银行、支付宝为什么从没有被黑客攻破过?
任何的软件都会出现bug问题,黑客就可以利用其中一部分的bug牟取利润,而银行,支付宝这样的系统却没有被黑客攻破的先例?
黑客
马云曾经回答过类似的问题:已经准备了好多亿的钱就是用来赔的,银监会天天来查,就为了查出支付宝安全问题,但支付宝一分钱没赔出去过。如果银行安全是穿防弹衣,越穿越厚,那支付宝就是五百里内杀手(黑客)无法靠近的勇士。
支付宝安全证书
其实银行和支付宝都是黑客攻击的最频繁目标。但是为什么基本听不到被攻破的相关新闻呢?一方面,如果真的被攻击后,银行和支付宝们的技术实力很好,可以迅速的进行防御应对,在2010年的时候,支付宝就曾经被黑客攻克过,不过很快被支付宝的技术团队通过漏洞弥补完成防御。
黑客
相反的是银行从来没有传出过被攻破的消息,原因猜想有二:
1,黑客的技术不如银行防护人员,银行为什么自身安全,因为银行聘请了大量优秀的技术人员,使系统难以攻破如果黑客技术高于防护人员,就有机会能攻破银行系统,但是没有。
2,银行系统采用的是多个服务器共同计数,就是如果想要攻破系统,必须同时攻击所有的服务器,难度太大,即使黑客技术高超也做不到。
最后即便银行真的被攻破,一般由专门部门进行沟通,如果金额不大就直接私下解决。这种 *** 比报光后的问题招来的问题要小的多。所以,大家表面看到的也不一定是真相。
为什么黑客无法攻击阿里巴巴的支付宝?
不可否认,在当前的快速消费模式下,支付宝里的钱可能比你的现金要多,全国4亿人都在用,而且支付宝是专门管钱的,在这一点上吸金能力是最强的。
如果说这么庞大的利润没有黑客攻击,是不可能的,只是支付宝的防护措施太强了,黑客很难得逞,在2016年春节前,有黑客入侵2000万个 *** 账户,结果被阿里巴巴成功拦截,嫌疑人最终被逮捕。
阿里巴巴和支付宝每天都被黑客攻击无数次,但是大家却毫无察觉,几乎全国的黑客都无功而返,支付宝的技术就是这么强。毕竟他们的工作人员都拿着数十万的年薪,汇集的是全国更优秀的 *** 安全团队,小规模的黑客很难对支付宝造成什么威胁。
有消息称,阿里巴巴采用的是自启和人为两种数据保护 *** ,即便黑客入侵成功,无论启动哪一种,都会直接陷入瘫痪。此外,支付宝还有全面的追踪能力,黑客属于个人电脑,用户短时间内不一定会发现,但是敢对支付宝下手的黑客,之一时间会被系统锁定,当天晚上就会被逮捕。
而且,黑客攻击支付宝的行为就像是抢劫银行一样,都是属于盗窃罪,甚至金融犯罪,这种罪名的严重性也是震慑了大多数的黑客,不敢轻易对支付宝下手。
支付宝里存了那么多钱堪比四大银行,为什么黑客不敢动
不是不敢动,而是人家也跟银行一样有专门的人员在管理,在防范.一样受到黑客攻击的.只是攻击的效果可能并不太明显而已.主要是还没有造成大面积的伤害.
所有的金融机构都有备份数据.所以就算攻破也不一定有效,并且它是多次联动校验数据正确性的.这个校验它是在它的服务器内部另外运行.外部不可以进入,所以还是有一定的可靠度的.
支付宝里存的都是钱,为什么黑客不攻支付宝呢?
其实也不是没有人黑过,任何在线系统都在无时无刻经受着各种试探和突入。所以说没有人黑是不对的,只是成功入侵的仅仅为极少数的人罢了。而且即便入侵成功之后不代表就可以取得全部权限。
支付宝的整个系统可以分为用户管理,设备鉴权(公钥下发的算法教验),密钥管理(多组私钥分区公钥生成以及有效性),内部账务系统,消费系统,外部银行结算系统,数字资产系统。支付宝可以做哪些安全?
范围控制
只对特殊技的物理连路上开通绝对数据。即便他们自己的技术人员也只能在机房中才能做到对核心数据的直接访问。完善的不与外界联网物理门禁和几个安保人员就可以更大可能限制是有权限的人才能接触。
用户端身份教验,设备教验
用户名,密码,各种绑定和教验这里就不多说了。其实设备可以绑定核心设备的硬件信息,也可以办法ca证书,甚至通信都是通过私钥和公钥的方式,再教验算法去决定的。
多层数据隔离
业务数据读写隔离,并多层写隔离。用户产生的数据(转入,转出,体系内交易)由引导服务器(类似负载均衡)就近分配到服务redis中,切生成之后:不可修改。通过算法教验的数据,进一步向核心redis或者队列汇总,软化再次进入读写分离的永久性业务系统。
业务算法
在一定程度上,业务流是可以做向前教研的,也就是说之前的数据通过数学方式教验之后,才是为当前的操作有效,通过这种方式无中生有去生成一些数据就变得更加困难。
其实更大的风险就在于支付宝向银行提现的操作。因为这操作已经突破了支付宝体系都最后束缚。中国的银行系统和支付宝协议都是有限额的,一次如此大的法律风险的入侵可能还要收到银行的限额。加之中国的银行卡管理体系还是非常严格的,很难大规模地开通中间洗钱的中间账户。
也许有人说可以给个人客户种木马,体系内交易购买虚拟产品,然后再通过其他渠道变现。这种也是局部客户的经济损失而非支付宝的全局性的风险。
因为任何用户系统都需要权衡用户感受和安全性。其实还是是可以做的更安全,但是操作就更多步骤,更复杂了(动态密保,密钥接收器,二维矩阵密保卡)。明智的产品经理不可能为了更高的安全性去牺牲用户体验。
*** 安全永无止境,不是就是简单的漏洞发现和入侵。最小的系统开放,先后教验,终端鉴权,交易权限,事后追溯,蜜罐。黑客入侵和 *** 安全就像矛和盾,永远没有最强的矛,永远也没有最强的盾。
黑客这么厉害,为什么不攻击银行
肯定查到的,因为犯罪了,而且是银行,影响太大了。要是你搞得太厉害,判个无期徒刑都够你爽的