注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

移动Labs

http://labs.chinamobile.com/

 
 
 

日志

 
 
关于我

移动Labs(labs.chinamobile.com):中国移动研究院主办的通信行业汇聚门户,专注于移动通信和互联网领域,核心会员是中移动广大员工及ICT行业用户。提供资讯、博客、讨论组、专业报告、视频、电子日报等信息及知识服务,以及研究院主办的每周线下活动“无限论坛”。

网易考拉推荐

粟栗:业务安全粟论(十九):广义业务系统安全案例分析(3)  

2012-12-27 16:24:19|  分类: 默认分类 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

独家供稿:移动Labs

     上一讲我们用速8的“web-主 机访问”等一系列漏洞说明业务系统在网络与系统层面的安全考虑不足会造成安全问题。这一期我和大家一起就最近很热的“充值门”事件进行分析。需要说明的 是,造成这个事件问题的原因还没有被查明,我们仅仅是用作安全事件的分析来说明业务系统自身的安全重要性。首先我们来看一下报道。

—————————————————————————————————

专门从事联通电子充值卡批发业务的安徽人王奎反映,今年9月底,他从联通网上营业厅购买了额度200万元的电子充值卡,其中有50多万元的充值卡还没充值,发现已被使用。

2012年12月27日 - 移动Labs - 中国移动研究院(移动Labs)
 

王奎提供的资料显示,929日他从联通官网购买卡号为“981201427607590”、“981201427645590”等电子充值卡5张,1113日将这5张电子充值卡销售给小代理商。

2012年12月27日 - 移动Labs - 中国移动研究院(移动Labs)
 

王奎从联通公司查询到,卡号为“981201427607590”电子充值卡在1018日已被充值,卡号为“981201427645590”等4张电子充值卡,则在1016日被充值,充值手机号显示为海口等地。

对此,中国联通新闻处一名负责人表示,联通网站没有问题,已将相关问题反映给公司业务部门。联通公司工作人员称,这可能是由于客户个人泄密导致充值卡被盗,并建议客户报警。

目前,部分电子充值卡批发商已在当地报警,警方已开始立案侦查。

1114日,国内一家名叫殴飞网的供货平台发布网上《说明》称,自118日起,欧飞网陆续接到5家供货商反馈,发布到供货平台的部分联通充值卡,卡密(卡号和密码)处于被使用的状态(包括已售出和未售出的)。欧飞网称,查看系统安全记录,未发现不法或特殊侵入系统的行为和操作;移动、电信卡密状态正常;初步判断联通官网供应的部分卡密出了问题

殴飞网发布《说明》的第二天,1115日,四川阳光科技有限公司(一家从事开发网上充值系统的公司)也发布提醒通知,经公司对多用户的调查,已基本排除是系统原因导致卡密被盗;基本可得出是联通充值卡网站存在一定的问题;在联通公司未做出答复之前,请广大客户在购买联通充值卡时注意安全。昨日,四川阳光科技有限公司表示,公司已提醒被盗客户,及时跟联通公司反映,并到当地派出所报案。

。。。。。。。。。。。

某知名搜索引擎网站一位不愿具名的网络安全人员表示,多名代理商集中出现充值卡失效事件,可能有两种可能。一是代理商的账户遭到黑客拖库攻击,使其在联通官网上的账户和密码被攻破,导致卡密被盗走。所谓拖库,本意是从数据库导出数据,现在指网站遭到攻击后,黑客窃取数据库。由于很多网民习惯把邮箱、社交网站、游戏、网上支付等账号和密码设置的大致相同,一旦一个网站的数据库被黑客窃取,网民的其他账户也会轻易被黑客攻破。

此外,是否有可能是联通官方网站内部系统被攻破,黑客直接从官网上把充值卡的卡密盗走,目前不得而知。

—————————————————————————————————

 

       对充值卡盗窃的问题,网上也有很多分析和判断。我们不妨将业务分解成各个阶段,然后看看哪些原因能造成充值卡被盗,又如何在业务设计与实现上加以防御。

第一阶段:充值卡生成并在系统内存储。

在 这个阶段中,充值卡的信息生成并在数据库中存储。根据上面的情况来看,联通的充值卡都是在销售给代理商之后才被使用的,因此不存在生成数据之后、售出之前 被盗取的情况。但如果真是在该阶段就能盗取的话,也能造成上述的问题。例如管理员时刻监控这些卡的销售情况,如果一旦卖出,则在卖出一段时间之后抢先将卡 售出。

       解决方法:除了极少数超级管理员和审计员通过特定的终端外,其他人员只能看到卡号和金额,不能看到密码,这样就能彻底避免数据库/系统管理员泄密。

       第二阶段:代理商购买,并在本地存储。

首先看看该阶段的情况。“据了解,从联通网上营业厅购买的电子充值卡,由卡号和密码两部分组成,被批发商下载在文档中保存,然后打包加密,销售给小代理商。王奎说,此外批发商用自己的联通官网账号,在联通网上营业厅历史购卡记录查询中也可看到卡密。”

我个人也认为这个阶段的风险比较大,从第一张图中我们可以看到,用户一旦购买后,可以直接从网站上看到购买的卡号和密码;而与此同时,用户手上还有一份。这样就造成如下因素进行信息泄露:

(1)      代理商的登录帐号与口令泄密,可以直接登录查看;

(2)      网站自身存在安全问题,可能被攻击;(联通已发布的信息称网站通过第三方审查未发现安全问题)

(3)      代理商的电脑上存在木马病毒,可以通过录屏、盗用文件等方式窃取信息;

(4)      网站管理员是否可通过后台查看,也是一个风险。

这里面的问题很多,风险也很大,目前来看确实无法确定何种原因被盗。但是我认为在该业务的设计中,还是对风险预估不足,自身的业务设计也存在一定的问题。

              解决方案:(1)登录仅能查看购买的记录,采用双重密码才能查看详细信息(毕竟可能存在下载的数据损坏或丢失的情况);(2)除用户本人登录外,其他任何人员(管理、运维)查看需要进行数据模糊化;(3)加密下载数据,且必须通过联通指定的客户端打开或导出。

       第三阶段:代理商销售,小代理商售卖。

       我们通过事件可以看出,卡还未售卖给小代理商即被使用,因此不存在该环节的问题。但所有流程中均缺乏可信的验证措施,也是可能出现纠纷的一个风险。

 

通过上面的案例分析,我们也可以看到,一个业务的安全设计需要考虑到方方面面,比较复杂,绝对不是简单的叠加。如果更进一步考虑电子商务的安全风险,我们还需要考虑风险管理与控制等,这也是一个新的研究课题。好了,今天就先到这里,下期再见。

粟栗

  评论这张
 
阅读(727)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017