機制和安全服務;結合安全需求的網絡拓撲設計以及所有涉及網絡交互的設備選型;周全的軟件系統安全部署,包括軟件正確執行所有安全功能、抵御病毒和木馬入侵的能力;具備足夠的安全可審計性;實施前進行完備的系統安全論證和攻擊檢測。此外,還有往往最容易被輕視甚至忽視的是系統運維過程中的安全管理,對整套系統管理和操作涉及的各個環節均需要有十分明晰的制度以及與此相對應的場地、設備和人員管控措施,并對管理和操作人員如何按照系統安全設計的意圖正確操作要有嚴格的培訓和審核。
SWIFT系統的網絡安全特點
作為每天承載巨額金融交易的系統,SWIFT在設計中比較充分地考慮了安全性。
SWIFT網絡系統由系統端的系統控制處理機(SCP)、片處理機(SP)和地區處理機(RP)構成。其中系統控制處理機(SCP)是整個網絡端最核心的主控機,檢測控制整個網絡功能的運行。片處理機(SP)負責整個網絡中報文存儲轉發,目前共有四臺處于激活工作狀態。地區處理機(RP)則是系統端的門戶,所有用戶發出的電報都由RP對其格式、語法、地址代碼等進行審核,合格后才能發往SP,以減輕SP的工作負載。用戶端中的每個邏輯終端(LP)通過用戶端的計算機系統(CBP)連接到SWIFT的訪問點(SAP)并以此與系統端的地區處理機進行業務交互(見圖1)。
SWIFT系統主要的安全問題包括身份假冒、報文被截取(讀取或復制)、修改、重播,報文丟失、報文發送方或接收方否認等。對此,SWIFT系統進行了相應的安全部署:采用基于RSA公鑰密碼體系的數字證書和數字簽名技術作為安全基礎,實現身份鑒別和密鑰協商;登錄時采用唯一身份號和與此對應的一次性連接代碼進行,以此進行合法身份的鑒別;報文進行加密傳輸,同時采用校驗碼(CHK)和消息認證碼MAC機制來實現報文的完整性、防篡改和抗抵賴;采用智能卡等密碼硬件進行密鑰存放、生成、登錄密碼的產生等,保證了密鑰的安全性。
孟加拉國SWIFT系統遭攻擊過程分析
在孟加拉國SWIFT系統安全事件中,黑客用植入木馬的方式一步步控制了SWIFT客戶端計算機系統,從而最終成功完成了交易轉賬。在攻擊過程中,黑客將孟加拉國央行存放在紐約聯儲的1.01億美元進行了轉賬。其中,2000萬美元被轉到斯里蘭卡,目前已被追回;另外8100萬美元被轉到菲律賓,至今去向未明。據報道,孟加拉國SWIFT系統的網絡拓撲結構設計存在巨大缺陷,SWIFT用戶端計算機系統所在網絡和其他計算機網絡并未實現隔離,并且網絡中缺乏防火墻設備,使得SWIFT用戶端計算機系統十分容易被植入木馬。木馬植入成功后,該木馬可實施監聽轉賬交易、控制數據庫、劫持打印機等關鍵操作,從而幾乎操控了客戶端所有的關鍵行動。
根據推測,此次木馬攻擊的完整步驟為:木馬程序不斷地查詢“登錄”記錄,每隔5秒進行一次,直到查詢到;木馬監聽FIN報文,解析其中的關鍵信息,獲取交易對應的各類信息,比如賬面的起始余額、交易金額和最終余額,并刪除合法交易的記錄;木馬劫持數據庫訪問的相關語句,并且可以從數據庫中查詢到有多少余額可以用于轉賬;木馬通過篡改,將報文中的交易額篡改為獲取到的最多可用余額,并且篡改拼接其他所需的信息,執行篡改后的數據庫指令,達到篡改目的;在完成篡改后,木馬程序劫持打印機控制對賬單的信息,從而不會被當場核對發現。
由此,攻擊者利用孟加拉國央行SWIFT系統部署中的各項網絡安全漏洞(包括網絡拓撲設計漏洞、網絡入侵檢測能力漏洞、本地軟件安全漏洞等),通過木馬程序實施了整個攻擊過程并造成了巨額損失。
從這一案例中我們可以發現,SWIFT系統的安全性是基于用戶端電腦可信這一假設的。當用戶端電腦忠實可信地執行交易并發出了正確的報文,則其后續的一系列密碼學技術可以高強度地抵御網絡傳輸過程中可能面臨的各類攻擊場景。然而,黑客往往并不會從系統防御最強的環節入手,而是通過木馬植入打破了用戶端電腦可信這一前提,使得看似周密的安全方案受到威脅。
SWIFT系統安全事件帶來的思考
網絡安全是一個系統性問題,即使理論上考慮得再周全,但由于實施環節十分眾多,只要有某幾個關鍵環節在實施中暴露出漏洞,即有可能被黑客找到突破口。所以,我們必須在系統方案設計、部署、運行的各個階段均具備十分專業的整體安全方案論證、實施和檢測能力,尤其是應關注系統中的短板。
SWIFT事件暴露出兩個最核心的問題。一是如何保證信息源頭的可信性,在受木馬入侵的情況下,數據發送源頭有可能被完全控制,從而后續網絡傳輸即使再安全也已經無濟于事。二是對中心的過分信任問題,收到指令方由于確信SWIFT系統是安全可靠的,所以做出了轉賬動作。針對這兩個核心問題,有專家認為,在金融領域采用基于安全芯片的“可信計算機+環形清算鏈結構技術”是能夠極大提升系統安全性的下一代安全架構。可信計算機依賴其中的可信芯片構建信任鏈,可以實現對計算機的整個軟硬件環境進行可信度量,防止木馬侵入和篡改。基于環形清算鏈結構技術,有可能通過對交易賬本進行集體核實,一個對賬節點的篡改不會影響整個網絡的結果,從而避免攻擊者利用信息的不對稱對某些節點實施欺騙。
隨著互聯網技術應用領域的迅速拓展,比如互聯網向物聯網擴展、金融領域數字貨幣應用的推廣、基于區塊鏈的智能合約應用的誕生等,網絡安全問題將大大突破現有的模式。網絡將面對數量呈幾何級數增長的接入設備或邏輯節點,而且這些設備或邏輯節點往往具有某些程度的無需人為干預的自主執行能力,網絡交易速度也將呈爆發性增長,這些應用場景是明顯區別于現有的網絡交易特點的。因此,在大規模地實施變革性應用前,需要對網絡安全問題進行全新的研究,以制定出與之相適應的解決方案。
針對新型應用帶來的網絡安全問題,我國應當盡快形成以政府為主導,跨產業界和學術界的聯合研究力量,不斷地推進安全技術創新研究、標準更新以及第三方檢測能力的升級。
京公網安備 11010502049343號