安恒信息提示莘莘學子:高考結束警惕填報志愿被篡改
責編:penggao |2015-07-24 11:34:44每一年的七月份,正是莘莘學子們金榜題名的關鍵時刻,可是今年卻有一批學子無法實現他們的夢想,由于高考志愿被篡改,使得他們無法進入自己理想中的大學校園。
據受害者余同學回憶:“事發當晚8點多,我想看一下自己有沒有被錄取,用我的賬戶名+密碼登錄系統,結果發現自己的志愿被更改了。”通過同學錄聯系,發現同班的十多個同學也被修改,一個用手機拍攝了當時填報志愿的同學發現,自己報考的第四志愿,現在卻變成了第二志愿。
接到受害者的報案后,考試院和公安機關立即組織了相關IT人員、安全專家組成專案組開始破案。破案的關鍵點是要找到志愿修改的記錄,通過部署在報考系統旁路的Web業務審計系統和數據庫審計系統,利用考試的準考證號、身份證號、學校名字進行查找,很快就找到了相關人員的所有填報志愿日志記錄。通過對學校名字核對,進一步提煉了所有修改志愿的詳細日志,并從Web層訪問日志和數據庫日志進行核對,核實了修改的有效性和真實性。通過Web訪問日志的詳細信息,發現所有考生的志愿修改都是通過自己的真實準考證號碼和密碼進行登陸,登陸的IP地址都是同一個IP地址。
因此很快得出結論如下:
1)?基本確定是考生的賬號密碼被泄漏,有人利用賬號密碼登陸考試院系統進行修改;
2)?從IP地址來看,十多個考試信息修改都是同一人操作,而且應該是熟人所為;
3)?考試系統不存在黑客入侵的痕跡,可以排除黑客所為;
公安機關依據這些信息非常快的就找到了相關的作案人員,對當事人進行詳細詢問后,發現是一個同學的惡作劇,可不曾想到這個惡作劇把自己送進了大牢,也害苦了同窗幾載的同學。
這次的事件雖然很快就得到了破案,但是作為一名信息安全工作者,我們還是要認真來分析這類事件更深層的原因并吸取教訓,防止類似事件再次發生。
以下是最近幾年類似事件的截圖:
分析近幾年來的高考志愿被篡改事件,其原因主要有幾個方面:
1)?賬號密碼管理問題(主因):上述事件是典型的賬號密碼管理問題,所有人的密碼都是姓名開頭加’12345’。因此導致任何人都具備非法修改他人志愿的能力。其他的密碼管理問題還包括弱密碼、不修改默認密碼、身份證做密碼等;
2)?黑客入侵:志愿填報系統都是Web系統,一般都集中在省教育考試院進行管理。如果教育考試系統的信息安全工作做的不夠完善,可能就會被黑客入侵。黑客可以通過SQL注入、跨站等直接攻擊志愿填報系統,也可能通過旁注的方式先入侵教育考試院的門戶網站、FTP等系統,然后再進入到志愿填報系統;
3)?內鬼所為:不排除教育考試院內部以及其第三方的外包駐場運維人員內外勾結,利用職務之便,直接修改志愿填報系統數據庫進行非法牟利。
針對以上這些情況,筆者建議采用“防御+審計”相結合的完整解決方案來保障志愿填報系統的安全,尤其要重視審計系統的建設,這是事后追蹤、破案的關鍵。
1)?防御措施:防御措施其實有很多,這里筆者主要提了一下Web應用防火墻(WAF)和下一代防火墻,主要解決黑客最容易入侵的Web應用層的安全風險;
2)?審計措施:作為方案的核心,考慮到大部分的事件都是因為賬號密碼管理問題導致,而這種問題是WAF和防火墻無法識別和防御的,因為非法篡改行為和合法的修改行為完全一致,并不是攻擊行為。另外還有很多未知的攻擊(0Day)、業務邏輯攻擊、內鬼等都無法通過防火墻去防御和識別,所以部署審計系統,實現取證分析尤為重要。其中Web業務審計主要實現Web層的日志記錄、數據庫審計實現數據庫的修改記錄、堡壘機實現內部運維過程的審計和控制、綜合日志審計則是對所有日志的收集和整理。通過如上四個審計系統所構建起來的完整審計方案,可以實現教育考試系統的全審計;
3)?重視安全教育:剛剛高中畢業的學生是屬于安全意識非常薄弱的群體,學校、班主任、家長都要履行信息安全教育的義務,提醒他們修改密碼、不泄漏密碼,保護好自己的賬號。另外志愿填報系統應該也要具備提醒和弱密碼檢測等相關功能。