暴走时评:网络安全漏洞给银行造成了极大的损失, 无论孟加拉银行还是厄瓜多尔银行都是这些安全漏洞的受害者。显然惨痛的事实证明SWIFT等传统的安全网络无法应对越来越高明的技术犯罪手段。而区块链和 分布式账本技术的出现为银行的资金安全提供了目前最新最完善的技术支持。虽然目前不能断言这种技术可以完全替代现有安全系统,至少它与现有系统结合足以打 击目前的黑客攻击。网络安全漏洞给银行造成了极大的损失,无论孟加拉银行还是厄瓜多尔银行都是这些安全漏洞的受害者。显然惨痛的事实证明SWIFT等传统 的安全网络无法应对越来越高明的技术犯罪手段。而区块链和分布式账本技术的出现为银行的资金安全提供了目前最新最完善的技术支持。虽然目前不能断言这种技 术可以完全替代现有安全系统,至少它与现有系统结合足以打击目前的黑客攻击。
翻译:Annie_Xu
区块链和分布式账本技术是否能保护世界关键金融系统免受攻击?
银行进行国际支付和转账汇款需要使用代码和识别码组成的标准电子信息,这就是通用的金融语言。为了达到法律要求、验证参与方、发现违规行为、防范任何可疑 点和异常点,于是设置了许多审核手段、各种表格、各种流程和政策法规。执行交易前需要核对各种特别的数据库,比如黑名单中或者政府制裁名单的个人和团体。 鉴于交易涉及数千亿美元,因此设置如此多的管控手段也就不奇怪了。
然而就算配备了如此多的金融手段,后端有那么多人监控着货币流向,黑客还是时不时成功盗走资金。
年初就发生了大宗盗窃案。孟加拉国央行孟加拉银行(Bangladesh Bank)的账户丢失将近8100万美元巨款,黑客使用了纽联储账户(New York Federal Reserve)。黑客原本计划盗窃10亿美元,只是纽联储仅凭一丝运气,通过防护网阻止了大部分资金流失。
事情经过是这样的。
惊天窃案
目前案件还在调查中,只是涉事方都在极力推卸责任。纽联储说他们发现并拒绝了大多数的诈骗请求。网络罪犯假装孟加拉银行,总共向纽联储发送了35条信息, 涉及金额高达10亿美元,可是只有少数请求获批。相对于纽联储每天8000亿美元的国际汇款量,5800美元似乎相对不算多。
然而孟加拉银行则说,转账请求的频率很可疑,因此纽联储本该完全制止这次诈骗的。因为去年孟加拉银行几乎都是每个月申请两次向机构转账,而这次确是一年内向个人转账35次的请求。
此外,银行所有的SWIFT也遭到批评,因为它负责通信协议、软硬件和安全网的管理。该机构每天处理大约10000家银行和企业的2500万次通讯。批评家说SWIFT完全没有改善其网络的安全环境,本该在网络通讯安全技术方面加大投入的。
孟加拉银行自身也有很多问题。有人说该银行系统出现漏洞是因为松散的安全管控措施。黑客在发起攻击前一个月就完成恶意软件部署,有足够时间做计划和准备。 银行官员不会在网上监控交易,检查系统通讯的唯一方法是打印SWIFT网络中收到的信息。黑客终止了打印功能,而第二天银行发现纽联储和诈骗人的信息才进 行了修复。
而且这次攻击的时间把握的很准。黑客周四发送诈骗信息,而纽联储回复消息的时候,孟加拉银行刚好是周五和周六的休息日。银行修复打印功能,发现诈骗信息的时候,纽约又是周末。最后纽联储发现诈骗,再去阻止汇款的时候,转入地菲律宾真在过中国新年。
完全是侥幸
一开始申请10亿美元汇款的35条信息丢失了一些关键信息,因此纽联储拒绝了。于是黑客马上修正之后重新发送请求。这次纽联储执行了五笔交易,但人们说这 完全是凭运气。而汇款的目的地银行恰巧在菲律宾的Jupiter Street,这个街道的名字与美国制裁的伊朗运油船和船务代理重名。
脆弱的全球网络
现状是,全球网络,尤其是涉及汇款的网络,一直是网络罪犯的主要目标,而且他们的技术和组织形式都达到新高度。
而且这些罪犯拥有很多资源,甚至有流氓政府的支持,还有盗窃数百万美元的足够动机。银行业老前辈们还说这个行业一直盛行一种文化,就算发生盗窃或者漏洞,也尽量保持缄默。但是为了发现和修补漏洞,就应该秉着开放、合作的态度,共享信息和着手调查。
孟加拉银行盗窃案的罪犯很清楚系统情况,避开了最强的防护措施,攻击了国际支付网络的薄弱环节。之前黑客通过美国富国银行(Wells Fargo)盗窃厄瓜多尔银行1200万美元,可能也是这些人的杰作。现在这两家银行正在打官司。
美国安全解决方案公司Symantec认为这个黑客组织可能是Lazarus,他们是2014年索尼影业(Sony Pictures)的攻击者,而且得到朝鲜政府的支持。
区块链和分布式账本
区块链是为了支撑去中心化虚拟货币系统——比特币;但是世界金融体系却是中心化的,采用政府发行的法币。去中心化系统其实就是去信任的系统,因为没有受信任机构的参与,而且由系统中编写的逻辑和共识做出决策。
区块链是不可篡改的、不可撤销的交易历史信息记录,因此可以确定所有权并执行比特币交易。还能防止比特币持有者重复支付。虚拟货币系统中的节点,或者说计 算机会验证比特币交易,而不是由负责记账的单个中心化机构进行验证。区块链保证比特币系统是非许可型的,无需中央机构的授权或决议,因此是自治的。
分布式账本的定义很广。尽管区块链的开发者主要是将它用于比特币系统,分布式账本架构却可以支持各种系统。金融服务中的分布式账本系统一般是许可型的,因此自主性不强,可以搭配不同程度的灵活性和管控。
分布式账本架构可以提高风险管理
基于分布式账本的防诈骗系统有多个互相协同的数据库,可以有效地打击诈骗。这个系统会记录交易历史的机密记录,用于参考和验证,但是不会泄露给系统中每个人(与开放的区块链交易不同)。而且这个系统会存储和更新授权证书,验证交易发送和接收者。
目前银行和金融机构在内部都有自己的风险管理系统,并参考黑名单和制裁名单上的一般信息。因此单个银行就需要开发强大的风险管理系统,而这会造成系统无法 统一,风险控制与操作流程也就大相径庭。而分布式系统就可以帮助国际市场上的每个人,不仅仅是大型银行,还有缺乏高科技风险管理系统的小型银行。
银行系统常常出现大量“误报信息”,把交易当作可疑的或者诈骗的。但是大多数这种交易只是丢失了部分信息,而且在重新提交前都更正了。这种误报的比例让银 行职员开始忽视这种警报的危害性。分布式账本系统可以由主要的权益人进行管理,比如央行和大型商业银行。长期以来,SWIFT这样的央行机构是否符合这样 的系统需要,一直存在争议性。事实上,具有ISO标准格式的分布式系统可以自主运行,或者完全可以只采用主要参与者支持的少数骨干人员。
各种方法协同合作
央行在探索一种混合系统,由单个机构管理数据记录;同时采用分布式账本系统,保证网络安全和真实性。这个系统适用于很多场景——全球性、地区性、当地、国内,这样多个国家的中央机构就可以开发去中心化共享系统的附加层。
尽管需要一定时间去搭建基于定制版分布式账本的国际汇款系统,而且会产生大量成本;而且私钥的内部冲突与漏洞意味着理论上没有哪种系统完全可以阻止设计精妙的网络攻击。然而两者混合的系统就可以发现诈骗或洗钱交易,并更快度的做出修补。
声明:此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。本网站所提供的信息,只供参考之用。
