系统集成论坛

标题: 分析解读证券系统遭遇非法入侵事件 [打印本页]

作者: scanywhere 时间: 2011-10-21 16:01
标题: 分析解读证券系统遭遇非法入侵事件
事件内容：

厦门某公司一名业务主管，为了买婚房，充当黑客，侵入证券公司计算机系统，操作客户股票账户资金数千万元，以期抬高股价，让自己账户里的股票升值。近日，厦门法院以提供非法侵入控制计算机信息系统专用程序工具罪，分别判处被告人刘海刚和吴晓雨有期徒刑4年半和4年。
婚房难倒男白领
今年29岁的刘海刚是福建华安人，是厦门一家国际货运代理公司的业务主管。2006年8月，刘海刚认识了厦门女孩林小萍，其在厦门一家外资企业上班，两人于2007年3月确定了恋爱关系。
林小萍的父母都是中学教师，把她视如掌上明珠。得知林小萍恋爱后，父母便要求见面把关。于是2007年五一假期，林小萍把刘海刚带回家见了父母。那天，在林小萍家吃过午饭后，她的母亲陈英对刘海刚说：“你和小萍谈朋友，我和她爸都没意见。不过我有句话说在前头，你必须在厦门买房子，我们才同意把小萍嫁给你。”
刘海刚四处打听房子的消息。然而，让他惊讶的是：市区的房价一平方米都在八九千元以上，好的地段要一万多。一套100平方米的房子，要百万元，首付就要40万。自己刚参加工作，倾其所有也只有6万元存款。
从此，刘海刚开始一门心思找机会赚钱。
充当黑客恶作剧
2009年4月中旬，经过一番“钻研”，刘海刚利用外挂作弊程序，对证券公司系统以封包的方式发送数据，然后通过内存搜索，对证券计算系统属性私下进行修改，很快就突破限制，取得了证券公司管理员的权限，最终还真进入自己开户的证券公司的系统，看到了别人的账户。那一刻，他又惊又喜。
随后，刘海刚大着胆子对一个有50多万元的账户进行了几笔小额交易。然而，这样的交易，由于既没有对方的身份证号码，又没有对方的银行账号，只能在账面上进行股票交易，却无法套取对方的资金，没法得到实质性的收获。
抬高股价发大财
2009年6月中旬的一天，刘海刚突然冒出一个念头：“自己从别人的账户交易中套不到现金，何不用别人账户里的资金交易抬高股价，让自己账户里的股票升值，自己不就可以从中赚钱！”
7月初，同学吴晓雨来找刘海刚，刘海刚私下将自己可以进入别人在证券公司的资金账户的事告诉了吴晓雨。两人一商量，决定由吴晓雨去开户，刘海刚投资5万元，再由吴晓雨筹措15万元作为投资资金，刘海刚出“技术”，赚到钱平分。刘海刚想，只要在股市里能赚到房子的首付他就收手。
7月15日，刘海刚去一家酒店开房，与吴晓雨一起非法侵入某证券公司交易系统，修改了两个资金账户的密码，并进行大量交易。此后，两人又采取类似手法，多次进入证券公司的系统，对别人的账户进行交易。如他们所愿，买入的股票果然价格被拉升了，两人因此赚了3万多元。这下他们的胆子更大了。7月17日，当刘海刚再次进入证券交易系统，对股民洪先生的账户进行交易时，刚好被洪先生发现。
7月30日，当犯罪嫌疑人刘海刚在厦门一暂住地再次作案时，警方当场将其抓获。归案后的刘海刚交代，他登录并扫描了另外4家证券公司的资金账户，交易金额总计近千万元。(据《人民法院报》)

安软点评
我们看到在本案中，刘海刚通过对证券公司的网络通讯数据进行分析，骗取了管理员身份，入侵了证券公司的信息系统，并且获得了其他账户的操作权限。他通过间接地操纵股价使自己获利，最终罪行败露，锒铛入狱。
这暴露出证券公司的信息系统存在几个安全问题。首先是通讯协议设计的安全性不够，被黑客轻易破解攻入系统内部；其次是黑客在掌握了系统管理员权限后，进一步操作客户的股票账户。

安软观点
使用“用户名密码”的认证方式比较容易被黑客破解，这是这个证券公司信息系统主要的安全问题。如果使用数字证书或者动态口令等其他强认证方式，很可能黑客就在第一道门口知难而退了。另外在程序和通讯协议等设计时，也要充分评估被攻击的风险，防止黑客绕过防护严密的大门，跳窗而入。
安软提示
安软天地基于PKI技术提供提供以数字证书核心的应用安全产品与解决方案。数字证书的强身份认证功能可以有效组织口令猜测、暴力口令攻击等黑客行为。支持数字证书认证的安全认证网关，可以确保访问用户的身份认证与通讯数据的安全传输。
相关链接：数字证书服务器（CA）
原文链接：http://www.scanywhere.com/news/Events/2011101901.htm

作者: gzhq 时间: 2011-11-3 13:42
写的不错案例很生动给力

作者: sweet887 时间: 2011-11-30 16:52
分析的不错啊，顶！

欢迎光临系统集成论坛 (http://bbs.xtjc.com/)