事件回放
全國最大的網上盜竊通訊資費案。31歲的程稚瀚是UT斯達康資深軟件研發工程師,主要工作是幫助公司解決網絡安全問題。此前任華爲技術有限公司工程師,負責西藏移動等公司的設備安裝。從2005年2月,從西藏移動公司系統進入北京移動公司的充值中心數據庫,獲得最高系統權限,根據“已充值”的充值卡顯示的18位密碼破解出對應的34位密鑰,然後把“已充值”狀態改爲“未充值”,並修改其有效日期,激活了已經使用過的充值卡。在隨後的4個多月中他在充值數據庫中如此操作,並複製出了14000個充值密碼。他把面值300的充值密碼以281.5到285元面值不等價格在網上售出,獲利380萬。 2005年7月16日,北京移動接到用戶投訴說購買的充值卡無法充值,這才發現密碼被人盜竊並報警。無法充值的原因是他最後盜取的那批密碼忘記了修改有效日期。
暴露的問題
僅憑這件事情中被媒體公開的信息看,移動公司的信息系統管理有很大的問題。造成這麼大的損失,不僅僅是技術問題,更重要的是內部控制程序上的問題。如果不是程稚瀚最後一次的疏忽,他的所作所爲將會是神不知鬼不覺的。
主要管理缺陷有:
1 移動公司對設備/服務提供商的管理缺陷。華爲完成設備安裝後,移動公司沒有馬上修改原始密碼,這是導致該事件發生的直接原因。
2 移動公司對密碼的管理缺陷。關鍵設備的超級用戶密碼沒有做到定期更換。
3 移動公司對已過期帳號的處理缺陷。已經過期的密碼應及時從密碼列表中刪除,而不是簡單的通過狀態不同來區分。定期清理無效密碼可以降低上述風險,同時也能提高系統的運行效率。
4 沒有異常數據變更的檢查報告機制。事前預防控制沒有,事後的檢查控制也沒有。按說修改密碼狀態和過期日期這種業務性質的操作是很少見的,根據職責分離原則,就算是真正的系統管理員也不能這麼做。但是有14000條記錄被異常更新並且沒有被發現,這就是檢查機制的缺陷了。
總結
程稚瀚是爲了“測試”移動公司花上億元安裝的網絡安全系統才偶然發現了這個新“財路”的,但是這個安全系統被他評價爲“沒什麼用”。可見,要保證信息系統的安全,技術起很大作用,但並不是萬能的,嚴格健全的內部控制措施也是非常重要的,有時候它比技術措施更加有效