挨踢觀察：勒索病毒又要瞄準移動端了？移動支付安全該怎么辦？

5月12日至今，肆虐全球的WannaCry勒索病毒讓全球網民度過了灰暗恐慌的一周，也讓諸多普通網民真正意識到，網絡安全并非只是網絡公司或安全公司的事了，自己也是網絡安全中的一員。據了解，WannaCry勒索病毒是***組織“影子經紀人”外泄的***工具，而該組織日前再次發出警告，將于今年6月披露更多的***工具，主要瞄準路由器、瀏覽器、Windows 10、或者手機！這就是說，第一波的勒索病毒主要針對Windows系統，而接下來的將會涉及到我們每個人的手機！

在寫文章前，我想先問一個問題：你覺得網絡安全距離你有多遠？

估計如果是一周前，很多人會回答說，網絡安全是不是網絡公司和安全公司的事情么，跟我有什么關系？

而現在，在經歷了肆虐全球的WannaCry（想哭）勒索病毒后，相信越來越多的人開始意識到自己也是網絡安全中的一員！

從5月12日起，WannaCry勒索病毒迅速席卷了全球150多個國家和地區，近30萬臺電腦遭到***。中國也深受其害，除了諸多個人用戶受到病毒勒索外，我國許多行業也受到極大影響，其中包括：石油、教育、公安、交通等重要領域。

病毒爆發后，各大安全廠商及技術專家紛紛獻策，針對WannaCry勒索病毒的討論和分析一直沒有停止過。各大公司內部也緊急發布了針對小白用戶的防“毒”指南！我們隨便來看兩例：

兩份提醒的最后無一例外地都在強調一件事：安全意識！

預防網絡風險，意識、習慣是關鍵！

云計算-恩威-成都：為了安全，不要去百度網盤下東西，考慮網盤內可能存有病毒文件。不要點擊未知的鏈接、軟件和郵件，更不要用百度網盤和U盤近期。

PHP-狄欽dQ-廣州：平時上網不要在隨意下載未知名的文件，單位很多辦公電腦以前都是各種奇怪的游戲軟件，還有360，金山，電腦管家等全家桶。辦公的人都不知道自己怎么下載來的。引來病毒也是有的事。目前特殊時期，暫時規定不能自行下載軟件，相關下載都需經過安全檢查。設備上都做了ACL限制和終端隔離，網絡設備商已經出了相關安防指導，我們總部IT和網絡安全部門已經連發三封郵件了。

目前沒有徹底解決方案，一旦電腦中毒要么給錢要么重裝，個人電腦可能不是特別要緊，要是服務器或重要數據被***那就gg了。

Java+李賽+鄭州：莫名的恐慌，小白更是會胡亂下載，下載東西習慣到官網下，雖然不能保證百分百。如果個人電腦中招了，重裝系統可以解決吧，論數據備份的重要性。

鏟屎官~項目經理~北京：所以網管就把網站禁用了，安全教育不能少，措施也不能少，下載后檢驗md5值，雖然有點費事，但是起碼安全一丟丟。根本的問題還要自己解決。數據就悲劇了。

網工-sevenot-成都：對于小白用戶來說，養成一個良好的上網、使用習慣，能夠防御普遍性***就足夠了。

好吧，再來看看這個國際大企業微軟針對WannaCry勒索病毒的聲明。除了告知用戶們及時添加補丁之外，在最后，也強調：

為保護我們的客戶整體生態系統的原則，以下原則請牢牢記住：一些常見的網絡***經常會通過網絡釣魚策略或惡意附件的方式，客戶應該提高警惕，不要輕易打開不可信或未知來源的文檔！

在網絡安全的世界里，沒有一款軟件是完美的，都會存在潛在的漏洞。我們不能將自己的安全完全寄托在安全工具里，只有提高自己的網絡安全意識，養成良好的上網習慣，做到不好奇、不亂點、及時備份，才能在病毒、***突襲的時候明哲保身。就像網友們所說的：“只有遇到類似于WannaCry勒索病毒的時候，才知道一個好的上網習慣是有多么重要”。

***為什么可以做到在無需知道源碼的情況下找出系統漏洞？

相信很多人都會有疑問：Windows并沒有開源，每次大規模爆發的網絡***都和Windows漏洞有關。像這次爆發的WannaCrypt病毒，***為什么可以在不看源碼的情況下挖出漏洞呢？來看看我們51CTO開發者群里的小伙伴怎么說吧：

Java+李賽+鄭州：掃面開放端口，不斷傳遞數據，觀看返回數據的變化？類似暴力破解？

云計算-恩威-成都：但最主要的還是Windows，也就是微軟默許了這個行為，不然哪有安全廠商的天下。一般軟件在測試的時候，都會留下后門或者快捷鍵，Windows系統大，因此漏洞也就多了。打個比方，你寫10000行代碼肯定比你寫100行代碼錯誤的地方要多得多。

人非圣賢孰能無過，在編Windows的時候（還有就是開發者編程水平不是很高考慮層面不廣），或多或少的會留下漏洞，在發布后這些漏洞就會被不懷好意的人揪出來。同時，Windows為了適應各種不同的硬件，以及滿足作為PC操作系統的需求，他要靠大量復雜的組件去提供各種功能。Windows為了占有市場，給開發者提供的權限很大。有一種反編譯技術叫“脫殼”，幾乎沒有哪個是***做不到的，只要你發布補丁，就會有人利用，當然還還可以抓包分析，所以找尋某個軟件漏洞的技術和工具以及思想多了。總結來說就是以下幾點原因：

1、使用Windows的人很多，所以發現bug的幾率高；
2、WIndows為了面向開發者，提供了Win32API接口、framework、dll類庫，有時難免會有代碼缺陷漏洞；
3、Windows的服務、端口、策略、注冊表的依賴項很多，一旦有一方面漏洞就會影響其他的；
4、Windows很多軟件和底層的邏輯不是很嚴密；
5、微軟內部技術人員代碼泄露或者離職從事其他行業所引發的連鎖反應；
6、很多安全優化類的軟件接管了Windows的防火墻、安全IPsec策略和殺軟功能；
7、WindowsNT內核問題，而且視窗類型的操作系統對硬件支持需要很多協議的一旦那個協議或者標準存在問題就會影響上層或者全局；
8、隨著編譯與反編譯、加密與解密、網絡等其他技術的不斷發展，各種工具軟件不斷開發出來 這樣對系統造成了危險；

前端-楊益達-成都：蘋果和安卓主要是應用商店的應用證書安全白名單機制，像安卓沒有root你裝下來源不明的應用也一樣能讀取和監控你手機的大量信息。

PHP-Coeus-安徽：其實就是因為沒有開源BUG和漏洞才多的吧，就像我們前端的
不需要知道源碼也知道你ajax請求的地址和參數，然后就嘗試能不能XSS。

Android-arige-北京：其實每個平臺的漏洞都差不多，只不過window的漏洞影響面大，所以大家都知道。另外window的市場很大，更受***青睞，更愿意下功夫去挖它的漏洞。

研發管理-彭-深圳：脫殼是對付加密的，而且從黑盒測試中可以返現很多漏洞的。一般公司的測試都不看代碼，有經驗的測試能夠發現很多bug，不過利用bug比如做堆棧溢出以后執行特定代碼需要編程功力，發現0day的都是大牛，首先搞出某種***方式的也是大牛，其他的人只要沿著這個思路不停地去嘗試***系統，就可以找出很多漏洞了。這個不需要看源代碼，比如搞sql注入的，現在大把的工具給你用。
另外有些漏洞是掃街出來的,比如你給一個web服務器發送一些特定數據,然后它crash了,或者出來一堆莫名其妙的輸出,說明這里有個漏洞,很可能是個溢出，然后你嘗試更改發送數據,分析那里的二進制數據代碼，也許就發現了一個新漏洞了。

Java-勝新-大連：其實做后臺開發把代碼給代碼漏洞掃描工具掃描過一遍以后也是同樣的感覺。

勒索病毒敲響警鐘，移動支付的安全如何保障？

據了解，肆虐全球的WannaCry勒索病毒是***組織“影子經紀人”外泄的***工具，而該組織日前再次發出警告，將于今年6月披露更多的***工具，主要瞄準路由器、瀏覽器、Windows 10、或者手機！這就是說，如果說第一波的勒索病毒主要是針對Windows系統，那么接下來的***將會瞄準我們每個人的手機！這對于出門不帶現金，習慣了手機支付的同學們無疑是一記重擊！在***橫行的今天，移動支付的安全該如何保障呢？

后端接口開發-劉聲杰-成都：移動支付最需要我們做的就是關閉一些不必要的免密支付，比如取消對手機設置指紋。支付寶免密碼支付，太有安全隱患了，如果企業自己設計支付類的第三方產品，一定要考慮這些。比如通過一定的數據收集分析該用戶的消費習慣，如果發現有異常，就直接提醒用戶，但是分析用戶消費習慣。這個是不太好界定什么才是異常消費，因此用戶習慣才是關鍵。

51CTO-小官-運營：如果產品中涉及到支付，可以調用支付寶插件，集成接口。但是還沒有支付寶官方聲明的安全問題

PHP-Coeus-安徽：說到底，還是很久以前說過的那句話，安全著東西主要還是看人，無論預防還是***，人才是最大的漏洞。互聯網沒有啥安全可言的，暗網下多少見不得人的勾當，我們現在使用到的互聯網只是整個互聯網的九牛一毛而已。

網絡&興趣：服務端Linux的安全性要比win高出很多了吧,再加上大公司一般都有很高端和齊全的安全設備在出口和專人維護,想突破還是很困難的,手機端的支付密碼也都是加密傳輸的,就算被捕獲,不懂密碼學也不好破解的。

云計算-恩威-成都：

移動支付方式場景劃分主要包括遠程支付和近場支付。

關于移動支付安全如何保障，我來說說我的分析思路吧！
1、移動安全現狀和特性是什么？（理論和現實）
2、影響移動支付的安全因素有那些？（保護得尋找源頭）
3、移動支付軟件的設計者、開發者和產品運營的人應當些什么？（細節和目的）

技術性保護：源碼保護、文件風險檢測、APK防止二次打包、so庫加密、dex三重保護、安全評估及處理。
社會性邏輯保護：
1. 雙重身份驗證（APP和手機驗證）
2. 使用官方應用商店的支付應用
3. 加強設備本身安全性
4. 使用信用卡而非借記卡
5. 使用可信任的因特網連接
6. 設置賬戶更改警報
7. 確定轉賬人信息
8.必要時不定期修改密碼

遠程支付中，終端APP多通過TLS/SSL協議完成用戶和遠程服務器間的網絡安全連接，通過數字證書實現雙端身份認證，并使用協商的對稱會話密鑰對后續傳輸的交易信息進行加密和完整性保護。尤其是andriod，由于系統的開源，所以底層的漏洞會引發移動支付安全（包括錄屏、劫持數據包、***、保存密碼等等）。

Java-勇波-北京：掃一掃支付盡管快捷，但你只要打開支付界面，所謂安全就在手機解鎖和軟件解鎖2個了。還是密碼的好些，但又不方便 。因此支付寶微信，還是少放些錢后解綁所有銀行卡，信用卡，在安全方面，沒有什么絕對安全的，還是使用習慣的問題。

網工-sevenot-成都：其實生物識別的密碼并沒有我們想象中的安全，生物特征一旦別竊取，就基本告別任何安全體系，因為我們沒法改變自己的生物特征。對于普通用戶來說，一個良好的使用習慣比學習安全知識來得實用，一個良好的使用習慣，能夠防御普遍性***就足夠了。

后端接口開發-劉聲杰-成都：其實，我們只要保護好自己的很多個人信息，尤其是支付密碼必須和其他平臺的密碼不一致。現在很多APP都會收集手機里面的個人信息，很多網站的密碼還不知道是否加密，所以我們一定要保證支付密碼和其他平臺不一樣。

寫在最后

WannaCry勒索病毒1.0和2.0的余溫還未冷卻，***就又囂張放話，手機移動端將成為他們的***對象之一。本篇文章，匯總了諸多技術牛人們對于安全，尤其是手機支付安全的看法，希望能給你一些啟示，在病毒來襲時，提前做好防護措施。最后，套用一句“云計算-恩威-成都”的話：有守衛，財安全！

歡迎加入51CTO開發者QQ交流群 312724475討論。