当初,美国facebook创始人扎克伯格侵入校园网,获得未经授权的美女同学照片,一时之间名声大噪,也让哈佛校方头疼了一阵子。而日前华东理工大学 “梅陇客栈”论坛上出现一个名为“曾经的我们”的小软件,只要输入学号,就能看到自己在学校系统中的存档照片。虽然这个漏洞很快就被华理堵上,但关于校园网的安全问题,华理事件绝非个例。
》事件始末
学生编软件“入侵”校园网 引起疯狂转发 击垮服务器
据介绍,网名为“x-spirit”的华理学生近日在论坛上发帖公布了这款软件,并将其命名为“曾经的我们”。不管是在校学生还是已毕业的校友,只要输入本科学号,就能看到学校系统中的存档照片,疑似利用学校系统漏洞而得以实现。
“我试着输入学号,果然看到了照片。照片上的我看上去还很幼稚,是高中毕业刚上大学那会儿的样子。”华理校友张先生说,除了这张照片,其余信息包括姓名、专业等一律没法看到。不过,就是这张略显幼稚的存档照片,激发了众多网友的兴趣,大家纷纷尝试,导致服务器不堪重负,一度“瘫痪”。
部分学生觉得此举“有趣”,可以唤起大家曾经的记忆。网友“pigrass”打趣地说道,“搜了某甲妹,发现过去和现在一样纯;搜了某乙妹,以前居然是小脸嘟嘟的;搜了某丙妹,瞎了,假小子啊”。网友“木无波”看了照片后则感慨,“爷当然还很嫩,现在已经是大膘样了”。 “goddisposes2008”更是表示感谢,“多谢楼主,2003级的老人成功找到当年寝室7人的照片,满怀感慨地写了篇日志,让我追忆了那似水年华。九年了,不容易,学校还留着我们这些老人的照片哪!”
不过,记者试图体验该软件时,却发现此软件已被关停。页面显示“因触犯了某位同学的隐私,关闭啦!”
一名华理学生在论坛上发帖时直指开发者“x-spirit”:“x-spirit同学发现了学校网站的漏洞。他将这个漏洞向公众公布,虽然没有公布细节,但是提供了一个该漏洞的应用。这个应用可能造成隐私泄露,造成服务器不堪重负。在未得到漏洞方同意的情况下,公布漏洞细节或者提供利用漏洞的方法是不对的。”
网友“Ebolla”也表示,“楼主挺有才的,但是并不是每个人都希望把自己的照片挂在网上给别人随便看的,非得往严重里说怎么也算是有点侵犯个人隐私了,所以楼主的初衷可能是好的,希望大家回忆一下青葱岁月,但是效果可能并不是那么理想。”
记者了解到,学号不同于密码,数字排列有规律可循。比如,自己的学号是“B03111123”,则“B03111122”和“B03111121”肯定是周围同学的学号。因此想要查看其他同学的照片,的确易如反掌。
》对话当事人
并非学计算机专业 利用漏洞软件才得以成功
记者近日联系了软件编写者“x-spirit”。提及编写该软件的初衷,他坦言,开发目的很简单,就是想让毕业多年的校友看看曾经的照片,找回多年前的记忆。“我把它取名为‘曾经的我们’,用意也就在此。”
他并不讳言,该软件利用了学校网络系统的漏洞,才得以实现。他表示,自己懂得适可而止,因此,在校学生或者毕业校友输入学号后,也只能看到一张照片。其他任何私人信息都是看不到的,“如果我真的是故意的话,为什么不抖出其他信息呢?其实,只要我愿意,其他信息都能挖出来,公之于众的。”他甚至不肯向记者透露漏洞细节,觉得知道的人太多,不是好事。
由于“曾经的我们”软件一开始的反响良好,“x-spirit”本来还有意为大家开发更多有趣的小软件,比如,华理选课外挂软件、实验抢课外挂软件等。
“不过,好景不长,前些天遭到了同学举报,因此被关停了。”“x-spirit”自觉委屈,“好心好意帮大家编写软件,没想遭到了举报,有同学觉得侵犯别人隐私。我已经交了一份检讨给学校,并将相关漏洞信息上报校方了。”
据“x-spirit”称,自己是非计算机专业的本科生。那么,华理校园网是不是真的不堪一击,一个并非相关专业的学生都能“攻破”?“x- spirit”告诉记者,“要发现学校系统漏洞,没有半点技术基础肯定是不可能的。那些计算机系的学生是不是普遍具有这样的水准,我也说不上来。”
他自述一直对计算机网络有浓厚兴趣,当初考大学时,未能进入计算机系,是因为偏科严重。他对互联网的兴趣从未减退,平时总会去一些国际专业论坛,和国外的计算机高手交流,并紧跟最新的网络技术。此外,“x-spirit”还做过不少小软件,比如“淘宝返现金”软件、“秒杀”软件等。他曾经还在上海市计算机应用大赛获过奖,在这一领域,自认为不比计算机专业的学生差。
“各个学校都会有像我一样的人,因为在互联网技术方面,是否具有黑客潜质,关键靠兴趣和实践,而不是课堂上老师教出来的。我现在就通过开发一些软件来提高能力,这是一个摸着石头过河的过程。”“x-spirit”觉得,不排除其他人会有和他一样的想法。
》学校反应
华理已于近日修补漏洞
此事发生后,华理信息办已经开始修补系统漏洞。记者近日致电信息办时,相关负责人表示,提高校园网安全,和财力、物力的大量投入不无关系,目前条件下难以完全做到。
“学校不可能坐以待毙,肯定会采取一些措施,具体细则不方便透露。”她如此说道。不过,记者还是在华理信息化办公室网站看到了一份《关于印发<华东理工大学校园网络信息安全应急工作预案>的通知》。该通知给出了网络信息安全应急处置工作程序,包括“紧急事件发生前,建立健全紧急事件速报制度,保障突发性紧急事件信息报送渠道畅通”等,但记者并未查看到具体实施细则。
而经由此事,一位华理不愿意透露姓名的教授则向记者坦言,在信息安全方面,虽然要做到万无一失是不现实的,但可以提高的地方还有很多。而且可以说,这不光是华理的问题,也同样是全市很多高校的问题。
相关案例
学生屡次攻陷自家校园网
事实上,学生发现校园网漏洞,并用各种方式炫耀“战绩”的做法,的确是很多高校共同面对的问题。据记者不完全统计,仅去年一年就有5起相关新闻报道。去年8月底,广东外语外贸大学(大学城校区)校园网遭黑客攻击,正在上网的学生电脑全部自动关机。所幸大部分同学电脑并未遭受损坏。“黑客”为该校信息学院大四学生,事后通过微博向全体学生公开道歉。
而就在今年3月底,南昌大学某学生匿名入侵校园网站后,篡改网站公告抱怨“学校断电太早,希望学生寝室0点30分再断电”,因此被广大网友称为“最有爱的黑客哥”。而据信息安全检测结果,南昌大学网站此前存在多个高危漏洞,才会被黑客轻易入侵篡改。
沪上不少高校的校园网也同样未能幸免。现在就职于一家外资IT企业的软件工程师“hackerzhou”早在复旦大学读书时,就发现了校方数据库管理系统的漏洞,并利用该漏洞,编写了选课软件。“我只想做点帮助同学的事情,所以没有做得过分。其实,如果我想的话,可以把其他任何同学的成绩信息调出来。这个软件一开始的时候,也只是在计算机专业的同学之间内部流传。”他如此说道。
此外,上海大学校友金先生在校时,也曾利用系统漏洞,设计过一个选课助手软件,累计使用人数达到130余万人次。他曾告诉记者,该软件出于善意的目的设计,但由于数据源问题,让该软件蒙上了一层阴影,最后只能被迫关停。这让他着实难过了一阵子。
》校园网“免疫力”差的四大原因
1.校园网大小网页太多
质量参差不齐易被攻
多名IT从业人员均表示,相对于一些门户网站,校园网经受的攻击强度测试不够,“免疫力”差,管理员安全设置方面的漏洞,使其安全系数降低。
专业人士透露,虽然这名华理学生并未公布漏洞细节,但通常的做法是,他通过不断猜测,发现了照片链接的编号就是学号的编号,于是,校园网便被他成功侵入。如果去一些大公司网站,他们的重要照片链接可能通过编码设置得更为复杂,更为隐蔽,绝不会如此轻易就被发现规律。
软件工程师“hackerzhou”说,“像华理这位同学的做法不算新鲜,此前也有人这样尝试过。发现此类校园网漏洞并不难。”
金先生目前在银行从事IT工作,他也给记者举了一个例子。一般而言,银行网络受到攻击的可能性较少,因为它暴露给受众的充其量只有网银,其他庞大的系统架构都是内网,黑客根本无从攻击。但校园网大大小小的网页何其多,质量参差不齐,有一定技术水平的人想随便找个网页“练练手”,并不难。
2.专职信息安全人员少
学生常来“充专家”
记者了解到,随着互联网的普及,高校网上办公越来越风行。学生档案系统、校园卡系统、选课系统等纷纷出炉,方便大家的同时,其间包含的各类重要私人信息,却带来了信息安全的隐忧。
资深信息安全人士曾佛春对高校网络观察多年,目前也在从事相关的信息安全工作。他告诉记者,“校园网的安全性相当重要。因为学生的个人信息容易被不法商家套取、利用,进而牟利。此外,校园‘黑客’事件一多,会给校园正常教学秩序带来严重干扰。”
在他看来,早年的各大高校校园网一般漏洞都比较多,因为出于成本等考虑,参与建设的大多为相关专业的老师和学生,并且利用业余时间完成,而不是专职人士。近几年,在一些关键性的官方系统上,部分高校开始委托一些专业的公司进行建设,不过,一些院系的小网站仍会由学生来开发。这样一来,校园网的质量参差不齐,时不时受到“骚扰”,也在所难免。这种说法在“hackerzhou”那里得到了证实。“校园网一般由高校的信息化办公室或者网络信息中心负责。其中,学生仍是不可或缺的一部分。”他同时表示,由于投入有限,专职的信息安全人员并不多。他本人学生时代就在相关部门帮过忙。
3.校园网建设被外包
只重功能轻视防御
此外,与其事后亡羊补牢,不如事前主动防御,但现实往往并非如此。在“hackerzhou”看来,部分高校会将一些系统的开发项目外包给软件公司。在验收时,高校信息办往往只关注功能是否完备,页面是否美观,而忽视了“找漏洞”的环节。“学校的内部团队应该在验收时,测试一下系统的安全性,或者找专业的网络安全公司来进行把关。”
在这方面,曾佛春则给记者举了个例子。沪上某高校的新生数据库数据曾遭外泄,造成信息外流,事后该校才采取了一些改进措施。如果不发生这件事,是不是就“天下太平”了?
“目前,攻击校园网的主体是大学生。学生可能只是小打小闹,还会‘手下留情’。但随着越来越多有含金量的学生信息都被放在了网上,不排除哪天会有黑客看到其中价值,进行有组织、有系统的攻击。这些怀有恶意的黑客,可不是那么好惹的。”
“学校可以请一些专门的网络安全公司进行审计、咨询,对校园网逐一检测,找出漏洞,防患于未然。”曾佛春不无遗憾地说,目前由于诸多限制,就这一点而言,多数学校还无法做到。
4.对学生不好强制管理
网络中心难及时补漏
当然,校园网的信息安全难题还在于管理方面。曾佛春用公司和高校来比较。如果在一家公司,领导层出于安全考虑,关闭聊天软件,甚至不让上网,员工都不大可能有所怨言。但换作了高校,限制学生的诸多上网行为,活泼好动的大学生不要都跳起来?“公司的管理往往具有强制性,但高校的各大院系之间本来就相对松散,具体到个体学生,就更加不能用强硬措施了。”
某些高校的“技术大牛”为了小试牛刀,将校园网作为练兵场,一时间,大学生“黑客”层出不穷。“我认识一个同学,前些阵子利用系统漏洞,做了一个选课插件。他自认为造福了同学,并很有成就感。但万一这个插件,被有恶意的人利用,带上攻击性软件怎么办?学校当然是不支持的,但也无计可施,结果,只能将他‘招安’,来信息中心帮忙。”
此外,网络信息中心作为服务部门,对于各院系网站的漏洞只能提供建议,没法强制责令其尽快修补。“在有些老师的旧有观念中,网络信息中心的工作人员就是来帮忙修修电脑的,怎么可能凌驾于他们之上?”曾佛春坦言,一个学校的整体网络布局,需要配备系统化的管理,就这一点而言,似乎很多学校都有较长的路要走。
》如何加强“免疫力”
技术和管理都要加强
上海交通大学信息安全学院副教授刘功申认为,现在高校对信息安全越来越重视,在安全设备的投入方面不少,也会委托一些专业公司打理,单就网站本身的安全性而言,并不见得弱。但校园网信息安全问题是一个系统工程。举例而言,如果在网站使用流程方面,思考得不到位,就容易被人抓到把柄,进行恶意利用;管理员安全意识低,密码设置不当,也容易被人侵入网站;计算机系的学生在课堂上就会学习一些攻防知识,他们有时也会有冲动,跑去练练手。
“所以,要改进现有状况,无非从两个层面考虑。在技术上,高校应在安全性上考虑得更周到,防止网站被人恶意利用;在管理层面上,结合学校的实际情况,制定更加行之有效的规范,并严格执行,而非流于一纸空文。”
》三种应对措施
招安黑客学生做网管、定期扫漏、制定防范条例
巧用学生“技术大牛”
记者了解到,尽管存在诸多不足,多数高校都在做或多或少的努力。在复旦大学的信息化办公室的网站上,记者看到,“复旦大学正逐步建立起一套比较完整的信息化校园安全保障体系,力争从网络环境、应用系统和信息资源等多方面保障校园教学、科研和管理信息化应用的正常运行。”从人员保障上,信息办依托虚拟团队模式,成立了网络信息安全领导小组和安全工作小组。前者由信息办主任、副主任和各中心的主任组成;后者则从信息办下属各中心抽调对网络、信息系统安全技术比较精通的技术骨干7人组成。
而一位接近交大网络信息中心的工作人员则告诉记者,交大的情况比较特殊,工科生很多,学生中的“技术大牛”也特别多。所以在人员保障上,交大除了专职信息安全人员,在部分项目中,也会让少量学生参与进来。“有些好苗子,技术可能比老师都还牛了。我们就给他一点网站的管理权限,这是一种疏导的好方法。”在这位工作人员看来,学生参与校园网建设未必就不是好事情,关键还要看怎么参与,“从某种程度上说,与其让一些学生用自己的技术‘威胁’校园网,还不如让他们在学校的监督下,一定程度上管理校园网。”
定期系统漏洞扫描
而在主动防御方面,复旦大学也打了“预防针”。复旦信息办使用专用漏洞扫描软件定期对系统进行漏洞扫描并生成报告提醒管理员对存在漏洞的系统进行整改。并且,信息办建立了校园网络信息安全服务网站(FDU-CERT)发布计算机病毒预报和安全漏洞等安全公告、分发安全补丁并提供WSUS服务等。
“近几年,信息化校园的概念越来越受重视,校园卡充值系统、学生选课系统等都和大学生生活密切相关,只要一出纰漏,就会直接影响到大家的生活。因此,想尽一切办法预防恶性事件发生,是网络信息中心一直思考的问题。”前述交大网络信息中心的工作人员则透露,同沪上其他高校相比,交大的校园网网速较快,很容易遭来恶性的流量攻击。学校投入了一定财力,升级了一系列设备。他还透露,学校网络信息中心已经成功监测并拦截了一些恶意攻击。
安全工作小组全局把控
那么,在信息安全管理上,又该如何下苦功呢?记者了解到,复旦大学信息办制定了《系统安全管理方案》、《数据安全规范管理办法》、《安全应急处置预案》、《密码安全管理办法》等一系列规范。安全工作小组会定期通报安全工作情况,对安全工作进行审计,并督促各项信息安全工作开展。
此外,记者在交大网络信息中心的网站上,看到了多份《关于加强校园网信息安全管理工作的通知》。其中写道,“针对目前学校网络用户众多,IP地址管理不够规范,网络用户信息安全意识淡薄的问题,学校决定对校内IP地址的使用情况进行检查清理,并在此基础上重新签订《上海交通大学用户入网安全责任书》,明确网络信息安全的职责,从而进一步加强对我校校园网络IP地址申请、使用等规范化管理和监督工作。”前述的工作人员告诉记者,因为诸如此类的措施有针对性,近几年交大校园网的恶性事件几乎没有发生过。