2014年11月12日����,江蘇連云港檢察院披露,一位多地公安車管系統(tǒng)軟件供應(yīng)商竟變身“黑客”��,勾結(jié)“黃?!保谲嚬芩浖到y(tǒng)植入程序����,專門代人刪除交通違章記錄達1.4萬余條。
李某利用為連云港��、宿遷����、南京等市車管所軟件系統(tǒng)提供運維技術(shù)支持的便利條件,躲避現(xiàn)場監(jiān)管��,將事先編好的刪除程序輸入��,通過修改公安內(nèi)網(wǎng)服務(wù)器的網(wǎng)絡(luò)配置��,避開公安內(nèi)網(wǎng)報警體系����,從互聯(lián)網(wǎng)遠程侵入公安網(wǎng)絡(luò)系統(tǒng)�����,非法刪除車輛違章記錄上萬條獲利��。
截止到案發(fā),公安機關(guān)查明李某共計非法刪除14000余條交通違章記錄�����,涉案金額1800余萬元�����。三年時間����,李某非法斂財650余萬元,王某��、張某非法獲利300余萬元���。
網(wǎng)民關(guān)注:數(shù)據(jù)庫的信息因何被篡改�����?數(shù)據(jù)是通過何種渠道泄漏出去的�?
本案例中車管所的數(shù)據(jù)庫中的數(shù)據(jù)被遠程修改,其中一個重要的原因就是數(shù)據(jù)庫未進行防護�。根據(jù)本案例分析,該數(shù)據(jù)庫的部署位置有兩種可能�,一種是部署在外網(wǎng),則開發(fā)方對數(shù)據(jù)庫進行了直接訪問�;另一種更大的可能性是,數(shù)據(jù)庫部署在內(nèi)網(wǎng)���,在內(nèi)外網(wǎng)之間部署了網(wǎng)閘���,但這些網(wǎng)閘為了外網(wǎng)的應(yīng)用服務(wù)期能訪問到數(shù)據(jù)庫,讓數(shù)據(jù)庫訪問的通訊協(xié)議直接進行了穿透�����,而未對訪問協(xié)議中的攻擊行為進行控制��。
數(shù)據(jù)庫安全領(lǐng)域的專家安華金和指出:
車管所信息系統(tǒng)的數(shù)據(jù)庫中存儲著大量駕駛員����、機動車�����、違章記錄等敏感信息��,這些重要信息存在非法被篡改和盜取的風(fēng)險���;
車管所網(wǎng)上機動車自編自選系統(tǒng)存在漏洞,經(jīng)過安裝互聯(lián)網(wǎng)選號客戶端��,進行抓取通信數(shù)據(jù)包獲得注入地址��,有“拖庫”風(fēng)險����;
外網(wǎng)用戶可以通過互聯(lián)網(wǎng)訪問車管所網(wǎng)站��,利用黑客攻擊手段以web應(yīng)用服務(wù)器為跳板從數(shù)據(jù)庫獲取批量敏感信息���;
在內(nèi)部網(wǎng)絡(luò)環(huán)境下�,運維人員對數(shù)據(jù)庫的違規(guī)操作和數(shù)據(jù)惡意篡改����,未能進行安全審計���。
還有其他安全隱患,包括數(shù)據(jù)庫自身漏洞和應(yīng)用程序開發(fā)漏洞��,數(shù)據(jù)庫自身漏洞主要是“PL-SQL注入”和“緩沖區(qū)溢出”兩種漏洞有攻擊性���,需要重點防范��;應(yīng)用程序開發(fā)時由于安全驗證不到位����,可以執(zhí)行任意SQL語句��,導(dǎo)致批量駕駛?cè)撕蛙囕v信息泄漏����。
安華金和數(shù)據(jù)庫安全專家支招如何做好數(shù)據(jù)庫安全保護:
措施一:對從數(shù)據(jù)庫批量導(dǎo)出數(shù)據(jù)的行為、整表刪除�、不帶條件的更新等惡意行為及時中斷數(shù)據(jù)庫操作,防止數(shù)據(jù)庫非法操作行為的發(fā)生��;
措施二:定期對數(shù)據(jù)庫進行安全風(fēng)險檢查��,發(fā)現(xiàn)數(shù)據(jù)庫使用中的安全隱患,如弱口令��、寬泛權(quán)限等及時進行修復(fù)���;
措施三:數(shù)據(jù)庫漏洞的攻擊特征進行識別�,通過虛擬補丁技術(shù)對來自外網(wǎng)的黑客數(shù)據(jù)庫攻擊及時攔截����;
措施四:運維人員對數(shù)據(jù)庫中的敏感數(shù)據(jù)修改,一定要記入審計記錄�����,如果出現(xiàn)非法篡改行為可以進行事后追責(zé)定責(zé)����;
措施五:在應(yīng)用系統(tǒng)上線前�����,要對應(yīng)用和數(shù)據(jù)庫進行安全風(fēng)險評估測試��,及時發(fā)現(xiàn)并修復(fù)存在的安全隱患���,如:SQL注入點����、后門程序、緩沖區(qū)溢出漏洞等����。
措施六:對數(shù)據(jù)庫中的敏感字段如違章記錄、身份證號�、車牌號進行加密存儲,即使整庫丟失也不會泄密���。
關(guān)聯(lián)事件:
信息安全形勢嚴(yán)峻���,近兩年國內(nèi)頻頻出現(xiàn)黑客入侵大型網(wǎng)站和數(shù)據(jù)庫,盜取用戶資料的情況����。
軟件工程師入侵公安車管信息系統(tǒng) 給126輛走私車辦牌照
【案件描述】2008年,武漢一名軟件工程師侵入公安機關(guān)車輛駕管信息系統(tǒng)��,辦起一個“地下車管所”���。他通過篡改信息����,先后給126輛高檔轎車辦理假證號牌,非法牟利1500余萬元��?����!?/p>
【作案手段】武漢人付強此前系深圳某信息技術(shù)有限公司武漢辦事處軟件工程師�����,曾為省交警總隊開發(fā)車管信息程序���,擁有該信息庫的“超級管理員”身份�。付強利用自己超級管理員的用戶和密碼登錄數(shù)據(jù)庫��,添加黑車牌照數(shù)據(jù)�����。同時�����,付強還向網(wǎng)上黑客購買了破解用戶密碼的計算程序���,在車管系統(tǒng)中錄入非法數(shù)據(jù)�。
江蘇宿遷一交通協(xié)管員幫人消除違章1156條獲刑
【案件描述】2011年����,江蘇泗洪縣交通協(xié)管員孫小虎盜用民警用戶名和密碼,多次登錄公安交通管理綜合應(yīng)用平臺�����,非法刪除1156條違章記錄���,獲利2.4萬元���。
【作案手段】2011年4月,由于關(guān)鍵部位環(huán)節(jié)的計算機密碼數(shù)年得不到修改���,孫小虎采取盜用民警用戶名和密碼的方式�����,多次登錄公安交通管理綜合應(yīng)用平臺作案�����。
產(chǎn)品咨詢:4000 258 365 
