今天有关媒体报道说,北京海淀警方破获了一起盗取虚拟游戏点卡案,犯罪嫌疑人利用网通ADSL用户升级获赠虚拟游戏点卡活动出现的漏洞,使用盗来的账号在一个月内盗取了价值70余万元的网易一卡通虚拟游戏点卡。
无独有偶,前几天媒体也报道了一件类似的事件。软件研发工程师程稚瀚在5个月的时间里,利用互联网4次侵入北京移动充值中心数据库,盗取充值卡密码并通过淘宝网出售,共获利370余万元。程稚瀚利用他为西藏移动做技术时使用的密码(此密码自程稚瀚离开后一直没有更改),轻松进入了西藏移动的服务器。通过西藏移动的服务器,程稚瀚又跳转到了北京移动数据库,取得了数据库的最高权限,并通过读取数据库日志文件,反推破译出密码。而用程稚瀚的话说,他是想测试一下中国移动网络安全系统的安全程度。
这只是最近一段时期的关于运营商网络被侵入并且给运营商造成巨额损失的报道,其实这种事件还非常多。
为什么眼下运营商的网络如此不堪一击?原因有三。
其一,入侵者的技术手段越来越高明。从若干起这样的案例可以看出,犯罪嫌疑人大都是从事网络技术工作的高级技术人员,即便不是专门从事这种工作的人,也是学习网络通信技术相关专业的人员。这些人对电信网络和互联网非常了解,知道电信网络的工作原理和方式。
其二,电信业发展到现在,完全电路化电信网络正在被IP化、软件化所替代,而IP、互联网的安全性是公认的最差的。以前,也有人盗打电话,但那是把电信接线盒的电路拉出来接到电话机上,只是以物理的方式盗打,而且非常容易被发现。而现在,只需要一台电脑就完全可以解决所有问题,而且做得神不知鬼不觉。互联网的发展给人们带来了极大的便利,但也带来了诸多问题。只要上网,电脑就可能被黑客黑掉,所以才有了众多的以网络安全产品为生存基础的公司的发展。
其三,运营商自己的麻痹甚至不负责任是黑客们能够得逞的最主要的原因。前两个原因是客观存在,没有谁能够改变。说起来,黑客们能够用高科技犯罪,也是他们的本事。电信网络的IP化和业务的软件化都是不可逆转的发展趋势。而防止黑客用网络犯罪,从而给企业和用户带来损失的唯一办法,就是运营商自身要加以防范。应该说,运营商中并不缺乏比黑客技术更加过硬的技术人才。但运营商在网络管理上有没有形成制度,有关人员有没有尽到责任,都有可能给黑客们提供可乘之机。程稚瀚想看看中国移动的网络安全系统的安全程度,他就轻松地进入了,而之所以轻松,还是因为西藏移动一直就没有修改程稚瀚为其做技术时使用过的密码。从这个角度看,程进入到移动的数据库也是偶然的。而在本文开始提到的案例中,犯罪嫌疑人之所以得逞,也是因为运营商的漏洞。
技术越发展自然也会出现很多的问题,这是再正常不过了,电信运营商的网络是否安全不但关乎到电信企业的利益,也直接影响着消费者的利益,这也给那些为运营商提供网络安全解决方案的厂商们提出了更高的要求,同时,也要求运营商每推出一个业务都要把安全问题考虑得周到一些。