网络安全和互联网与生俱来。《经济学人》最近的一项调查显示,45%的企业高管表示,在企业网络上存储敏感的客户数据令他们感到特别不安全。
在谈及信息安全时,人们总习惯将视角投向防火墙、杀毒软件、黑客等外部因素,但不容忽视的是来自内部的网络威胁,正如本文所讲述的三个故事。
魔高一尺,道高一丈。种种破坏信息系统的技术总有相应的制伏之术,而真正危险的是缺乏应对信息安全的管理机制。管理机制的缺失,使得企业在面对来自内部的信息威胁时,往往束手无策。
企业应该建立怎样的信息安全管理机制?本报欲以本文抛砖引玉,与业界继续进行进一步探讨。
接下来的5年时间,即将硕士毕业的苏强将在监狱中度过。
“被告人苏强利用为银行设计、维护ATM机软件的工作之便,从ATM机上盗取他人信用卡信息进行信用卡诈骗案,判处其有期徒刑5年,并罚款5万元。”6月19日,上海市闸北区人民法院当庭宣判。
实际上,这种内部人利用信息技术盗取他人钱财的事情在IT业内时有发生。2006年6月份,华为公司工程师王林勇利用编写的程序盗取了70多万元的移动充值卡。2006年2月,UT斯达康工程师程稚瀚利用之前给西藏移动安装系统的机会,盗取了370多万元的移动充值卡,并出售套利。
“所有的信息系统设置都是基于内部人完全可以信任为前提的。”一直从事数据安全业务的GDS万国数据公司总裁黄伟认为,对外部人侵入系统,尚可设置防火墙等技术手段予以拦截,但这种内部人利用数据信息犯罪则难以防范,“唯一能做的就是不断的加强流程、技术上管理”。
ATM系统的“内鬼”
2003年8月,大学毕业的苏强进入一家ATM机公司,职务为编写ATM自动取款机软件工程师,这是他的第一份工作。
2个月后,苏强开始为国内股份制商业银行上海分行临汾路自助网点安装、调试两台ATM自动取款机。精通软件的苏强在软件编程过程中很快发现,ATM自动取款机的加密程序上有些“BUG”,于是,一时兴起的苏强编写了一个窥探程序,该程序可以记录该ATM用户的银行卡卡号、磁条信息和密码,并将这个窥探程序安装到了两台ATM自动取款机上。“当时只是觉得好玩。”苏强在法庭上为自己辩解。
“很多软件工程师都有这种癖好,希望找到系统的漏洞,以此证明自己的技术水平。”黄伟表示。
2003年11月,在对这两台ATM机进行维护的时候,苏强打开了自己当时编写的程序,发现窥探程序竟然记录了7000多条用户的信息。苏强将这些信息拷贝到了自己的笔记本电脑上,为了不留下痕迹,苏强又删除了自己当时编写的程序。
但是生活的窘迫很快让苏强想到利用这些数据来牟利。2004年9月,苏强进入上海一所大学攻读硕士研究生,没有收入来源的他想起了那堆数据。很快,苏强就开始了行动,从市场上购买了磁卡写码读卡器,又在电脑市场买了空白磁卡,开始伪造银行卡。
第一张银行卡制作出来时,苏强有点忐忑不安,只好让女朋友前去取钱,他的女朋友就从银行取出了200元现金。从此,苏强一发不可收拾,此后的近两年时间,苏强如法炮制,先后伪造多张银行卡,共计提取了6万多元现金。由于苏强复制出来的银行卡,其客户信息、密码完全正确,银行根本无法辨其真假。
一位客户在取款时发现卡里莫名其妙地少了4500元,银行显示这笔现金是在无锡被取走的,但这位客户根本就没有去过无锡,于是他向警方报案。此后,上海警方也陆续收到了10多位银行卡用户的报案,都是卡上的钱莫名其妙地少了。此时,银行才开始警觉起来。
在配合警方办案的过程中,上述商业银行的工作人员发现,有人侵入过银行的网站,查询了200余客户的个人信息,其中包含了被盗用信用卡资金的被害人信息。很快,警方就查到了入侵银行系统时使用的IP地址,并根据这个IP地址查到了苏强所在的大学宿舍。
“没有密码”的充值卡
与苏强的手法不同,UT斯达康工程师程稚瀚则是利用自己给西藏移动施工时留下的密码,然后随时侵入此系统以盗取移动充值卡。
2005年3月,华为前员工程稚瀚突然一时兴起,想“测试”一下移动系统的安全性,便尝试性地进入了西藏移动的网络系统。
从技术上说,程稚瀚进入西藏移动的系统不费吹灰之力。早在华为工作的时候,程稚瀚就负责给西藏移动安装设备,而程稚瀚离开之后,这个密码一直没有改过。
通过西藏移动的服务器,程稚瀚很快便进入了北京移动的数据库,在查看了数据库日志文件后,精通移动各种系统的程稚瀚很快便反推破译出了密码。此时,程稚瀚取得了数据库的最高权限,该系统在他面前已经毫无秘密可言。
此后,程稚瀚先后4次侵入北京移动数据库,修改充值卡的时间和金额,将已充值的充值卡状态改为未充值,并开始将盗出的充值卡密码通过淘宝网出售,至案发时共获利370余万元。
无独有偶,2004年,华为工程师王林勇负责上海移动手机充值系统的维护,一次因工作疏忽,不小心将一组还没有被充值的卡号密码删除,导致维护报表出错。为了使报表显示正常,王林勇想起了2003年从华为公司内部网络下载的X模拟程序。
这个程序可以模拟移动公司制作充值卡的程序,生成手机充值所需要的数据,只要将这些数据中对应的序列号和暗码导入移动的充值系统,那么使用序列号和明码便可以进行手机正常充值。为了弥补过失,王林勇使用该程序生成了3万余组数据,并将一部分导入移动充值系统,最终使报表显示正常。
贪念因此而生,一次偶然的机会,王林勇在淘宝网上看到有人出售手机充值卡,便联想起自己当时生产的一些数据还没有用完,便开始在网上出售这些复制的手机充值卡。此后,王林勇又利用给上海移动维护移动智能网络系统的机会,将部分数据导入移动充值系统,然后在淘宝上进行销售,至案发时,共获利74万余元。
“内部人”难题
“任何一个系统都是有技术漏洞的。”在黄伟看来,这些内部的“信息大盗”都是利用了系统本身的漏洞来盗取他人的财物。
从技术上说,就算微软耗资数十亿美元开发的WINDOWS操作系统,也存在很多的技术漏洞,这也是微软要不断发布补丁程序的原因。苹果公司最新开发的浏览器,在公布的当天就被人找到数十个漏洞。
从外部侵入一个数据系统,由于有防火墙的防范,其技术难度相对较大,但如果是“内部人”,一般很难防范。就如同中国历代皇朝,都在宫城墙外建了很多护城河,布设众多御林军,外人很难侵入,但仍无法阻止宫廷内部谋权篡位事件。
一提到网络安全,一般的公司想到的防火墙、入侵检测、信息加密等安全产品,但是绝大部分系统仍然防外不防内——企业在网络安全方面的建设绝大多数还基于“内部行为是可信赖的”这一假设,这使得内部安全疏于防范。
在IT业内,这样的事情层出不穷,腾讯就曾发生过内部员工盗取QQ帐号出售的事情。就算是大名鼎鼎的微软也不能幸免,2003年,微软公司的员工理查德·格雷格就通过微软内部的购买系统,低价购买并转售了价值1700多万美元的软件,从中获取差额利润。
“内部人一般都知道系统的密码,也比较了解系统的漏洞。”长期从事信息安全工作的黄伟在工作中也不断听到一些公司内部人盗取数据,然后牟利的事情。
据黄伟介绍,在比较规范的公司,一般涉及核心数据和密码时,都会安排双人同时在岗,并且要求客户在场,密码在施工完成后都要求客户进行修改。但一些公司对这些管理流程并不规范,才使得一些内部人有了可乘之机。