入侵教育管理系统，黑客被公诉

利用木马病毒程序 侵入北京教育考试院网上证书查询系统 “植入”假考生成绩 卖证书牟利 入侵官网 本市首个黑客被公诉 身为北京教育考试院工作人员 涉嫌破坏计算机信息系统罪 网站表示已加强对服务器的 ...    利用木马病毒程序 侵入北京教育考试院网上证书查询系统 “植入”假考生成绩 卖证书牟利
    入侵官网 本市首个黑客被公诉
    身为北京教育考试院工作人员 涉嫌破坏计算机信息系统罪 网站表示已加强对服务器的安全管理
    利用木马病毒程序侵入北京教育考试院网上证书查询系统，然后篡改数据，将假考生的成绩“植入”考试网上，卖证书牟利。
    北京市教育考试院社考部的工作人员孟某，被检察机关以破坏计算机信息系统罪提起了公诉。2010年1月7日，丰台法院将开庭审理此案。据悉，孟某也是本市首个被公诉的黑客。
    考生举报
    竞争公务员岗位因0.1分落选
    2009年3月10日，北京教育考试院接到了一封举报信。
    举报人称，2008年年底，湖北省宜昌市某事业单位公开招考2名公务员，考生李倩以第一名笔试成绩、第三名面试成绩入围，然而最终却以0.1分之差落选。
    在申请复核过程中，李倩发现挤掉自己的是一名叫杨柳的女生，因为杨柳有一份《全国计算机等级证书》（二级），使得她的考核分一下子多出1.5分。李倩对这份证书查证时，发现证书有假。
    据李倩反映，杨柳系2006年毕业于武汉华中师范大学汉口分校（专科），湖北宜昌人，但从其计算机等级证书编号可以看出，杨柳是2007年4月份在北京市参加计算机考试的。
    李倩从北京市的全国计算机等级考试查询系统中挑选了多份考生的信息进行查询，这些考生均“榜上有名”，然而在对杨柳查询后，却没有杨柳的相关信息。
    于是，李倩向招生单位举报，该单位要求杨柳答复。
    在举报后的第三天，也就是2008年12月9日，杨柳回复说她的证书能在网上查询了，北京教育考试院社会考试办公室计算机考试科解释是网络出现了故障，所以之前杨柳的证书查不到。
    此说法李倩不同意。李倩说，既然是网络故障，为什么其他人的证书当时可以查询，而杨柳的则查询不到，其中必有隐情。
    心有不甘质疑对手持假证
    李倩说，据她了解，社会上有出售证书的情况，如果购买一份假的计算机证书只需要200元到300元，如果要购买能够上网查询的，只要花费4000元至5000元，并且该证书不仅能从官方网站查询到，即便是从教育系统的内部网站上，也绝对可以查询到。
    李倩说，除此之外还有疑点，因为当招工单位调查人员询问时，杨柳竟不能提供在北京的考试地点及周边情况，杨柳说自己忘记了。但距离考试也不过才一年多的时间，忘记了考点是不可能的。
    另外有了解内情的人说，杨柳毕业后从来没有去过北京找工作，因此也根本不会千里迢迢到北京去参加计算机考试。
    李倩说这一系列的疑问无法解释，因此怀疑杨柳的证书是假的，于是举报。
    网站调查
    照片文件中隐藏木马病毒
    接到举报后，北京教育考试院立刻调集计算机工程师进行调查。
    调查的结果令考试院领导大吃一惊：真的有人闯入考生数据网进行了删改。
    技术人员对网站数据进行确认，经过核实网站在线数据库，当时杨柳确实在网站的数据库中存在，但只有名字。
    对上网的原始数据进行比对后，技术人员发现原始数据中并没有杨柳的底档，所以可以确定杨柳的证书是不存在的，而是后期通过某些手段添加到网上证书查询数据库里的。
    技术人员发现杨柳的数据是在2008年12月9日11点33分被加入到数据网中，在上千个照片文件中的一个子目录里隐藏着一个木马病毒的文件，通过该文件，不仅能够随意登录网站，还可以修改数据，该木马病毒的功能非常强大。
    在数据库里不仅多出杨柳的数据，技术人员还发现，在2007年下半年，数据库里增加了200多条异常数据，2007年上半年数据总数虽然只增加了一条，但是有部分数据被修改，2006年数据也有被修改的痕迹。
    2009年5月21日，北京教育考试院向公安机关报案。
    查找毒源
    黑客原是考试院工作人员
    那么作案人员是如何把木马上传至数据库里的呢？
    警方发现，黑客使用的是更换照片的方式，就是在照片文件中隐藏了木马病毒。
    通过黑客闯入的数据分析，该用户是典型的上班族，2008年12月7日之前的操作都是在非上班时间段，通过家庭常用的宽带拨号上网来操控木马程序的，2008年12月7日之后也有在上班时间访问的，但都是利用了代理服务器进行访问，有一定的防追踪意识。
    警方判断，这不是简单的偶然性的篡改数据的事件，而是一起有一定组织和规模的长期作案行为。
    最终警方发现，黑客登录的IP地址为丰台区帝京路某大厦，用户名字叫张越。
    警方对张越进行了传讯。张越说自己原来在一家网络公司打工，做会计。后来认识了现在的老公孟某，2003年二人结婚，2007年张越辞职在家，再未工作。
    张越说自己平时也就上网打打游戏，电脑主要是丈夫孟某使用。当张越说孟某的工作单位就是北京市教育考试院社考部时，现场民警的眼睛一亮，终于找到了目标。
    1
    孟某将计算机等级考试等考生的报名信息、照片及自备考试点回收的考试结果，以刻录光盘的形式送交到教育部考试中心
    2
    考试中心反馈一个成绩库上传到考务平台。
    检方表示，照片文件被做手脚，文件中隐藏着木马病毒。
    通过木马程序，不仅能够随意登录网站，还可以修改数据
    3
    孟某从考务平台上下载成绩库后，再通过内部的文件上传平台传递给北京教育考试院信息处，信息处再上网处理
    黑客入侵网络过程
    黑客面对询问对答如流
    很快，孟某被警方传讯。对于民警的调查，孟某好像是早就有所准备，对答如流。
    孟某说，他2001年7月在河北省三河市“交通管理干部学院”计算机科学与技术专业上大专，大专毕业后就到了北京教育考试院工作至今，已经7年。2009年1月份正式调入北京教育考试指导中心。
    孟某的工作是在社考办计算机科辅助计算机等级考试、全国应用技术证书考试、青少年计算机考试的报名和数据整理、文字录入及接待考生电信咨询等。
    具体说，就是负责将计算机等级考试等考生的报名信息、照片及考试结果，以刻录光盘的形式送交到教育部考试中心，考试中心反馈一个成绩库上传到考务平台。
    孟某从考务平台上下载成绩库后，再通过内部的文件上传平台传递给北京教育考试院信息处，信息处再上网处理。
    警方搜出大量合格证空白页
    孟某是最有条件接触到数据库的。对于警方对此方面的询问，孟某予以否认，甚至以沉默回应。
    据考试院反映，数据库是由信息处专人负责的，通过正常登录查询系统可以从数据库中调取考生的成绩，不可以直接访问数据库。
    这个木马病毒藏得很深，隐藏在数万张照片文件中，但在随后的搜查中，警方从其家中搜出了大量的计算机等级考试合格证空白页。
    据教育考试院表示，该合格证是由教育部考试中心打印内容，然后由北京市教育考试院将完整的合格证发给考生。
    而孟某说这些空白证书是已经作废了的，是一次在单位搬家时自己拿回家的，至于拿回家的用途，孟某不说。
    据警方从教育考试院孟某的同事处了解到，孟某在考试院工作7年间，没有犯过错误，工作基本都能完成，而且孟某的为人非常低调。他平时不爱与人交流，很少与同事闲聊，也很少与同事聚会等，对于他的情况同事知道得很少。
    收入调查
    月入两千元黑客有房子有车
    虽然孟某不承认，但是警方调查的一系列证据都指向了孟某。
    据考试院反映，孟某的工资也就1000多元，加上加班费，一个月最多不超过2000元。
    但是，孟某的妻子张越说，自己家不仅还清了20万元的房贷，还买了一辆10多万元的汽车，家里的存款有三四十万元。
    张越说家里的收入基本都是靠孟某。“你家的收入与你丈夫的工资很不符，你注意到没有。”民警问张越。沉默了一会儿，张越说自己也曾想过这个问题，但是她从来没有想到是自己的丈夫干了违法的事。
    警方从北京市教育考试院网上发现，仅北京的考生中，就有20个考生的证书是假的。
    至于是否还有像杨柳那样的外地考生证书也是买的，警方说只有等人报警后，才能查找，因为查找的工作量实在是太大了。
    据介绍，本市警方多次抓获过贩卖假证书的嫌疑人，有些假证书能从官方网站上查询到假考生的信息，但是对于进入网站，将假考生信息“写入”官网中的黑客，孟某还是第一人。
    2010年1月7日，孟某将接受审判。
    亡羊补牢
    对敏感数据加强管理
    该事件发生后，北京市教育考试院做了相关补救措施，加强了网站的安全措施，同时总结了此事件的经验教训。
    他们表示，对于常年在线的应用服务器，安全威胁是最大的，更具隐蔽性。在该类系统架构设计、程序代码上都要重点考虑防范各种入侵的可能性，使得被攻破的可能性大大降低。如：服务器和数据库服务器要分开部署，尽量不用木马病毒常光顾的IIS应用服务平台，对于敏感数据要加入数字签名等。
    对于重要的应用服务器，加入入侵检测安全系统，对于各种攻击进行主动性的防护。对相关技术人员，要加强安全意识的培训教育。