黑客中奖三千万,技术含量并不高
这年头,真是靠什么都能发家致富。。。。。。
我一直有个买彩票的爱好,不为以此谋生,只为能享受那激动人心的时刻:)
但这两天我没有去买彩票,因为深圳福彩有3300万巨奖被发现是某黑客给自己发的奖,虽然最后破案了,彩民利益并没有受到损害,但是这打击了我买彩票的积极性。空下来的时候,我开始根据已公开的信息和我的一点点专业知识,演绎黑客是如何差点得逞的。当然,我不是要学习他的作案手段,那是犯法的。我只是希望下次我买彩票的时候能确定我的奖金不会被黑客分走。
其实真正的黑客会反对把这名罪犯称为黑客,因为这名罪犯并不是从网络上攻破多道防火墙、破译层层加密的口令而进入彩票系统的。事实上,这名罪犯平时很容易就能进入到彩票系统,因为他是深圳福彩中心的技术合作公司的一名员工。所以他的“技术含量”就比黑客低了很多。
当然,虽然技术含量低,但是他的智商还是比较高的。他先设置了一个陷阱,导致正常的工作程序由于出错被改变。
原有的工作程序考虑到了在摇奖结果公布以后,可能会有人篡改彩票下注的情况,所以在摇奖之前,会将销售数据封存。首先是从销售数据库中导出该轮的彩票数据,分别保存在硬盘和光盘上;然后将销售数据库封库,也就是禁止修改数据。
但是罪犯设法让导出的两份数据文件在检索数据时出错,无法使用。我推测他对数据导出程序做了手脚,使得导出数据的文件格式发生了细小的变化,导致检索中奖号码的程序无法处理数据,从而报错。
深圳福彩中心在正常程序无法继续的情况下,只好重新从销售数据库中提取数据。这就掉进了罪犯设好的陷阱,因为摇奖结果公布以后罪犯已经在所谓“封库”的销售数据库中把自己的彩票改成获奖的号码。所以重新提取的数据里就产生了中3300万巨奖的彩票。好在最后福彩中心对中奖结果进行核对,发现了问题,才避免了彩民的利益受损。但是福彩的声誉却被严重损害了。
那么为什么“封库”以后的数据库还会被修改呢?我的理解是,由于缺乏技术手段,所谓的封库只是把连接数据库的应用程序禁用了。但是只要有数据库账号,就能绕过应用程序,直接进入数据库,对数据进行修改。
那么为什么罪犯可以进入数据库呢?由于他是技术合作公司的员工,很可能他在日常工作中获得了数据库的用户帐号。很多单位的一些系统维护工作会交给技术合作公司(或者说外包公司)来完成,所以技术合作公司的技术人员通常有可能掌握数据库的账号。尽管这个帐号不一定就是彩票销售应用对应的数据库账号,但是很可能是一个高权限的用于数据库维护的账号。 拿到这样的一个账号,罪犯就可以随心所欲地更改销售数据库里的彩票数据,制造出中奖的假彩票。
深圳福彩中心表示这件事暴露了中心对技术合作公司人员监督不力的问题,给了犯罪分子可乘之机。但是我不认为这只是个监督不力的问题,而是从人员,流程,技术三个方面都有需要提高的地方。
从人员的角度来看,对技术合作公司人员的管理一直是让很多政府机构或企业头痛的问题,因为这些人员不是本单位招聘的(不能知根知底),也没有办法直接管理。而且技术合作公司人员的流动性也比较大,尤其经济环境不好的时候人员流动带来的风险更大。如果在人员管理上不加以区分和对这个问题重视的话,很容易形成漏洞。深圳福彩中心说的监督不力,主要是在这块。
从流程的角度来看,对敏感数据的查询和修改一定要有所限制,比如绑定操作的机器,限制操作的时间,或者必须有事先的批准;对这些操作还必须有操作痕迹的记录,以便日后追溯;当出现问题的时候,一定要严格按照流程执行。这次深关键字:黑客
