挨踢觀察：勒索病毒又要瞄準(zhǔn)移動(dòng)端了？移動(dòng)支付安全該怎么辦？

5月12日至今，肆虐全球的WannaCry勒索病毒讓全球網(wǎng)民度過了灰暗恐慌的一周，也讓諸多普通網(wǎng)民真正意識(shí)到，網(wǎng)絡(luò)安全并非只是網(wǎng)絡(luò)公司或安全公司的事了，自己也是網(wǎng)絡(luò)安全中的一員。據(jù)了解，WannaCry勒索病毒是***組織“影子經(jīng)紀(jì)人”外泄的***工具，而該組織日前再次發(fā)出警告，將于今年6月披露更多的***工具，主要瞄準(zhǔn)路由器、瀏覽器、Windows 10、或者手機(jī)！這就是說，第一波的勒索病毒主要針對(duì)Windows系統(tǒng)，而接下來的將會(huì)涉及到我們每個(gè)人的手機(jī)！

在寫文章前，我想先問一個(gè)問題：你覺得網(wǎng)絡(luò)安全距離你有多遠(yuǎn)？

估計(jì)如果是一周前，很多人會(huì)回答說，網(wǎng)絡(luò)安全是不是網(wǎng)絡(luò)公司和安全公司的事情么，跟我有什么關(guān)系？

而現(xiàn)在，在經(jīng)歷了肆虐全球的WannaCry（想哭）勒索病毒后，相信越來越多的人開始意識(shí)到自己也是網(wǎng)絡(luò)安全中的一員！

從5月12日起，WannaCry勒索病毒迅速席卷了全球150多個(gè)國家和地區(qū)，近30萬臺(tái)電腦遭到***。中國也深受其害，除了諸多個(gè)人用戶受到病毒勒索外，我國許多行業(yè)也受到極大影響，其中包括：石油、教育、公安、交通等重要領(lǐng)域。

病毒爆發(fā)后，各大安全廠商及技術(shù)專家紛紛獻(xiàn)策，針對(duì)WannaCry勒索病毒的討論和分析一直沒有停止過。各大公司內(nèi)部也緊急發(fā)布了針對(duì)小白用戶的防“毒”指南！我們隨便來看兩例：

兩份提醒的最后無一例外地都在強(qiáng)調(diào)一件事：安全意識(shí)！

預(yù)防網(wǎng)絡(luò)風(fēng)險(xiǎn)，意識(shí)、習(xí)慣是關(guān)鍵！

云計(jì)算-恩威-成都：為了安全，不要去百度網(wǎng)盤下東西，考慮網(wǎng)盤內(nèi)可能存有病毒文件。不要點(diǎn)擊未知的鏈接、軟件和郵件，更不要用百度網(wǎng)盤和U盤近期。

PHP-狄欽dQ-廣州：平時(shí)上網(wǎng)不要在隨意下載未知名的文件，單位很多辦公電腦以前都是各種奇怪的游戲軟件，還有360，金山，電腦管家等全家桶。辦公的人都不知道自己怎么下載來的。引來病毒也是有的事。目前特殊時(shí)期，暫時(shí)規(guī)定不能自行下載軟件，相關(guān)下載都需經(jīng)過安全檢查。設(shè)備上都做了ACL限制和終端隔離，網(wǎng)絡(luò)設(shè)備商已經(jīng)出了相關(guān)安防指導(dǎo)，我們總部IT和網(wǎng)絡(luò)安全部門已經(jīng)連發(fā)三封郵件了。

目前沒有徹底解決方案，一旦電腦中毒要么給錢要么重裝，個(gè)人電腦可能不是特別要緊，要是服務(wù)器或重要數(shù)據(jù)被***那就gg了。

Java+李賽+鄭州：莫名的恐慌，小白更是會(huì)胡亂下載，下載東西習(xí)慣到官網(wǎng)下，雖然不能保證百分百。如果個(gè)人電腦中招了，重裝系統(tǒng)可以解決吧，論數(shù)據(jù)備份的重要性。

鏟屎官~項(xiàng)目經(jīng)理~北京：所以網(wǎng)管就把網(wǎng)站禁用了，安全教育不能少，措施也不能少，下載后檢驗(yàn)md5值，雖然有點(diǎn)費(fèi)事，但是起碼安全一丟丟。根本的問題還要自己解決。數(shù)據(jù)就悲劇了。

網(wǎng)工-sevenot-成都：對(duì)于小白用戶來說，養(yǎng)成一個(gè)良好的上網(wǎng)、使用習(xí)慣，能夠防御普遍性***就足夠了。

好吧，再來看看這個(gè)國際大企業(yè)微軟針對(duì)WannaCry勒索病毒的聲明。除了告知用戶們及時(shí)添加補(bǔ)丁之外，在最后，也強(qiáng)調(diào)：

為保護(hù)我們的客戶整體生態(tài)系統(tǒng)的原則，以下原則請(qǐng)牢牢記住：一些常見的網(wǎng)絡(luò)***經(jīng)常會(huì)通過網(wǎng)絡(luò)釣魚策略或惡意附件的方式，客戶應(yīng)該提高警惕，不要輕易打開不可信或未知來源的文檔！

在網(wǎng)絡(luò)安全的世界里，沒有一款軟件是完美的，都會(huì)存在潛在的漏洞。我們不能將自己的安全完全寄托在安全工具里，只有提高自己的網(wǎng)絡(luò)安全意識(shí)，養(yǎng)成良好的上網(wǎng)習(xí)慣，做到不好奇、不亂點(diǎn)、及時(shí)備份，才能在病毒、***突襲的時(shí)候明哲保身。就像網(wǎng)友們所說的：“只有遇到類似于WannaCry勒索病毒的時(shí)候，才知道一個(gè)好的上網(wǎng)習(xí)慣是有多么重要”。

***為什么可以做到在無需知道源碼的情況下找出系統(tǒng)漏洞？

相信很多人都會(huì)有疑問：Windows并沒有開源，每次大規(guī)模爆發(fā)的網(wǎng)絡(luò)***都和Windows漏洞有關(guān)。像這次爆發(fā)的WannaCrypt病毒，***為什么可以在不看源碼的情況下挖出漏洞呢？來看看我們51CTO開發(fā)者群里的小伙伴怎么說吧：

Java+李賽+鄭州：掃面開放端口，不斷傳遞數(shù)據(jù)，觀看返回?cái)?shù)據(jù)的變化？類似暴力破解？

云計(jì)算-恩威-成都：但最主要的還是Windows，也就是微軟默許了這個(gè)行為，不然哪有安全廠商的天下。一般軟件在測試的時(shí)候，都會(huì)留下后門或者快捷鍵，Windows系統(tǒng)大，因此漏洞也就多了。打個(gè)比方，你寫10000行代碼肯定比你寫100行代碼錯(cuò)誤的地方要多得多。

人非圣賢孰能無過，在編Windows的時(shí)候（還有就是開發(fā)者編程水平不是很高考慮層面不廣），或多或少的會(huì)留下漏洞，在發(fā)布后這些漏洞就會(huì)被不懷好意的人揪出來。同時(shí)，Windows為了適應(yīng)各種不同的硬件，以及滿足作為PC操作系統(tǒng)的需求，他要靠大量復(fù)雜的組件去提供各種功能。Windows為了占有市場，給開發(fā)者提供的權(quán)限很大。有一種反編譯技術(shù)叫“脫殼”，幾乎沒有哪個(gè)是***做不到的，只要你發(fā)布補(bǔ)丁，就會(huì)有人利用，當(dāng)然還還可以抓包分析，所以找尋某個(gè)軟件漏洞的技術(shù)和工具以及思想多了。總結(jié)來說就是以下幾點(diǎn)原因：

1、使用Windows的人很多，所以發(fā)現(xiàn)bug的幾率高；
2、WIndows為了面向開發(fā)者，提供了Win32API接口、framework、dll類庫，有時(shí)難免會(huì)有代碼缺陷漏洞；
3、Windows的服務(wù)、端口、策略、注冊(cè)表的依賴項(xiàng)很多，一旦有一方面漏洞就會(huì)影響其他的；
4、Windows很多軟件和底層的邏輯不是很嚴(yán)密；
5、微軟內(nèi)部技術(shù)人員代碼泄露或者離職從事其他行業(yè)所引發(fā)的連鎖反應(yīng)；
6、很多安全優(yōu)化類的軟件接管了Windows的防火墻、安全I(xiàn)Psec策略和殺軟功能；
7、WindowsNT內(nèi)核問題，而且視窗類型的操作系統(tǒng)對(duì)硬件支持需要很多協(xié)議的一旦那個(gè)協(xié)議或者標(biāo)準(zhǔn)存在問題就會(huì)影響上層或者全局；
8、隨著編譯與反編譯、加密與解密、網(wǎng)絡(luò)等其他技術(shù)的不斷發(fā)展，各種工具軟件不斷開發(fā)出來 這樣對(duì)系統(tǒng)造成了危險(xiǎn)；

前端-楊益達(dá)-成都：蘋果和安卓主要是應(yīng)用商店的應(yīng)用證書安全白名單機(jī)制，像安卓沒有root你裝下來源不明的應(yīng)用也一樣能讀取和監(jiān)控你手機(jī)的大量信息。

PHP-Coeus-安徽：其實(shí)就是因?yàn)闆]有開源BUG和漏洞才多的吧，就像我們前端的
不需要知道源碼也知道你ajax請(qǐng)求的地址和參數(shù)，然后就嘗試能不能XSS。

Android-arige-北京：其實(shí)每個(gè)平臺(tái)的漏洞都差不多，只不過window的漏洞影響面大，所以大家都知道。另外window的市場很大，更受***青睞，更愿意下功夫去挖它的漏洞。

研發(fā)管理-彭-深圳：脫殼是對(duì)付加密的，而且從黑盒測試中可以返現(xiàn)很多漏洞的。一般公司的測試都不看代碼，有經(jīng)驗(yàn)的測試能夠發(fā)現(xiàn)很多bug，不過利用bug比如做堆棧溢出以后執(zhí)行特定代碼需要編程功力，發(fā)現(xiàn)0day的都是大牛，首先搞出某種***方式的也是大牛，其他的人只要沿著這個(gè)思路不停地去嘗試***系統(tǒng)，就可以找出很多漏洞了。這個(gè)不需要看源代碼，比如搞sql注入的，現(xiàn)在大把的工具給你用。
另外有些漏洞是掃街出來的,比如你給一個(gè)web服務(wù)器發(fā)送一些特定數(shù)據(jù),然后它c(diǎn)rash了,或者出來一堆莫名其妙的輸出,說明這里有個(gè)漏洞,很可能是個(gè)溢出，然后你嘗試更改發(fā)送數(shù)據(jù),分析那里的二進(jìn)制數(shù)據(jù)代碼，也許就發(fā)現(xiàn)了一個(gè)新漏洞了。

Java-勝新-大連：其實(shí)做后臺(tái)開發(fā)把代碼給代碼漏洞掃描工具掃描過一遍以后也是同樣的感覺。

勒索病毒敲響警鐘，移動(dòng)支付的安全如何保障？

據(jù)了解，肆虐全球的WannaCry勒索病毒是***組織“影子經(jīng)紀(jì)人”外泄的***工具，而該組織日前再次發(fā)出警告，將于今年6月披露更多的***工具，主要瞄準(zhǔn)路由器、瀏覽器、Windows 10、或者手機(jī)！這就是說，如果說第一波的勒索病毒主要是針對(duì)Windows系統(tǒng)，那么接下來的***將會(huì)瞄準(zhǔn)我們每個(gè)人的手機(jī)！這對(duì)于出門不帶現(xiàn)金，習(xí)慣了手機(jī)支付的同學(xué)們無疑是一記重?fù)簦≡?**橫行的今天，移動(dòng)支付的安全該如何保障呢？

后端接口開發(fā)-劉聲杰-成都：移動(dòng)支付最需要我們做的就是關(guān)閉一些不必要的免密支付，比如取消對(duì)手機(jī)設(shè)置指紋。支付寶免密碼支付，太有安全隱患了，如果企業(yè)自己設(shè)計(jì)支付類的第三方產(chǎn)品，一定要考慮這些。比如通過一定的數(shù)據(jù)收集分析該用戶的消費(fèi)習(xí)慣，如果發(fā)現(xiàn)有異常，就直接提醒用戶，但是分析用戶消費(fèi)習(xí)慣。這個(gè)是不太好界定什么才是異常消費(fèi)，因此用戶習(xí)慣才是關(guān)鍵。

51CTO-小官-運(yùn)營：如果產(chǎn)品中涉及到支付，可以調(diào)用支付寶插件，集成接口。但是還沒有支付寶官方聲明的安全問題

PHP-Coeus-安徽：說到底，還是很久以前說過的那句話，安全著東西主要還是看人，無論預(yù)防還是***，人才是最大的漏洞?；ヂ?lián)網(wǎng)沒有啥安全可言的，暗網(wǎng)下多少見不得人的勾當(dāng)，我們現(xiàn)在使用到的互聯(lián)網(wǎng)只是整個(gè)互聯(lián)網(wǎng)的九牛一毛而已。

網(wǎng)絡(luò)&興趣：服務(wù)端Linux的安全性要比win高出很多了吧,再加上大公司一般都有很高端和齊全的安全設(shè)備在出口和專人維護(hù),想突破還是很困難的,手機(jī)端的支付密碼也都是加密傳輸?shù)?就算被捕獲,不懂密碼學(xué)也不好破解的。

云計(jì)算-恩威-成都：

移動(dòng)支付方式場景劃分主要包括遠(yuǎn)程支付和近場支付。

關(guān)于移動(dòng)支付安全如何保障，我來說說我的分析思路吧！
1、移動(dòng)安全現(xiàn)狀和特性是什么？（理論和現(xiàn)實(shí)）
2、影響移動(dòng)支付的安全因素有那些？（保護(hù)得尋找源頭）
3、移動(dòng)支付軟件的設(shè)計(jì)者、開發(fā)者和產(chǎn)品運(yùn)營的人應(yīng)當(dāng)些什么？（細(xì)節(jié)和目的）

技術(shù)性保護(hù)：源碼保護(hù)、文件風(fēng)險(xiǎn)檢測、APK防止二次打包、so庫加密、dex三重保護(hù)、安全評(píng)估及處理。
社會(huì)性邏輯保護(hù)：
1. 雙重身份驗(yàn)證（APP和手機(jī)驗(yàn)證）
2. 使用官方應(yīng)用商店的支付應(yīng)用
3. 加強(qiáng)設(shè)備本身安全性
4. 使用信用卡而非借記卡
5. 使用可信任的因特網(wǎng)連接
6. 設(shè)置賬戶更改警報(bào)
7. 確定轉(zhuǎn)賬人信息
8.必要時(shí)不定期修改密碼

遠(yuǎn)程支付中，終端APP多通過TLS/SSL協(xié)議完成用戶和遠(yuǎn)程服務(wù)器間的網(wǎng)絡(luò)安全連接，通過數(shù)字證書實(shí)現(xiàn)雙端身份認(rèn)證，并使用協(xié)商的對(duì)稱會(huì)話密鑰對(duì)后續(xù)傳輸?shù)慕灰仔畔⑦M(jìn)行加密和完整性保護(hù)。尤其是andriod，由于系統(tǒng)的開源，所以底層的漏洞會(huì)引發(fā)移動(dòng)支付安全（包括錄屏、劫持?jǐn)?shù)據(jù)包、***、保存密碼等等）。

Java-勇波-北京：掃一掃支付盡管快捷，但你只要打開支付界面，所謂安全就在手機(jī)解鎖和軟件解鎖2個(gè)了。還是密碼的好些，但又不方便 。因此支付寶微信，還是少放些錢后解綁所有銀行卡，信用卡，在安全方面，沒有什么絕對(duì)安全的，還是使用習(xí)慣的問題。

網(wǎng)工-sevenot-成都：其實(shí)生物識(shí)別的密碼并沒有我們想象中的安全，生物特征一旦別竊取，就基本告別任何安全體系，因?yàn)槲覀儧]法改變自己的生物特征。對(duì)于普通用戶來說，一個(gè)良好的使用習(xí)慣比學(xué)習(xí)安全知識(shí)來得實(shí)用，一個(gè)良好的使用習(xí)慣，能夠防御普遍性***就足夠了。

后端接口開發(fā)-劉聲杰-成都：其實(shí)，我們只要保護(hù)好自己的很多個(gè)人信息，尤其是支付密碼必須和其他平臺(tái)的密碼不一致?，F(xiàn)在很多APP都會(huì)收集手機(jī)里面的個(gè)人信息，很多網(wǎng)站的密碼還不知道是否加密，所以我們一定要保證支付密碼和其他平臺(tái)不一樣。

寫在最后

WannaCry勒索病毒1.0和2.0的余溫還未冷卻，***就又囂張放話，手機(jī)移動(dòng)端將成為他們的***對(duì)象之一。本篇文章，匯總了諸多技術(shù)牛人們對(duì)于安全，尤其是手機(jī)支付安全的看法，希望能給你一些啟示，在病毒來襲時(shí)，提前做好防護(hù)措施。最后，套用一句“云計(jì)算-恩威-成都”的話：有守衛(wèi)，財(cái)安全！

歡迎加入51CTO開發(fā)者QQ交流群 312724475討論。