【IT168专稿】纽约证券交易所、美国证券交易所、投资银行、政府和市办的证券交易商、信托公司、联邦储备银行……正是这些呼风唤雨的知名金融机构,把华尔街这条全长仅有500多米、街面非常狭窄的小马路,变为了国际金融界的“神经中枢”。
每天,这些金融机构的经纪人通过电脑屏幕显示的市场信息和证券价格来制定上亿美金的交易决策。但是,近日,一位曾在华尔街金融服务行业担任过CISO(首席信息安全官)的人撰文爆料,目前华尔街电脑终端所提供的服务中存在巨大的信息安全隐患,对金融市场可能会造成严重的影响。
“如果你仔细观察整个系统的运作,就一定会认识到,利用这些漏洞进行欺诈其实很容易。”他说。
隐患之一:金融信息源欠安全
金融新闻机构提供的主要服务之一就是把市场上的各种数据传送到全世界。交易人员通过这些信息及时了解公开交易证券的买卖价格,然后据此做出决策。这里所涉及的资金高达上亿美金。
如果你不理解这些数据对大的金融公司的大厅交易有多么重要的话,不妨听听这条消息:据我所知,一名网络系统工程师获得了100万美元的奖励,仅仅是因为他把交易时间缩短了1秒钟。是的,对那些人来说,时间的确就是金钱——而且不是小数目。
根据我的了解,金融信息公司连接到金融市场的信息源没有任何认证和加密措施,也不用检查数据的完整性。造成这种局面的主要原因是市场的时间压力。没有人希望因为安全控制而减慢价格信息的传输速度。因为这种做法明显缺乏安全性,进行中间人攻击非常容易。
这种攻击如何进行?我们假设黑客侵入了金融市场和信息公司之间的连接,然后就能修改某支股票的价格,显示它大跌了20%。所有使用该公司终端的交易员获得此信息之后,一些(也可能是全部)人就会做出反应,抛售这支股票。请记住,这种决策可以由交易人员做出,也可以由监视股票价格波动的程序执行。
这种抛售,反过头来又会刺激其它交易人员(甚至是使用其它公司终端的)的抛售,加速股价的下跌。
同时,黑客可以趁此机会购入这支股票。当市场终于认识到这种错误时,股价又会回复到之前的正常价位。不幸的是,黑客此时能够以这个价格抛出他手中“低价购入”的股票。监管部门可能会调查股价的突然下跌,但因为没有认证、加密和完整性检查的机制,也就没有足够的证据来查出黑客。
公平地说,这其实不是金融新闻机构的错。如果它们需要获得市场信息,他们就应该按照市场规则办事。因为大多数金融市场拒绝使用认证、加密和完整性检验,金融新闻机构也没有别的选择。那么,我们可有其它的办法?停止向客户提供市场信息吗?这显然不可能。
