南京银行新任行长百万增持“强心剂”能否复苏业绩

近日,南京银行新行长上任不到一年便斥资百万元首次增持该行股份。11月5日,南京银行公告称:行长林静然此次增持公司股份13.80万股,价格7.66元/股,增持金额约106万元人民币,并且承诺三年内不减持。

根据财联社报道,在5月召开的南京银行2019年股东大会中,董事长胡升荣曾坦言,与表现好的银行相比,南京银行是有差距,并表示要想办法把市值搞上去。

鉴于其中许多设备的关键性,有针对性的网络攻击可能会很重要。以下是一些例子,说明如果在各种类型的设备中暴露出未打补丁的模块,攻击者可能会做什么。

新行长林静然深耕银行业多年。此次他自掏腰包增持之举无疑为南京银行打了一针强心剂,但新的领导班子能否将南京银行从违规泥潭中解救出来仍有待考察。

据了解,戴娟在我国债市声名赫赫,而债券业务也是南京银行王牌业务,南京银行一度被业内誉为“债券之王”。据财新报道,2019年2月15日戴娟被南京市纪委带走协助调查,便一直处于失联中,原因或涉债市贪腐。

EHS8模块与该系列的其他模块一样,由一个微处理器组成,内嵌Java ME解释器和闪存,以及GSM、GPIO、ADC、数字和模拟音频、GPS、I2C、SPI和USB接口。它还提供了更高层次的通信堆栈,如PPP和IP。嵌入式Java环境允许安装Java “midlet”,以提供可定制的功能和与主机设备的交互,和/或作为主逻辑。该模块在基本的OEM集成商层面上运行时,其行为很像传统的 “Hayes”调制解调器。这意味着,除了加载到系统中的Java应用程序外,还可以通过内置在电路中的物理UART连接使用 “AT “串行命令进行控制。

即使英伟达只向软银支付120亿美元的现金,它仍可能存在资金缺口,需要进行融资。英伟达宣布,它将为收购ARM交易进行融资,但它并未披露具体的融资金额。

更重要的是,它们存储和运行的Java代码通常包含密码、加密密钥和证书等机密信息。利用从模块中窃取的信息,恶意行为者有可能控制设备或获得中央控制网络的访问权,从而进行广泛的攻击–在某些情况下甚至可以通过3G远程攻击。利用这个漏洞,攻击者有可能指示智能电表打掉一个城市的电力,甚至给医疗病人注射过量的药物,只要负责这些关键功能的设备使用的是一个暴露在攻击者面前的未打补丁的模块,例如,通过这个模块启用的3G/4G连接。

当天还新增2例死亡病例,累计死亡496例。

然而,X-Force Red发现的漏洞允许对隐藏区域进行完全的读、写、删除访问(尽管Thales已经针对特定的文件类型进行了额外的检查)。这将允许攻击者读出系统上运行的全部java代码(包括OEM midlets和Thales的主 “主”代码),以及他们可能拥有的任何其他 “隐藏 “支持文件。

在安全研究实践中,Java应用程序可以被绕过,并将控制权交还给低层,允许攻击者直接控制模块。一旦控制了AT命令接口,就可以发出大量的标准命令,如 “ATD”–拨号,或 “ATI”–显示制造商信息。还有一些配置命令和用于访问覆盖在闪存上的基本文件系统的特定命令子集–“AT^SFA”。这提供了文件和子目录的读、写、删除和重命名。

一般而言,信用减值损失相当于银行抵御风险的资金池,随着银行贷款余额扩张,各银行为提高风险抵御能力,会相应加大客户贷款的减值计提力度,但提高信用减值损失在一定程度上会减少银行利润。

2020年3月31日,南京银行发布公告,第八届董事会第二十二次会议通过了《关于提名林静然先生为南京银行股份有限公司第八届董事会董事候选人的议案》。

软银是在2016年以320亿美元的价格收购ARM的,这笔交易是软银当时有史以来最大的一笔收购交易。

值得注意的是,从2019年开始,南京银行高管层多次变动。经营班子不稳定,业务违规受罚现象普遍,使得南京银行颇受关注。今年9月,南京银行高管团队落定,正式形成“一正八副”格局。

ARM将其技术授权给世界上许多著名的半导体、软件和OEM厂商,全世界超过95%的智能手机和平板电脑都采用ARM架构。(小狐狸)

韩国政府为遏制疫情扩散势头,决定以首都圈、光州和江原的部分地区为对象,将“保持社交距离”措施从1级提升至1.5级。但由于感染途径过于广泛,有人担心,很难切断扩散势头。

然而,在2019年9月,X-Force Red发现了泰雷兹(原金雅拓)的Cinterion EHS8 M2M模块中的一个漏洞,该模块在过去十年中被用于数百万个互联网连接设备。经过进一步的测试,泰雷兹确认该漏洞会影响到EHS8同一产品线中的其他模块(BGS5、EHS5/6/8、PDS5/6/8、ELS61、ELS81、PLS62),进一步扩大了该漏洞的潜在影响。这些模块是实现物联网设备移动通信的微型电路板。

这个漏洞的潜在影响根据攻击者可能入侵使用这一行模块的哪些设备而有所不同。据了解,全球有数百万台设备使用该模块,横跨汽车、医疗、能源和电信行业。

除了业务违规之外,与南京银行相关的法律诉讼也在逐年增加。据企查查裁判文书统计显示,南京银行2018—2020年涉案数量分别为1460件、2424件和3163件,案件涉及总金额约5.65亿元,而与其规模、业绩表现相当的宁波银行案件总金额也不到3亿元。

上图显示了该漏洞存在于计算路径子串中的字符数并检查第四个字符是否为点(字符数组中的第三个索引)的代码中。在正常情况下,任何访问带有点前缀的隐藏文件的尝试都会被拒绝(例如:a:/.hidden_file)。然而,用双斜线代替斜线(例如:a://.hidden_file)将导致条件失败,代码执行将跳转到一个字符检查循环,该循环将匹配任何可打印字符。在第二个斜线之后,系统将忽略它,没有什么能阻止攻击者使用点前缀的文件名,绕过安全测试条件。

就资产质量来而言,截至三季度末,南京银行不良贷款余额60.88亿元,较去年同比增长约21.5%;拨备覆盖率由年初的418%下降到了380%。

在今天使用的数十亿智能设备中,泰雷兹是使它们能够连接到互联网、安全存储信息和验证身份的组件的供应商之一。泰雷兹的整个产品组合每年连接超过30亿个设备,从智能能源表到医疗监控设备和汽车,有超过3万家机构依赖其解决方案。

18日通报的新增病例中,社区感染病例245例,其中首都圈多达181例;另有境外输入性病例68例。

补丁可以通过两种方式管理–通过软件插入USB运行更新,或者通过管理空中(OTA)更新。这个漏洞的补丁过程完全取决于设备的制造商和它的能力,例如,设备是否可以访问互联网,可能会使它的工作变得复杂。另一项需要注意的是,设备越是受监管(医疗设备、工业控制等),应用补丁的难度就越大,因为这样做可能需要重新认证,这往往是一个耗时的过程。

能源和公用事业。篡改智能电表,提供伪造的读数,增加或减少每月的账单。通过控制网络访问一大群这些设备,恶意行为者还可以关闭整个城市的电表,造成大范围的停电,需要进行单独维修,甚至更糟糕的是,破坏电网本身。

泰雷兹公司与X-Force Red团队合作,在2020年2月测试、创建并向其客户分发补丁。

2019年2月,南京银行公告称,其资产管理业务中心总经理戴娟、资金运营中心副总经理董文昭及本行投资机构鑫元基金管理有限公司副总经理李雁三人,因个人原因,不能正常履职。

对于信用减值损失计提的合理性以及是否存在利用减值损失调节利润以期美化报表等问题,《投资者网》向南京银行求证,未获得有效回复。

9月17日,南京银行发布公告称,公司 2020 年第一次临时股东大会选举产生了公司第九届董事会 11 名董事,公司高级管理人员也通过选举产生 。此前担任民生银行南京分行党委书记、行长的林静然,出任南京银行行长;副行长中内部提任了三人,分别是南京银行董秘江志纯以及两位业务总监宋清松和陈晓江。截至目前,南京银行副行长共8人,人数较之前增加2名,这也意味着南京银行正式迎来了“一正八副”的格局。

今年以来,各上市银行纷纷加大不良贷款的确认和处置,在13家上市城商行中,仅南京银行信用减值损失较去年同比下降。2020年1-9月,南京银行共计提信用减值损失57亿元,而去年同期为58.09亿元;其中,第三季度的信用减值损失为14.07亿元,去年同期为19.48亿元。

去年5月,南京银行原行长束行农因工作调动原因辞去了其担任的包括行长一职在内的全部职务,此后,南京银行行长一职空缺长达一年。值得一提的是,束行农实际任期期满是在2020年5月。

9月1日,韩国首尔江南区的一家免税店客流稀少。 中新社记者 曾鼐 摄

由于Java很容易被反转为人类可读的代码,这可能会暴露任何应用程序的完整逻辑以及任何嵌入的 “秘密”,如密码、加密密钥等,并使IP窃取成为一个非常简单的操作。掌握了这些数据,攻击者可以很容易地创建 “克隆 “设备,或者更可怕的是,修改功能以实现欺诈或恶意活动。

虽然罚单发布日期集中在这两天,但作出处罚时间却横跨2018年至2020年。其中,7张罚单处罚决定日期在2018年内,12张属于2019年以及3张属于2020年。

“作出处罚决定日期”为2020年的3张罚单,显示均与南京银行江北新区分行有关。其中,江北新区分行行长谈卫立以及分管公司业务副行长邾小天因对信贷资产转让业务存在明显失职行为,应负管理责任。二人均被警告并被分别罚款5万元和8万元。

自2019年起,南京银行营收、归母净利润增速基本呈下降趋势。2019年前三季度,该行营业收入、归母净利润同比增长21.1%和15.33%。而2020年前三季度,南京银行实现营业收入250.45亿元,同比增长2.42%;实现归母净利润100.88亿元,同比增长2.01%。

从资产结构来看,南京银行自2019年以来金融投资业务增速明显,截至2019年末占资产比重约为46.06%,而该业务在2018年末占比仅为28%。进入2020年后,受其他债权投资以及其他权益工具投资下降的影响,南京银行金融投资业务势头有所放缓,截至9月末占资产比重降至44.58%。

南京银行营收、归母净利润变化趋势

业务屡屡违规遭罚,除了因监管节奏持续加强,尤其对银行业监管力度加大之外,南京银行的内控及经营管理或也存在很大的疏漏。《投资者网》就风控措施等问题向南京银行求证,未获得有效回复。

从股价走势来看,截至11月11日,南京银行最新收于8.19元/股,较公告当日收盘价上涨3.93%。就此次增持是否认为目前的股价被低估,存在上升空间等问题,《投资者网》向南京银行求证,对方未予置评。

EHS8模块及其系列中的其他模块,旨在通过3G/4G网络实现连接设备之间的安全通信。将该模块视为相当于一个值得信赖的数字锁箱,公司可以在其中安全地存储密码、凭证和操作代码等一系列秘密。这个漏洞破坏了这一功能,允许攻击者窃取组织机密。

今年6月4日、5日两天内,江苏银保监局及其下属分局公布了22张有关南京银行的罚单,处罚对象包括南京银行总行以及11个下属分行及其员工,累计罚款逾1400万元。据统计,南京银行当属上半年收到罚单最多的城商行。

X-Force Red发现了一种绕过安全检查的方法,这种检查可以使文件或操作代码对未经授权的用户隐藏起来。这个漏洞可能使攻击者能够入侵数百万台设备,并通过转入提供商的后端网络来访问支持这些设备的网络或V PN。反过来,知识产权(IP)、凭证、密码、加密密钥都可能被攻击者轻易获得。换句话说,模块存储的机密信息可能不再是机密。攻击者甚至可以抢夺应用程序代码,彻底改变逻辑,操纵设备。

根据协议,此次收购将以股票加现金的方式实施,英伟达将发行价值215亿美元的股票,支付给软银,同时支付120亿美元的现金,包括在签约时支付的20亿美元预付款。

在过去的两年时间里,南京银行屡屡受罚的背后是该行高管层频繁的人事变动。

报道指出,仅从统计上看,继2月至3月以大邱、庆北为中心发生疫情第一次大流行、8月至9月以首都圈为中心的第二次流行后,“第三次流行”或将逐渐成为现实。

2019年起,南京银行在业务经营以及风控管理上问题不断;2020年,南京银行受罚情况似乎变本加厉。

为了方便Java环境,还有一些与Java相关的命令,其中一个命令是 “安装 “先前上传到闪存文件系统的Java midlet。这可以有效地将Java代码复制到闪存文件系统中的 “安全存储 “中,理论上是 “只写 “的–即数据可以复制到该存储中,但永远不会被读回。这样一来,OEM厂商包含其IP的私有Java代码,以及任何安全相关的文件,如PKI密钥或证书和应用相关的数据库,都可以防止第三方窃取。

处罚力度最“狠”的当属南京银行总行,被银保监会江苏监管局没收违法所得13.77万元,并处以罚款610万元。江苏银保监局列出了其13项违规事由,具体来看,此次违规被罚所涉业务众多,包括同业业务、理财业务、关联交易以及债券业务等。