图片来源:微摄 10月26日,“金融密码杯”2020全国密码应用和技术创新大赛颁奖在苏州举行。人民银行副行长、竞赛指导委员会主席范一飞及评审指导小组成员为获奖团队颁发了数字人民币奖金。 本次大赛由人民银行数字货币研究所和清华大学密码理论与技术研究中心联合主办,分为挑战赛和创新赛两条赛道。挑战赛道方面,评出三等奖团队6支、二等奖团队3支、一等奖团队1支、优胜奖团队10支。另有25名选手获得个人奖项。创新赛道方面,评出三等奖团队10支、二等奖团队7支、一等奖团队3支、优胜奖团队20支。另有26名选手获得个人奖项。 “金融密码杯”2020全国密码应用和技术创新大赛是国内密码人才交流学习与密码技术应用创新、合作、发展的重要平台。本次大赛以金融密码应用需求为引导、密码技术创新为目标,有效锻炼了密码人才队伍,提升了密码创新应用能力,对贯彻落实《中华人民共和国密码法》、推动密码学在金融领域的应用实践、全面提升金融安全保障能力等方面具有深远意义。 部分商业银行负责同志、人民银行有关司局、人民银行直属事业单位同志、来自政府机关、重点科研院所、企事业单位等机构的评审委员及获奖单位代表等参加活动。
期货交易密码安全警钟:黑客“对敲”小众品种 千万资产乾坤大挪移 不通过银行转账,如何操纵一个账户将其中的款项腾挪到另外一个陌生账户? 看似复杂,其实说来与证券市场上的操作手段类似,先选择一个在期货市场小众、不活跃的品种(包括铅、锡、玻璃、锰硅),用自己的账户在低处买进,用别人账户高买拉高交易价格,最后将自己账户平仓,抽身而逃。整个过程时间非常短,多为1小时左右。 作为投资者,对自己期货账户内资金的安全问题往往不用太担心,毕竟作为使用银证进行转账,并由国家期货监察机构进行监察的投资方式,其资金安全照理来说是理所应当的。但就是在这看似绝对安全的交易环境下,有近30年交易经验的资深期货投资者李斌(化名),和某上市公司、两家基金、刘先生、雷先生共六个账户中的千万资金却被“谜”一般卷走了。 两个“黑客”账户浮出水面 事情最早可以追溯到2016年12月28日,像往常一样,李斌打开自己的账户,却发现自己的账户被人操作锰硅这一小众品种,账户里四五百万的资产竟然亏损大半。 李斌迅速联系了开户的期货公司,后者建议其写一封举报信给郑州商品交易所和上海期货交易所。除此之外,李斌还向上海市静安分局刑侦支队报案,警方已经立案。 报案之后,相关监管机构迅速锁定两个有盗取账户嫌疑的人,云南昆明的杨佳航(化名)和安徽省淮北市的徐林(化名),并对两个账户做监管和限制出金,通过了解市场异常交易、账户违法得利、IP地址等信息,认为杨佳航和徐林账户存在异常交易。而相关监管机构锁定了名为袁某的一个账户名,并通过IP和MAC地址的关联性,最终把杨佳航确定为袁某账户的实际控制人。 根据21世纪经济报道获得的一份相关官方机构的核查函件,判断依据有三:一是杨佳航和徐林是被盗账户的主要交易对手方,在案发时间内,并不存在其他交易对手;二是徐林的账户在开户后,截止到2016年12月28日,这个账户只在涉案日期和涉案合约做了交易;三是被盗账户在2016年12月20日到28日之间使用的IP/MAC地址,与徐、杨二人交易使用的一致。 21世纪经济报道获得的一份相关官方机构的排查报告显示,杨作为上述名为袁某的账户的实控人,在2016年9月到11月之间于多家期货公司频繁开户,且除了盗取李斌账户之外,至少还涉嫌盗取前述上市公司、深圳市某投资基金管理有限公司和一位刘姓期货投资者三个账户的密码。 多空对敲资金“大挪移” 不通过银行转账,如何操纵一个账户将其中的款项腾挪到另外一个陌生账户? 看似复杂,其实说来与证券市场上的操作手段类似,先选择一个在期货市场小众、不活跃的品种(包括铅、锡、玻璃、锰硅),用自己的账户在低处买进,用别人账户高买拉高交易价格,最后将自己账户平仓,抽身而逃。整个过程时间非常短,多为1小时左右。 以袁某账户2016年11月10日在某基金账户铅(PB)1701合约中的操作为例: 在当日凌晨0:32:12到0:40:03的8分钟内,某基金以高于市场最优价的17320元/吨,分38笔,每笔10手到40手报买入开仓,从而使得当时的市场价每吨上升了10元,然后0:46:23到0:56:36这10分钟之间,又以低于当时市场最优价的16795元/吨,分40笔,每笔4手到50手报卖出平仓,从而使当时的市场价从17210元/吨下降到17040元/吨。 在短短24分钟之中,某基金的这个被盗账户买入和卖出各610手,买入卖出差价高达524元/吨,小额频繁报单集中高价买入,又小额集中低价平仓。 之所以这么做,是因为用于“收割成果”的账号早已埋伏进去。 袁某的账户在某基金账户买入之前一日的23:53:35和当日的0:05:18分别买开和卖平1手,这种行为有些类似于测试账户交易功能,为接下来的行为“热身”。 然后这个账户在0:20:17至0:30:09这10分钟内,分20笔共38手,以当时市场价(17190元至17225元/吨不等)报单买入。在看到市场价被某基金账户抬升之后,袁某账户又以当时市场价卖出成交89手,其中38手是卖出平仓,51手是卖出开仓(相当于股票做空)。1分钟后又以17070元/吨至17200元/吨的价格预埋单报买入平今仓21手。 在某基金账户以低价卖出平仓之时,市场价下跌,袁某账户的预埋单先成交21手,然后又以17105元/吨到17110元/吨的价格报买平今仓30手。 总之,在盗码期间之前,先买入报单和成交,价格推高之后再较为集中地卖出;价格被推低后,又较多买入平仓。这一来一回,袁某账户在这一小时左右盈利5.5万元。 “我研究了我账户里的4万多笔交易,手法也差不多。相当于高位抛出赚第一笔钱,再通过做空赚第二笔钱,割两次韭菜,这是严重扰乱市场秩序的行为。”李斌对记者表示。 无独有偶,根据相关机构的排查报告,袁某账户2016年11月14日盗取上市公司套期保值账户,以类似操作在锡这个品种上盈利40万元。 上述报告认为,袁某的账户与杨佳航的账户可能存在实际控制关系,从袁某账户的报单、成交来看,袁某账户在2016年11月-12月之间,与某上市公司、某基金以及刘姓投资人等账户被盗码都有重大嫌疑。 多线程爆破破译密码? 这个进行千万资金转移的杨佳航的账户,背后究竟是什么人,这个人又是利用什么技术获取他人账号的呢? 21世纪经济报道记者多方了解得知,前述案例均已在相关管辖区域公安系统立案,具体案情尚待相关部门进一步披露。但报道中的几个案例,足以对投资者和相关监管机构敲响证券市场交易安全警钟。 李斌多方了解到,杨佳航是一个名牌大学毕业生,平时工作是程序员。警方介入调查后发现,杨佳航从2016年下半年开始,从西南地区一家期货公司租用了袁某的账号作为“对敲”盗码账号获利的工具。 李斌还指出,涉嫌使用的盗取密码的“黑科技”,叫做“多线程爆破”技术。 “多线程”指的是从软件或者硬件上实现多个线程并发执行的技术。 一位技术专家向记者举例称,比如黑客有本“字典”,里面是一些投资者经常设置的密码,比如“888888”或者“666666”,然后在攻击了期货公司服务器之后,用字典中的密码一个个试。如果单线程一个个密码去试,那么试完所有密码要耗费大量时间。但电脑在运行单个程序往往占用内存很少,所以为了提高效率,可以让电脑同时运行多个程序,于是多线程爆破就类似于同一台电脑同时进行大量运算,快速匹配上密码和相对应的账号。如果刚好服务器中有一个账户使用的密码在“字典”之中,那么这个账户就面临被盗用的风险。 “不过证监会对期货公司等金融机构的保密要求很高,绝大多数公司会设置一定的风控措施,比如同一个IP地址短时间内访问次数不能超过多少次。”上述专家表示。 不过,到底是不是多线程爆破,尚待警方最终定论。上述技术专家认为还有一种可能性是投资者个人无意中泄露了信息,被嫌疑人捕捉到,直接用密码登录了,目前还无法做出确切的判断。 不过盗码案件在期货交易中并不罕见。 微信公众号“上期所发布”在去年“3·15”期间曾经披露过类似案件:上期所监控系统发现一系列“对敲”的异常交易,三起案件中盈利方获利7500元到19060元不等,且受害方则均非本人交易。嫌疑人在同一期货营业部开户,利用同一远期不活跃合约,较短时间内完成对敲交易,30分钟内快速转账提现。上期所后来锁定了嫌疑人方某,方某利用木马盗取期货交易密码,然后借用他人身份证设立期货账户,通过期货远期合约对敲交易,以达成迅速套现侵占他人资产的目的。而此后方某等5名犯罪嫌疑人相继落网,成为国内首例因盗码交易而被刑事制裁的案件。 “这种案件性质定为盗窃非常困难,”一位资深金融律师对21世纪经济报道记者表示,“如果是直接转移期货账户资产,存在转移、占有的行为,可以定性为盗窃;但如果通过交易造成经济损失,很难认定为盗窃,没有对应的法律条款。” 同样以李斌等六人的案情来看,目前也存在一定的困局待破。 比如李斌类案件,目前对其不利的地方还在于,虽然公安在对杨佳航2017年录口供的时候,对方已经承认操控其账户非法获利,但随即又翻供矢口否认。而当时操纵李斌账户的电脑IP地址远在哈尔滨而非昆明,难以获得杨佳航远程操控哈尔滨电脑的证据。 (作者:周炎炎,金瀚洋)
新基建热潮将应对安全挑战提到前所未有的高度,网络安全也成为新基建的关键因素之一。 今年年初,《中华人民共和国密码法》正式实施。有关专家表示,在网络时代,所有终端都要采用密码技术,密码法的制定夯实了我国网络安全的一个重要环节。 与此同时,今年新基建整体提速。专家指出,密码技术是网络安全的一项基础性技术,在构建网络空间信任、保障网络空间秩序中可提供核心技术和基础支撑。而新基建深度依赖网络空间,网络安全秩序是新基建安全有序展开的关键环节。因此,将密码技术融入网络协议形成安全网络,或将成为探讨新基建底层信息安全的可行方向。 据了解,密码与协议的深度融合有最新进展。一直致力于研发国产协议的视联动力,从2019年开始就着手探索在网络协议中植入密码,生成具备内生安全的网络协议。其间,密码学家、中国科学院院士王小云在视联动力调研后,给当时的视联网协议+密码提出了很多宝贵意见。 这项探索是视联网协议在交互中融入基于国密SM2/3/4算法的数字签名、密钥协商、数据加密和完整性保护等安全机制,以密码学强度实现设备、人员的身份认证、业务调度信令防篡改抗重放和音视频数据的加密保护。 第三方检测机构永信至诚实验室曾对植入密码的视联网系统内部环境安全和边界设备进行安全测评。验证结果显示,该系统在开展视频会议、视频监控、工业数据调度等业务时不易受到网络攻击影响。 目前这项安全性能加强的新技术正在服务视联网所覆盖的各个领域的应用,如综治视联网、雪亮工程视联网平台的使用,满足了各级政府大规模视频会议的需求,方便了为基层乡村提供远程医疗、远程教育的应用等。 据专家分析,视联网协议本身具备结构性安全的特征。由于是自主的技术体系,视联网内的设备均支持国产化型号部署,产品不存在漏洞后门。无论设备还是网络均不存在被植入恶意后门的安全风险,能够显著提升信息化系统的自主化水平和服务保障能力,并确保整套网络全系统的供应链安全。 融合密码技术后,视联网能够兼顾网络防护和信息泄露两个维度的安全问题,安全能力可概括为“网络抗摧毁、配置防篡改、控制权可控、信息不泄露”四个方面。“网络抗摧毁”是指视联网能够防止外部攻击者的干扰、渗透和内部攻击者的蓄意破坏、非法外联,确保全网通信连接的可用性与合法性。“配置防篡改”是指视联网能够防止攻击者非法查询、篡改、删除关键的管理配置信息,确保网络各项关键配置信息的正确性。“控制权可控”是指用户在视联网内的任何业务控制操作都要经过身份认证、权限审核和审计记录,防止误用、冒用或滥用。“信息不泄露”是指视联网能够保护用户信息和业务数据的安全性,防止攻击者窃取、篡改、插入或删除敏感数据。 专家认为,随着国家网络安全相关法律、战略和等级保护制度要求相继更新实施,密码技术的应用将更为深入,与网络安全的连接也更为紧密。密码与自主研发的网络协议结合,在保障安全的同时,也促进对网络协议的探索研究。融合密码技术的视联网具备跨域跨层、灵活兼容、品质保障、实时安全等特点优势,可为新基建发展提供便捷高效、优质安全的服务保障。
登录
工商服务
危机公关
金融律师
app开发
财税服务
金融牌照
网站建设
知识产权
企业征信
审计评估