高速发展的安全隐患
三联生活周刊:目前互联网支付发展了许多新的业务形态,但其中一些颇受争议。比如3月份央行下发紧急文件,叫停支付宝、腾讯的虚拟信用卡产品,虚拟信用卡最关键的风险在哪里?
陈钟:虚拟信用卡确实存在身份验证的安全隐患,但这不是最重要的问题。虚拟信用卡是一个很聪明的做法。阿里和腾讯没有发卡的权限,就跟有发卡资格的中信银行合作,他们要发放的信用卡降低了发卡的信用额度,正规银行的额度一般在几千元以上,他们最低到了50元,用降低额度的方式来对抗监管。
但实际的问题是,如果你创造了虚拟货币的职能,那就是到了金融的领域,必须处在金融监管的范围之内。就像比特币,大家自己怎么玩都行,但一旦影响到现代货币和货币发行,那央行出来叫停也是很正常的一件事。像更早发行的腾讯Q币,如果它和人民币可双向兑换的话,那就带有了金融属性,为什么Q币至今依然可以存在,就是规定了单向兑换。
央行以身份识别、信息安全为理由叫停,确实给人一种找借口的感觉,说服力不够,甚至有人说央行是站在传统银行业的利益上来限制互联网金融创新,但背后更深层的问题,还是在于它触动了实际货币的运行。
三联生活周刊:央行同时叫停了二维码支付等面对面支付服务,从技术上来讲,二维码是一种危险的支付方式吗?
陈钟:二维码本身并没有危险。二维码是日本人发明的,有一套完整的编码体系,内含的信息要比简单的一维条码丰富。世界上使用条码的历史已经很久了,条码作为标签,一般与商品结合起来,这是种纯粹的光电读取,是一种机器和机器交互的技术。
但二维码虽然信息容量增大,但不管你怎么加密,物理上,这个条码可以直接被复制,它的易复制性没有任何本质差别。二维码本身并不是“木马”,也没有病毒。它是一种识别方式,本身没有原罪,你想放什么就放什么。但你扫这个码,软件对其做什么处理,是后面这部分决定了用户有多大的风险,这其中可能就跳转到有危险的网站,自动下载木马软件等等,现在公安系统也确实有二维码支付损失的案例。
现在一些手机卫士也可以检查二维码,扫完码之后,手机卫士能鉴别这是不是一个“钓鱼网站”。这个App就跟电脑上病毒查杀的软件是一个道理,已知的有毒网站还好办,未知的它也报不出来,还是有风险。
在很多地方,二维码就是个纯粹的标签作用,往往不在风险高的地方使用,中国人比较胆大,直接把二维码用到支付上了。我个人认为二维码做指引、信息传送还是没问题的。用来做支付、做软件安装、扣费这样高风险的行为,还是尽可能地远离。
三联生活周刊:除了二维码之外,现在还有全新的声波支付、NFC支付等创新性支付手段,这些新的支付形式的安全性有没有高下之分?
陈钟:支付手段本身只是一种技术。像NFC就是一种近距离的无线通讯协议,跟蓝牙、红外一样,都是一个短距离通讯技术。这些通讯媒介手段,各自有其规范和应用方式,但放在支付上就是另一个问题了。所以我们不能笼统地把NFC的既有标准拿来直接当作支付标准,也不能简单地说二维码不安全,NFC更安全。
现在支付上,很难讲某种技术有什么缺陷,关键是这个技术你用得合适不合适。短信验证就比其他验证方式更好吗?实际上是因为更方便。但如果手机丢了,就存在很大风险。支付包含前台支付指令的产生、移动设备的处理、信息传输,一直到银行账户转账,要把风险放在这一系列的环节中综合考虑。
三联生活周刊:已经在互联网上应用广泛的支付方式是否有足够的安全验证?比如信用卡卡面支付已经应用了很多年,但2月份携程还是爆出了信用卡信息泄露风波,这里存在着什么问题?
陈钟:携程这种是低级的内部失误,他们系统调试升级后没有及时删除临时日志,把用户的敏感信息都留在了日志里。从流程上看,他们理应有内部管理体制来防范这件事儿,而不是说所谓的调试随便就能动。像国外一些公司规定的内部管理体制还是相当严格的,技术人员想干什么要申请批准的,应该是有个首席隐私官,他批准了,做完这个事情怎么销毁日志。
从网站安全保护上来讲,携程这件事不具有代表性,从信息安全管理角度上讲,他们做错的是保存用户信用卡信息。我们现在讲的这些支付,对于老百姓来讲,这个软件是谁提供的,你是怎么做的,大家都一无所知。像信用卡CVV2码这些敏感信息,银联有明确的规定是不许存的,但网站存了之后我们也不知道。我们相信这些电商网站是公正、合规的企业,一旦他们不合规,就是非常可怕的一件事,因为金融就是建立在信用的体系上发挥作用的。这种问题实际上就是纯粹用技术解决不了的,这是管理上的问题。
三联生活周刊:4月9日又刚刚爆出了OpenSSL漏洞,OpenSSL作为一种安全协议,已经在各大网银、在线支付、电商网站、门户网站、电子邮件等领域被广泛使用,面对这种大规模的安全问题,业界是否有应对的能力?
陈钟:SSL是一个简单的安全通讯体系,把发方和收方之间传输的信息加密,让第三方无法读取通讯信息。OpenSSL是一个把SSL标准实现的开源代码,这一次出问题的是1.01版,发现的漏洞不是协议本身的缺陷,是这个版本的代码在工程实现的时候出现漏洞,使其被黑客利用。
OpenSSL的问题其实不是现在才发现的,是2012年就发现了,这其间是不是已经被人悄悄地利用了也不得而知。而且银行这种信用企业,即便发生了风险,他们也不愿意往外说。
这个漏洞爆出来之后,国内很多挖漏洞的组织都没闲着,像360公司扫描到的数据显示,国内已经有3万台服务器受此漏洞影响,波及2亿用户。这些网站就需要对版本升级。
三联生活周刊:遇到这种大规模的漏洞,传统银行与互联网公司在反应速度、修正能力上会不会有差异?
陈钟:这次做出迅速反应的,准确地说不是互联网公司,是防病毒、挖漏洞的安全公司。像阿里巴巴、百度这样的公司,也不是自己反应快,是他们这方面的部门反应快。
安全问题应该有一个体系来做,一旦发生漏洞,哪怕到了央行的安全处,他们能力再强也不行,没有这个工具就干不了这个活儿。遇到严重的安全问题时,国内有一个整体的反应,当用户意识不到的时候,国内的安全公司来做出提醒,用扫描软件来做大规模排查。靠一个银行、一个行业自身,要把安全保障做到很深还是不可能的,还是需要专业机构来协助。国内这几年已经形成了一定的安全体系,比如建立了国家信息安全漏洞库,由国家计算机网络应急技术处理协调中心和国家信息技术安全研究中心组织,一起来协作强化整个安全保障体系。
监管的真空
三联生活周刊:从世界范围看,我国的支付技术处在什么样的水平?
陈钟:现在国内支付行业人人奋勇争先,发展得太快了。像苹果公司,给iPhone5s加入指纹认证,就是踏踏实实的技术创新,等到全面建设好,技术上就提高了一个层次。苹果一直没有做NFC支付,最近才刚刚获批了两项NFC的新专利,确实跟过去的思路不一样,每一个进步都是深谋远虑的。
中国站在国际的大环境下,技术算不上国际前列,完全属于我们的东西还是非常少。国内的支付创新不是基于强大的科学技术支撑,往往是靠各种点子,这很难走得远。
三联生活周刊:对于这些新发展的互联网支付手段,国内有没有事先的测试和监管?
陈钟:目前还没有一个机构能来做这方面的测试和验证。国内现在的所谓支付创新,很多是过度地利用了旧有技术的方便性,在安全性这方面肯定有一定牺牲。推这些支付技术的人说,国内现在没有安全标准,那我有手段。我们跟保险公司有合作,只要客户发生了风险,我们百分之百全赔。
但不能因为有保险公司,相应的安全标准、体系的规范就不做了。我认为,从技术上来讲,一个新东西出来,必须还要有论证,制定一个监管部门和业界都认可的安全规范。
现在叫停二维码本身也不错,而且中国人民银行说的还是暂停。我们需要制定一个安全标准,把这种支付技术完善。
在管理上,国内之前第三方支付成立了一个协会,最近又成立了一个中国互联网金融协会,马云、马化腾、马明哲这“三马”里,马明哲是主任委员。我个人认为这种做法又是中国特色,美国也没有这么多协会。比如美国密码的东西,就是国家安全局NSA和国家标准与技术研究所NIST负责,管理一切关于密码的东西。如果没有这两个专业机构去颁布美国的和国际的标准,互联网怎么能走到今天呢?一个规范要考虑到全面性、广泛性、完备性和对未来的影响,必须要有一个权威的机构来做这件事。
三联生活周刊:如果从整个社会大环境看,互联网支付安全性的短板在哪里?
陈钟:安全要靠一整套的环节全面协作,绝对安全的技术目前应该说是没有的。安全永远是相对的,风险大小的不同而已。比如目前国内用了大量的U盾,把安全证书做在里头,这给我们心理上一种很大的安慰。但如果在U盾和你真正处理的过程中间,如果有木马劫持,那么照样是不安全的。
以前徐州出过这样的案例,一个网店店主被自己顾客告知,说网上有个活动充100块钱返30,前提是要装一个软件。店主让顾客通过远程协助帮他装了这个软件,这其实就是个木马程序。店主自己也有一些警惕性,他试着用U盾转了两次钱,每次都只转一元,发现两次收到的提示都是某某游戏账户充值成功,这个店主就警觉地停止了。但第二天一查,他的账户上少了3万块钱——木马软件自己把钱早就扣掉了。
这个案例可以看出,诈骗团伙并没有什么精密的入侵技巧,他们靠一个一条龙的团队,有人买木马病毒,有人打电话以一个30%的回报吸引你,有人让你门户大开地安装了陌生的软件,有人制作优惠活动的网页,在这样的环境下被他们引君入瓮,后面其他所有严密的U盾、密码防护都没有作用了。我们把这种钓鱼叫社会工程,不是什么高超的科技技术,是在正常的社会交流中,利用心理沟通,精心策划,完成骗局。
三联生活周刊:对于这样的诈骗,追溯上有什么难度?
陈钟:那么多转账木马能够得手,在于国内的身份鉴别、管理还是很大的弱项。我们现在使用的第二代身份证没有作废机制,2013年河北有个大学生丢了身份证,3个月之后一查,他发现那张身份证下面居然挂了16张信用卡。现在国内,身份证、银行卡加手机SIM卡一套三证齐全的手续,在国内卖不到500块钱。根据《中华人民共和国居民身份证法》,购买、出售、使用伪造变造的居民身份证的,“处200元以上1000元以下罚款,或者处10日以下拘留,有违法所得的,没收违法所得”——这个犯罪成本太低了。银行又鼓励开账户,手续齐全就直接给你办了。诈骗团伙骗来的钱转到这个账户,直接就提走了,等警察查到这个身份信息就是走到死胡同了。
所以支付安全是一个社会工程,有许多非技术因素来控制。在中国讲安全,更重要的是犯罪的后果是什么。这些简单的欺骗手段都可以诈骗,犯罪分子并不需要用什么高成本的方式。
第三方支付的金融风险
三联生活周刊:我国对第三方支付公司的监管处在什么样的状态?央行此次对虚拟信用卡、二维码支付的紧急叫停说明什么?
陈钟:我国对第三方支付的监管相对宽容,这次央行叫停二维码和虚拟信用卡业务,外界有很多评论认为央行在偏袒传统银行业。实际上央行在发展第三方支付上面,还是有积极的推动,比方说为第三方支付发牌照,就是认可他们作为银行支付的一种补充,像中国这样成规模的给250多家公司发第三方支付的牌照,其他国家还是没有的。
互联网的大鳄们拿了第三方支付的牌照,动用自己在互联网的强大能力,达到了客户市场支配的巨大优势。继续发展的各种货币基金、虚拟信用卡等金融形势,在国内的业态中遇到了法律的空白。央行现在的监管并不是否认了互联网对客户的便捷性服务,是从金融的角度,来看各种第三方支付公司的风险之所在,检查哪些地方违规越线了。
三联生活周刊:这些新的业态面临着哪些金融风险?
陈钟:由于法律制定的滞后性,现在对第三方支付的监管里还存在很多空白的地方。一个例子是,美国明确规定,PayPal这样的支付工具上滞留的客户账户,资金必须无息存储在银行里,而且要看作是PayPal公司的负债。中国在批第三方支付的时候,也有相应的要求,比如资金必须放在银行监管。但是在规模上,支付宝的注册资金只有10个亿,也就是说,他们能负的有限责任只有10亿元,而现在支付宝已经招募了4000亿元的资金,在美国谁敢做这样的事情?这就是监管中的漏洞。有人说支付宝是钻了中国法律和监管的空子,这种说法并不为过。
三联生活周刊:第三方支付公司拿到的牌照,会对现在的余额宝们甚至阿里银行起到规范作用吗?
陈钟:打一个不恰当的比方,第三方支付们最初是考了驾校的C本,只能开小车。现在这么多资金进来,像阿里想利用它做投资,把支付宝升级为阿里银行,做有存有贷有投资。但银行完全不是第三方支付的牌照能做的,那就是拿着C本开飞机去了。如果阿里银行真的成立,像支付宝现在有4000亿元的资金,如果这个钱看成是存款,存款的准备金率需要达到10%,马云必须预先押400亿元在人民银行,此外还有资本充足率的要求,还要再放100亿的股本金进去。也就是说,如果阿里要办4000亿元的银行,必须要有500亿元的本金,才能做这种事情。
现在各种“宝”们是走在监管的空白领域,央行开始对第三方支付做监管,是防患于未然,否则一旦有流动性的风险,这么大的资金规模,带来的将是灾难性的后果。
对支付宝,我的态度是不能揣着明白装糊涂,如果开始涉足金融业务,就要从金融专业的角度来讨论风险和防御措施。现在第三方支付调动强大的媒体,调动用户体验,利用用户对它强大的依赖感,用这种情绪来搅动舆论来做口水战,这个方式解决不了专业的问题。而绝大多数阿里的用户,缺乏专业的金融知识,大家缺少金融风险教育。