黑客3分钟内"造"文凭 揭弊高校网络安全

2018-06-11    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用
  三分钟就能将一所大学所有学生的成绩修改为“全优”,十多分钟就能办一张全国知名大学的学位证,且在学校和教育部门的公开网站上都能查询到。发生在四川的这起利用计算机技术制贩假文凭案,不仅暴露出高校学籍档案管理的重大漏洞,对中国高等教育的某些弊端也有警示作用。

  2007年7月30日,四川省绵阳市看守所。

  蹲在监房内的吕斌全然没有了四川某科技公司“副老总”的风采,这位从四川某大学毕业刚一年的年轻人内心茫然,不知道自己将面临何种处罚。

  一年以来,吕斌伙同李杰华,利用所掌握的计算机技术侵入四川省内六所高校的学生档案管理系统,为100多个学生修改成绩300余科,非法获利6万余元;根据电子学籍资料伪造毕业证书和学位证书120余套,非法获利20余万元。为了完成这些“生意”,吕斌干脆注册了一家科技公司,专营假文凭业务。

  “这只是有据可查的。”一名知情人告诉《法制周报》记者,初步估计,仅假学位证书一项,至少已经有五六百本外流了,而篡改的成绩科目更是无法完全统计。

  案发

  2007年5月15日,四川省绵阳市公安局网监支队接到绵阳某师范学院保卫处报案,称该校教务系统网上的学生成绩被异常改动。

  网监支队民警王建明告诉《法制周报》记者,经查,从2006年8月份以来至案发,该校教务管理计算机系统多次被黑客非法入侵,黑客修改了教务管理系统100多名学生的考试成绩,总计有300多科。

  早在这次报案之前的一个月,绵阳市网监支队的民警就曾注意过一条信息。这条署名为“摆解轰”的信息表示需要防伪印刷厂印东西。通过网络监控,警方进一步发现,这个名叫“摆解轰”的网民与绵阳好几所高校的学生在网上联系比较密切。其聊天内容都与学习成绩和毕业证有联系。

  接到报案后,民警们立即将这个“摆解轰”与侵入高校教务系统的黑客作了联想。而被修改过成绩的学生,则成了警察破案的突破口。

  一名四川某大学的学生交代,自己大二时沉迷于电子游戏导致考试没及格,后来有人在网上表示可以为他修改成绩,收费仅为50元一科,他就交钱改了自己的成绩。

  网监支队副支队长缑勇告诉记者,修改成绩的学生只是通过中间联络人将钱交给一个网名叫“摆解轰”的人,由后者修改成绩。通过对比,民警们发现这个“摆解轰”正是前不久被盯上的“摆解轰”。

  警方进一步调查发现,“摆解轰”不仅通过黑客技术入侵高校教务网站修改学生成绩,同时还从事着伪造毕业证和学位证的勾当。通过技侦手段,公安部门最终锁定了犯罪嫌疑人的窝点,并在西安科技大学老校区外的一处出租房一举抓获了犯罪嫌疑人李杰华和潘剑锋,当场搜缴伪造的毕业证4本和学位证书3本。

  在随后的搜查中,民警又查获用于伪造毕业证书的电脑、激光雕刻机和彩色打印机等工具,同时还查获了大量用于伪造毕业证书的各式成品印章和钢印,以及伪造的各式成品、半成品高校毕业证书、学位证书。

  6月21日,团伙首要分子吕斌被警方抓获,6天之后,另一成员左兴也落网,至此,这个入侵高校教务系统非法修改学生成绩,伪造高校毕业证书的团伙被连锅端。

  假的“真文凭”

  让民警们惊讶的是,这次查获的假文凭和以往的假文凭有天壤之别。

  自从教育部开设了全国学历证书网上查询系统后,以往那些假文凭只要放到网上一查,都可立即现原形,但这次查获的假文凭,居然在教育部网站和高校档案系统中都有据可查,是假的“真文凭”。

  原来,吕斌团伙所出售的假文凭,多数是在高校和教育部电子数据库里有编号可查的真文凭的复制品。通过非法侵入高校计算机系统后,吕斌等人查到了那些文凭档案的编号等内容信息,然后根据这些信息印制假文凭。购买者拿着这些假文凭去找工作,即便有人将假文凭的编号等信息输入教育部的网站查询,结果也显示确有此文凭。

  吕斌交代,他是在一个偶然的机会发现了自己可以钻高校计算机系统的空子。在校期间,吕斌有一次利用学校管理系统的技术缺陷,获得了管理系统的权限,并查看了学生的个人信息。

  此后,吕斌把这次“奇遇”告诉了好友李杰华,那时,刚毕业于绵阳某科技大学的李杰华由于拖欠学校两万多元钱学费,被校方扣押了毕业证书。于是,李杰华请吕斌帮忙从学校教务网上查到自己的毕业证编号,然后找到假证制贩人给自己做了一个毕业证书。因为编号、姓名和照片等信息与真文凭没有任何区别,李杰华的这张假文凭也就起到了真文凭的作用。

  规模性造假

  造出李杰华那张假文凭后,吕斌和李杰华有一次受路边办假证的广告启发,筹划利用自己掌握的计算机管理权限和信息便利,多做一些“赚钱”的事情。

  2006年6月,正是大学生毕业时节,李杰华与吕斌制作了一个假毕业证卖给学生,赚了800多元,第一笔“生意”就这样顺利做成了,吕斌和李杰华很高兴。

  此后,吕斌多次侵入学校的教务管理系统,下载那些因为种种原因被学校扣下毕业证的学生信息交给李杰华,再由李杰华负责招揽客户和制作假毕业证。

  与此同时,李杰华还开发了另一项新“业务”??很多学生平时成绩不及格导致难以毕业,他们便利用侵入计算机系统非法获取的管理权限,通过为学生修改成绩来赚钱。

  警方事后查实,找李杰华等人办理假证业务的有两种大学生,一种是因为欠费被学校扣下毕业证书的。他们的毕业生档案本来就在国家教育部有备案,仅仅是证书没有拿到。吕斌查到在教育部备案的编号之后,李杰华便为其仿造一个毕业证书;另外一种则是因为平时考试不及格的学生,为了达到顺利毕业的目的,他们便找到李杰华帮忙修改成绩,如果教务处没有及时发现这一情况,便会将这部分本来不能毕业的学生误报送给国家教育部并核发毕业证书,等到学校发现这部分学生在做假时,教育部已经备案,假文凭也就成了真文凭。这两种情况都可以在教育部的学历查询网上查到。

  到了2007年初,为了提高办证质量,李杰华指使吕斌从成都购买了激光雕刻机,自己雕刻每个学校毕业证所需的各类公章,同时还通过网络联系了一家正规的印刷厂大量印制毕业证书和学位证书。随着生意的扩大,两人又陆续招来了左兴和潘剑锋两人一起制售假证。

  高校网络安全敲警钟

  案件侦破后,在当地引起了强烈反响。一些学习认真的学生觉得,自己通过长期的刻苦学习才拿到学位证书顺利毕业,现在别的同学学习不努力,考试不及格,却可通过修改成绩的办法让自己顺利毕业,这太不公平了。

  绵阳市公安局副局长苏杰对记者坦言,犯罪嫌疑人未花很大功夫便顺利侵入四川省六所高校的学生管理系统,这暴露出了高校学生管理系统在程序上的漏洞。

  吕斌在接受本报记者采访时也表示,这一问题表面上看是技术问题,但背后实际上是管理问题。因为网站的技术人员没用心,或者不注意提高自己的技术水准,所以才会造成网站的软件设计缺陷,才会给黑客或者其他破坏者以可乘之机。

  截至记者发稿时止,本案中被非法侵入的四川省六所高校的网络管理系统,除绵阳的两所高校发现并报案外,其他的高校仍没有对潜在的问题引起足够重视。记者在采访中也意外获悉,该套已经被犯罪嫌疑人破译的学校管理软件,其实在四川以外的省份高校中也有使用者。吕斌承认,自己所学并非计算机专业,他只是凭兴趣和好奇心就攻入了高校管理系统,这是因为这一系统的设计有明显的缺陷,而这些缺陷完全有办法弥补。

  此案暴露的另一个问题就是高校对学生的管理制度存在疏漏。办案民警介绍,买假证的大学生有两种,一是没钱向学校还助学贷款的,学校在其毕业时扣押了证件。二是一些学生为了找工作,因为许多还未毕业,于是也参与买假。至于花大价钱篡改成绩的学生,是其在毕业来临之际,因欠学分太多,试图通过篡改成绩来换取发毕业证。

标签: 安全 漏洞 权限 数据库 网络 网络安全 网站 问题

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:曙光天罗1000H防火墙为证券核心业务提供保护

下一篇:Mozilla经理向用户承诺 十天内发布高危漏洞补丁