对程稚瀚案的分析

对程稚瀚案的分析
 
事件回放

全国最大的网上盗窃通讯资费案。31岁的程稚瀚是UT斯达康(中国)有限公司深圳分公司资深软件研发工程师,主要工作是帮助公司解决网络安全问题。此前任华为技术有限公司工程师,负责西藏移动等公司的设备安装。他做的事情是,从2005年2月,从西藏移动公司系统进入北京移动公司的充值中心数据库,获得最高系统权限,根据“已充值”的充值卡显示的18位密码破解出对应的34位密钥,然后把“已充值”状态改为“未充值”,并修改其有效日期,激活了已经使用过的充值卡。在随后的4个多月中他在充值数据库中如此操作,并复制出了14000个充值密码。他把面值300的充值密码以281.5到285元面值不等价格在网上售出,获利380万。2005年7月16日,北京移动寄到用户投诉说购买的充值卡无法充值,这才发现密码被人盗窃并报警。无法充值的原因是他最后盗取的那批密码忘记了修改有效日期。

 

暴露的问题

仅凭这件事情中被媒体公开的信息看,移动公司的信息系统管理有很大的问题。造成这么大的损失,不仅仅是技术问题,更重要的是内部控制程序上的问题。如果不是程稚瀚最后一次的疏忽,他的所作所为将会是神不知鬼不觉的。

主要的管理缺陷有:

1 移动公司对设备/服务提供商的管理缺陷。华为完成设备安装后,移动公司没有马上修改提供商原先设置的初始密码,这是导致该事件发生的直接原因。

2 移动公司对密码的管理缺陷。关键设备的超级用户密码没有做到定期更换,如果做到了,这项补偿性控制能够大大降低入侵风险。

3 移动公司对已过期帐号的处理缺陷。已经过期的密码应及时从密码列表中删除,而不是简单的通过状态不同来区分。定期清理无效密码可以降低上述风险,同时也能提高系统的运行效率。从目前得到的信息看,我不能推测出移动公司到底有没有这种控制存在,如果有,那么就是清理无效密码程序运行的频率太低。

4 没有异常数据变更的检查报告机制。事前预防控制没有,事后的检查控制也没有。按说修改密码状态和过期日期这种业务性质的操作是很少见的,根据职责分离原则,就算是真正的系统管理员也不能这么做。但是有14000条记录被异常更新并且没有被发现,这就是检查机制的缺陷了。

主要的技术缺陷有:

1 系统密码设置简单。程要登录北京移动的充值中心数据库修改数据,除了已知的西藏移动公司的设备密码外,还需要知道进入北京充值中心数据库的用户名和密码。从已知的信息看,后者的用户名和密码被很容易的破解了。

2 内外网络连接安全性低。程在做这件事的时候已经不在华为了,肯定不是在西藏移动公司的机房里通过登录移动公司的内部网做的。由此可以推测他是从公共网环境登录到西藏移动公司设备,再通过该设备由内部网登录到北京移动公司充值中心主机的。那么他是如何从公共网登录到移动公司内部网络的呢?报道中并没有说。

 

总结

程稚瀚是为了“测试”移动公司花上亿元安装的网络安全系统才偶然发现了这个新“财路”的,但是这个安全系统被他评价为“没什么用”。可见,要保证信息系统的安全,技术起很大作用,但并不是万能的,严格健全的内部控制措施也是非常重要的,有时候它比技术措施更加有效。
 

已标记关键词 清除标记
<p> <b><span style="font-size:14px;"></span><span style="font-size:14px;background-color:#FFE500;">【Java面试宝典】</span></b><br /> <span style="font-size:14px;">1、68讲视频课,500道大厂Java常见面试题+100个Java面试技巧与答题公式+10万字核心知识解析+授课老师1对1面试指导+无限次回放</span><br /> <span style="font-size:14px;">2、这门课程基于胡书敏老师8年Java面试经验,调研近百家互联网公司及面试官的问题打造而成,从筛选简历和面试官角度,给出能帮助候选人能面试成功的面试技巧。</span><br /> <span style="font-size:14px;">3、通过学习这门课程,你能系统掌握Java核心、数据库、Java框架、分布式组件、Java简历准备、面试实战技巧等面试必考知识点。</span><br /> <span style="font-size:14px;">4、知识点+项目经验例,每一个都能做为面试的作品展现。</span><br /> <span style="font-size:14px;">5、本课程已经在线下的培训课程中经过实际检验,老师每次培训结束后,都能帮助同学们运用面试技巧,成功找到更好的工作。</span><br /> <br /> <span style="font-size:14px;background-color:#FFE500;"><b>【超人气讲师】</b></span><br /> <span style="font-size:14px;">胡书敏 | 10年大厂工作经验,8年Java面试官经验,5年线下Java职业培训经验,5年架构师经验</span><br /> <br /> <span style="font-size:14px;background-color:#FFE500;"><b>【报名须知】</b></span><br /> <span style="font-size:14px;">上课模式是什么?</span><br /> <span style="font-size:14px;">课程采取录播模式,课程永久有效,可无限次观看</span><br /> <span style="font-size:14px;">课件、课程例代码完全开放给你,你可以根据所学知识,自行修改、优化</span><br /> <br /> <br /> <span style="font-size:14px;background-color:#FFE500;"><strong>如何开始学习?</strong></span><br /> <span style="font-size:14px;">PC端:报名成功后可以直接进入课程学习</span><br /> <span style="font-size:14px;">移动端:<span style="font-family:Helvetica;font-size:14px;background-color:#FFFFFF;">CSDN 学院APP(注意不是CSDN APP哦)</span></span> </p>
相关推荐
©️2020 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页