事件回放
全国最大的网上盗窃通讯资费案。31岁的程稚瀚是UT斯达康资深软件研发工程师,主要工作是帮助公司解决网络安全问题。此前任华为技术有限公司工程师,负责西藏移动等公司的设备安装。从2005年2月,从西藏移动公司系统进入北京移动公司的充值中心数据库,获得最高系统权限,根据“已充值”的充值卡显示的18位密码破解出对应的34位密钥,然后把“已充值”状态改为“未充值”,并修改其有效日期,激活了已经使用过的充值卡。在随后的4个多月中他在充值数据库中如此操作,并复制出了14000个充值密码。他把面值300的充值密码以281.5到285元面值不等价格在网上售出,获利380万。 2005年7月16日,北京移动接到用户投诉说购买的充值卡无法充值,这才发现密码被人盗窃并报警。无法充值的原因是他最后盗取的那批密码忘记了修改有效日期。
暴露的问题
仅凭这件事情中被媒体公开的信息看,移动公司的信息系统管理有很大的问题。造成这么大的损失,不仅仅是技术问题,更重要的是内部控制程序上的问题。如果不是程稚瀚最后一次的疏忽,他的所作所为将会是神不知鬼不觉的。
主要管理缺陷有:
1 移动公司对设备/服务提供商的管理缺陷。华为完成设备安装后,移动公司没有马上修改原始密码,这是导致该事件发生的直接原因。
2 移动公司对密码的管理缺陷。关键设备的超级用户密码没有做到定期更换。
3 移动公司对已过期帐号的处理缺陷。已经过期的密码应及时从密码列表中删除,而不是简单的通过状态不同来区分。定期清理无效密码可以降低上述风险,同时也能提高系统的运行效率。
4 没有异常数据变更的检查报告机制。事前预防控制没有,事后的检查控制也没有。按说修改密码状态和过期日期这种业务性质的操作是很少见的,根据职责分离原则,就算是真正的系统管理员也不能这么做。但是有14000条记录被异常更新并且没有被发现,这就是检查机制的缺陷了。
总结
程稚瀚是为了“测试”移动公司花上亿元安装的网络安全系统才偶然发现了这个新“财路”的,但是这个安全系统被他评价为“没什么用”。可见,要保证信息系统的安全,技术起很大作用,但并不是万能的,严格健全的内部控制措施也是非常重要的,有时候它比技术措施更加有效