钻进高校教务系统的黑客
钟会兵本报记者郝飞
利用高校教务系统SQL漏洞取得管理员权限,远程帮助在校学生修改考试成绩并收取酬劳——四川某高校大四毕业生自以为找到了一条生财之路,却因此葬送了自己的前程。近日,崇州市法院审理了该市首例破坏计算机信息系统案,被告人闫某被判处有期徒刑5年。
多人要求取消重修老师发现猫腻
“喂,是崇州市公安局吗?有人非法入侵了我们学校教务系统……”年5月日,四川省水利职业技术学院教务处的老师成洁拨通了崇州市公安局的报警电话。
自年2月份开始,陆续有学生找到成洁,声称自己粗心看错成绩误报了重修,要求取消重修。刚开始人数不多,并没有引起成洁的重视。到了5月份,以同样的理由要求取消重修的学生陡然增多。“一般情况下,不会有这么多的学生同时看错成绩并选择了重修。”成洁告诉记者,自己由此产生了疑问。
随后,成洁将教务系统中的成绩与线下的成绩做了对比,发现至少有十余名学生的成绩在系统中作了修改,但是相关的科任老师并未提供修改申请。经过分析,成洁怀疑有人入侵学校的教务系统篡改了学生成绩。通过做学生的工作,一名学生承认了出钱在网上找人帮忙修改成绩的事实,成洁随即报警,于是就出现了开头的那一幕。
警方顺藤摸瓜挖出背后“黑客”
接到报案后,崇州市公安局高度重视,迅速成立专案组。
办案民警在学校的帮助下,找到了十多名修改成绩的学生,从他们电脑、手机的QQ聊天记录中迅速锁定了一网名叫“东瑜”的人。但是嫌疑人非常狡猾,在聊天的过程中使用的是代理服务器,公安机关无法锁定犯罪嫌疑人的真实IP地址。
既然无法通过聊天记录突破案件,公安民警就转变了侦查方向,把重点放在调查资金流向上。办案民警发现,每次改分成功后,犯罪嫌疑人都会要求学生把钱打入一个用户名叫李某的支付宝账户,随后该笔资金又转入一个用户名叫闫某的支付宝账户,并通过闫某的工商银行卡取现。警方分析,用户名为李某的支付宝账号很可能只是犯罪嫌疑人掩盖自己真实身份的手段,而嫌疑人真实的身份叫闫某。
进一步调查闫某的身份信息,资料显示:闫某,男,岁,四川某高校计算机专业大四学生,在成都某软件公司实习,而嫌疑人通过银行取现的地点就在成都市区。种种迹象表明,闫某很有可能就是本案背后的“黑客”。
年6月日,崇州市公安局民警将闫某从实习的公司带走。很快,闫某交代了全部的作案经过。而就在闫某被抓的前一天晚上,他还帮西安航空学院的几名学生修改了成绩。
参加网络安全大赛发现网络漏洞
“我从小就很喜欢电脑,但是直到高中我才有机会接触计算机,高考填志愿时我毫不犹豫地选择了计算机专业……”闫某说。闫某出生于达州的一个小山村,父母均为本分的农民。据闫某的大学老师介绍,闫某学习计算机很有天分也很努力,很多知识一点就通,在大一的时候就基本上自学完了本科阶段的计算机课程。由于成绩优异,闫某多次获得国家励志奖学金,大三的时候就已经是高级软件开发工程师了,并且获得过四川省计算机设计大赛一等奖、全国三等奖。
年7月,闫某接到了互联网安全比赛的邀请,在为比赛进行训练期间,他用SQLMap对其所就读的大学教务网站进行扫描的时候,偶然间发现教务网站所使用的“金窗教务管理系统”存在SQL注入和下载漏洞。在好奇心的驱动下,闫某通过这个漏洞下载了学校教务系统数据库中的数据。
虽然这些数据都被加密了,但是闫某通过自制的小工具还是轻而易举地对加密密码进行了破译,获取了系统管理员权限。为了获取更大的数据样本撰写修复漏洞报告,闫某对四川水利职业技术学院、西安航空学院等十余所高校的教务系统进行了同样的操作,并获取了管理员权限,而这十余所高校使用的都是“金窗教务管理系统”。
案发后,警方在闫某使用的私人电脑中发现了一个漏洞报告,上面详细记载了攻破系统的步骤,以及如何对系统漏洞进行修复的方法,这些都证实了闫某入侵数据库的初衷。“我知道以技术手段获取这些网站的管理员权限是不对的,所以下载数据后我都把它们小心保存在U盘里面了,并没对外传播或者出售。”面对警方的讯问,闫某说道。
临近毕业生活拮据篡改成绩获利
年底,大四的闫某面临着抉择,读研还是工作?作为从农村出来的孩子,家境并不宽裕的闫某深知父母为了供养自己读书已经付出了太多,为了能够尽早回报父母的养育之恩,他选择了工作。在校期间成绩优异、且拿过省级大奖的闫某受到了很多软件公司的青睐,很快他就被成都一知名软件公司录用。
年初,闫某就来到了公司实习,从西昌到成都、从校园到社会,住房、餐饮、社交所需的费用剧增,生活成本陡然增高,然而还未毕业的他只能拿到微薄的实习工资。父母都已年过六旬,一心想要用自己的双手撑起整个家的闫某认为,自己已经走上社会就不能再向父母要钱了。在生活的压力下,闫某把黑手伸向了半年前他所入侵的那些高校教务系统。“有没有挂科的同学需要改成绩,想改成绩的同学私聊我。”年2月份开始,闫某在四川水利职业技术学院、西安航空学院等十余所高校的贴吧、QQ群里面发改成绩的帖子。很快,一名四川水利职业技术学院的学生就联系上了闫某,经过一番讨价还价之后,闫某答应以元一科的价格,进入教务管理系统帮这名学生把三科不及格的成绩改成了及格。
为了不让对方知道自己真实的身份和躲避侦查,闫某在网上购买了一个用户名叫李某的支付宝账号,让对方把钱打入这个账号之后,再把钱转入自己的支付宝账户套现。钱来得如此之快,令闫某欣喜若狂,早就把法律底线和破解系统的初衷抛诸脑后。通过教务系统改分的消息在学生之间传开之后,找闫某改成绩的人越来越多,闫某的价格也水涨船高,元、元、元,最高时有学生以元一科的价格在他那里改成绩。
据警方统计,仅在四川水利职业技术学院,闫某就非法帮助名学生在教务系统中修改成绩。而最后,崇州市公安局委托会计师事务所对用户名为李某支付宝账号进行鉴定,闫某非法所得的数额为余元。
男子悔不当初泪洒庭审现场
“尊敬的法官、检察官,我对自己犯下的罪行感到非常自责和愧疚,我在农村长大,渴望通过知识改变自己和家庭的命运,面对压力和诱惑,我没有坚持原则和底线,我对不起自己的家人……”在法庭最后陈述节点,闫某痛哭流涕。“这不是闫某被抓后第一次哭。”本案的公诉人、检察官朱正冬说,“案件到了检察机关后,我去看守所看了他几次,几乎每次他都哭着说自己很后悔。非常优秀的大学生,本来应该在计算机领域有所作为的。”为闫某感到惋惜的不仅是承办案件的检察官,闫某所在的软件公司和就读的大学均给司法机关出具了情况说明,证明闫某品学兼优、工作踏实,是一个不可多得的人才;闫某达州老家的村民们向检察院寄来了联名信,请求从轻处理闫某;甚至连本案的被害方——四川水利职业技术学院也向司法机关出具了《关于给予闫某从轻处理的建议》,希望能给他改过自新的机会。
闫某的父母在得知儿子“犯事”后,第一时间从达州的农村赶到了成都,到公安局了解闫某犯罪的情况并到看守所探望了儿子。在得知闫某从学生那里非法收取4万余元改成绩费用后,老两口赶忙从亲戚朋友那里东拼西凑了3万多元退还给了那些学生。
闫某陈述结束后,法庭进行了短暂的休庭便进行了宣判,“根据《刑法》第二百八十六的规定,判处被告人闫某有期徒刑5年……”。“破坏计算机信息系统是一项重罪,闫某对计算机信息系统中的数据进行篡改获利4.8万元,达到情节特别严重的标准,应当被判处5年以上有期徒刑。但是鉴于其系初犯,到案后认罪态度好、有悔罪表现,所以法官依照最低的量刑标准对他作出判决。”本案的公诉人朱正冬对记者解释道。
◎声音
情与法的困局
“多么优秀的年轻人,因为一时糊涂,刚刚走出校门就走进了牢房。”作为一个孩子的母亲,主审法官王秀琴同样对闫某充满了同情。“破坏计算机信息系统罪作为妨害社会管理秩序类犯罪中的一条,违法所得在2.5万元以上即要被判处5年以上有期徒刑。犯此罪的大多是青少年,他们有知识、懂技术,本性并不坏。一个人能力越强的时候,他所承担的社会责任也就越重。”法官王秀琴最后对记者说,“法律知识的缺失和对职业道德的漠视,是导致信息技术从业人员走上犯罪道路的主要原因,希望这个事情能够让闫某迷途知返,出狱后用所掌握的技术做对社会有意义的事情。”
该院刑庭庭长陈澍对该案却有不同的看法。“闫某以牟利为目的入侵高校教务系统,对学生成绩、处分记录等数据进行篡改,对高校正常的教学秩序造成了严重的影响,其犯罪目的、手段以及社会危害后果都特别严重。网络安全事关国家安危和社会公共利益,尤其在当下互联网络已经渗透到我们生活的方方面面,网络安全就显得尤为重要了,因此必须要加大对此类犯罪的打击力度。在本案中,闫某入侵高校教务系统并下载了十余所高校数万名学生的个人信息,如果闫某对这些信息进行传播或者出售,那么很有可能会造成下一个‘徐玉玉案\’。”
新闻推荐
本报讯(祝榕澧陈巧)为推进“平安乡镇”创建进程,提高群众对建设平安和谐乡镇的知晓度,11月22日,王场镇综治办、安办等部门在该镇政府街道开展了以“千里之行始于足下,平安建设从我做起”为主题的宣传活...