【IT168专稿】纽约证券交易所、美国证券交易所、投资银行、政府和市办的证券交易商、信托公司、联邦储备银行……正是这些呼风唤雨的知名金融机构,把华尔街这条全长仅有500多米、街面非常狭窄的小马路,变为了国际金融界的“神经中枢”。
每天,这些金融机构的经纪人通过电脑屏幕显示的市场信息和证券价格来制定上亿美金的交易决策。但是,近日,一位曾在华尔街金融服务行业担任过CISO(首席信息安全官)的人撰文爆料,目前华尔街电脑终端所提供的服务中存在巨大的信息安全隐患,对金融市场可能会造成严重的影响。
“如果你仔细观察整个系统的运作,就一定会认识到,利用这些漏洞进行欺诈其实很容易。”他说。
隐患之一:金融信息源欠安全
金融新闻机构提供的主要服务之一就是把市场上的各种数据传送到全世界。交易人员通过这些信息及时了解公开交易证券的买卖价格,然后据此做出决策。这里所涉及的资金高达上亿美金。
如果你不理解这些数据对大的金融公司的大厅交易有多么重要的话,不妨听听这条消息:据我所知,一名网络系统工程师获得了100万美元的奖励,仅仅是因为他把交易时间缩短了1秒钟。是的,对那些人来说,时间的确就是金钱——而且不是小数目。
根据我的了解,金融信息公司连接到金融市场的信息源没有任何认证和加密措施,也不用检查数据的完整性。造成这种局面的主要原因是市场的时间压力。没有人希望因为安全控制而减慢价格信息的传输速度。因为这种做法明显缺乏安全性,进行中间人攻击非常容易。
这种攻击如何进行?我们假设黑客侵入了金融市场和信息公司之间的连接,然后就能修改某支股票的价格,显示它大跌了20%。所有使用该公司终端的交易员获得此信息之后,一些(也可能是全部)人就会做出反应,抛售这支股票。请记住,这种决策可以由交易人员做出,也可以由监视股票价格波动的程序执行。
这种抛售,反过头来又会刺激其它交易人员(甚至是使用其它公司终端的)的抛售,加速股价的下跌。
同时,黑客可以趁此机会购入这支股票。当市场终于认识到这种错误时,股价又会回复到之前的正常价位。不幸的是,黑客此时能够以这个价格抛出他手中“低价购入”的股票。监管部门可能会调查股价的突然下跌,但因为没有认证、加密和完整性检查的机制,也就没有足够的证据来查出黑客。
公平地说,这其实不是金融新闻机构的错。如果它们需要获得市场信息,他们就应该按照市场规则办事。因为大多数金融市场拒绝使用认证、加密和完整性检验,金融新闻机构也没有别的选择。那么,我们可有其它的办法?停止向客户提供市场信息吗?这显然不可能。
隐患之二:新闻报道欠规范
就像市场信息源一样,新闻也能够迅速地影响股价。而伪造市场新闻的难度也相当小。
举例来说,许多年前,某家提供终端服务的公司收到过一封伪造的关于上市公司Emulex的新闻传真。这条新闻报道了该公司的负面新闻。为了抢夺先机,该公司没有验证传真的内容,就由编辑并直接向终端发送了这条新闻。
其它新闻机构也不甘落后,开始发布同样的消息。结果,Emulex的股票应声而跌。假传真的炮制者就趁此大量低价买入该公司的股票。
后来,SEC进行了调查,并抓获了制造假新闻的人,但是调查仅仅是为了抓获制造假新闻的人,而没有发现正是因为新闻机构缺乏控制,才导致欺诈的发生。令人沮丧的是,这样的事情今天仍然可能发生——成功地欺骗一家金融信息机构,然后下手。
第三点隐患:终端认证存在漏洞
在一家我熟悉的公司,终端是以指纹验证登录的。指纹扫描仪首先取客户指纹线中的若干个点,把图像存储下来用作今后的验证。如果匹配率达到80%以上,就视为验证成功。
这种做法的问题在于,图像存储在终端内的指纹扫描仪内部,而不是终端提供商的认证服务器上。所以,有知识的黑客只需要在本地伪造一幅图像,就能骗过指纹扫描仪,成功登录。当然,这需要高超的技巧,以及深入了解扫描仪的工作原理。但是指纹扫描仪在行业中应用很广泛,获得这种设备,检测认证传输协议,然后伪造图像进行攻击并不是难事。
黑客能从这种认证漏洞中得到什么好处呢?他们可以在被侵入的终端上进行交易。如果侵入了恰当的终端,或者说,金融服务行业主要交易机构的终端,他们就能够大量买进卖出某支股票。确实,这样做代价不小,但考虑到潜在的收益,还是会有人铤而走险的。
为什么问题被忽视了?
了解这些之后,读者或许会问,为什么这些机构不进行更多的监管呢?毕竟,这些隐患如果遭到利用,会对金融市场产生严重的影响,或者,至少给了个人提供了欺诈的机会。
其实,并不是金融信息机构和交易终端设备提供商有意忽视安全,而是因为它们处于法律监管的空白地带。如果他们是上市公司,就绝对不敢忽视塞班斯法案。它们也不是银行,所以美联储和货币监理署没有对它们进行管制。如果它们只是提供前端设备(也就是终端),就可以绕过SEC关于证券市场交易的任何规定,为经纪人业务服务公司提供设备。这样就能逃避联邦政府和州政府的管制规定。
目前,塞班斯法案的实施引起了反感,金融服务行业也因此缺乏动力遵守新的管制规定。所以,尽管这些隐患存在,而且金融市场在巨大的风险中运行,此行业仍然会这样继续下去,直到有一天遇到上文描述的灾难为止。在此之前,整个行业都会不会真正重视类似的事故。
