中国IDC圈8月16日报道:一次上网扫描端口让他偶然发现某学校的数据库密码
入侵后他可更改任何数据包括学生的成绩
他利用这种“便利”一年内为50多名学生修改了成绩
本以为“神不知鬼不觉”,当公安人员突然出现时他懵了
2009年6月的一个躁热下午,四川某大学某学院的二年级学生钟珂在大学宿舍用电脑上网扫描端口,当他扫描到中山某学校时,发现该网段上“继续教育处”的数据库登录密码为系统默认密码,他欣喜若狂。随后他通过该密码入侵后得到管理员密码,并获得最高权限,可以执行任何数据库命令……从2009年9月到2010年6月期间,钟珂共为该校的50多名学生修改了成绩。
在人们越来越依赖网络的今天,计算机网络犯罪也逐渐走进了我们的视线:黑客攻击、网络钓鱼、僵尸网络……而在日新月异的网络虚拟世界,一些80、90后成为了网络犯罪的主力军,这些20-30岁的年轻人中,有些是正在上学的学生,有些是无所事事的电脑爱好者,但他们熟知各个网站、软件的小小漏洞……让我们一起了解一个少年黑客与他的网络江湖。
一次偶然的发现
原本只想上网扫描端口,但却意外发现中山某学校的数据库密码,获得最高管理员权限的他,可以执行任何数据库命令。
“咦,试卷成绩不及格,怎么电脑里面成绩单显示及格了?”2009年7月,中山某学校一任课老师发现其班上一名学生的成绩“失真”。随着点击的深入,他惊奇地发现,电脑中还有50多位学生的成绩也出现了“差错”。
“是谁动了电脑?”他立刻警觉了起来,“不可能呀,这些学生平时学习不努力,经常‘挂科’,怎么现在都及格呢?”无奈之下,该老师最终选择了报警。而随着警方的深入调查发现,原来,这是远在四川的一大学生钟珂所为。
2009年6月,钟珂还是四川某大学某学院的二年级学生。大一的新奇与激情早已逝去,加之大二的学业比较轻松,无所事事的钟珂便习惯了“宅”在寝室上网。钟珂表示,自己是学电子信息工程的,会经常在网上冲浪。同年盛夏的一个躁热下午,钟珂说自己用电脑扫描另一个端口的电脑时,发现中山某学校网段上运行的教务系统之一的“继续教育处”,其数据库登录密码为系统的默认密码,“继续教育处”和“教务系统”是一样的系统,默认密码也一样。凭借着自己平常积累的专业知识,钟珂通过此密码得到该校教务处数据库的管理员密码。
根据钟珂的描述,起初他只是以普通管理员进入,输入密码、按下“Enter”键,便如打开了一个“别有洞天”的小世界。这里面数据非常多,让他兴奋不已。后来,钟珂又获得了最高管理员的账户,解锁授权后,他就可以执行任何数据库命令,如修改学生的任何科目考试成绩等操作。而让他兴奋不已的是,“用这个账号进入修改后是没有痕迹的。只有与纸质的对比才能发现。”
一个无底的深潭
因为可以先修改成绩,再收取费用,他的业务量陡然增加,不到一年时间他为50多名学生更改了成绩。
在获得最高管理权限后,钟珂如鱼得水,自由出入该校数据库。其在接下来的时间里,多次进入该校教务系统内,并将目标锁定为那些考试不及格的学生。查到他们的手机号码,钟珂通过互联网上下载的安全短信群发软件向这些学生的手机发短信:“挂科不要紧,我帮助你,详情请联系QQ某某某”。
钟珂称,自己发短信是有针对性的,主要针对那些整天挂科的。“我开始只是说可以帮助考试,后来在他们比较相信的时候才告诉他们可以修改数据库上的数据。”
果然不出他所料,那些考试成绩不合格的学生纷纷加了他的QQ,与其洽谈。钟珂开出的价格为:一般科目成绩修改收费为300元至400元一科,英语四级考试等收取1000元起/科。
不仅如此,钟珂还可以先修改成绩,再收取费用,因此业务量陡然增加。其利用远在海南的同学开了银行账户,在一切就绪后,钟珂便悄然行使最高管理权限,并进入该校教务系统帮学生修改考试成绩,等他们查看确认了成绩已修改,再向其提供的银行卡账户汇款。
“我一般先改成绩再收款。如果他们不给钱的话,我会把成绩改回去。”期间,一些学生在钟珂帮他们修改成绩后没有汇款,钟珂便修改回原来的考试成绩。
他开始越滑越深了。
从2009年9月到2010年6月期间,钟珂共为该校的50多名学生修改了成绩,并从中获利人民币71170.71元。生意如此之好,超出了钟珂的意料。
一辈子的忏悔
对原来的成绩和名字都有备份,万一出了事可以赎点罪。
在警察出现前,钟珂一直认为自己的手法高明,“神不知鬼不觉”。
2010年6月17日,钟珂如往常一样宅在学校里,作案的顺利以及持续时间之长让钟珂逐渐放松了警惕。然而,公安人员的突然出现让他顿时懵了。似乎还没有弄清楚怎么回事,钟珂就被带上了警车。
被羁押后,钟珂“宅”进了无尽的落寞和反省之中。破案过程中,钟珂对自己的罪行供认不讳,并供出了那份备份的名单和成绩以及电脑中存储的其他相关材料。
8月12日,中山市第一人民法院判处钟珂犯计算机信息系统罪,有期徒刑二年,缓刑三年;并追缴违法所得人民币71170.71元;没收作案工具电脑主机一台。
“因为被告人归案后能如实供述自己的罪行,依据法律规定,对被告人可以从轻处罚。”审判长李雪琼说,钟珂属于在校学生,是初次犯罪,积极退赃,具备帮教条件,有悔罪表现,适用缓刑对所居住的社区没有造成重大不良影响,同时,根据钟珂的犯罪情节和悔罪表现,适用缓刑确实不致再危害社会,依法可以宣告缓刑。
记者了解到,庭审过程中,钟珂说:“我入侵数据库,虽然改了那些数据,但是我也是为了赚一点钱,分担一下家里的负担,虽然我父亲是一个公务员,但母亲没工作,只是打扫卫生,家里也并不富裕,我希望为我的父母减轻一点负担。”
“我收的钱没有拿去挥霍,只是想减轻一点家庭的负担,归案后我也把所有的钱退还了。我在取保候审期间虽然学业还没完成,但我也是随传随到,我没有犯罪前科。”钟珂辩称,自己原本是希望为家里增加负担,却因财迷心窍而做了糊涂事,悔之晚矣!
“我对原来的成绩和名字都有备份,万一出了事可以赎点罪。”钟珂说,自己备份不是为了把成绩改回去的,“如果我想改的话随便填个上去就可以了。”(钟珂为化名)
■专家视点
青少年“黑客”法律意识淡薄
易受经济利益诱惑
据记者了解,2010年,中山市第一法院受理的网络案件仅4件,但仅今年上半年,该院就受理了3件。据介绍,此类网络案件的特点是:犯罪主体呈低龄化趋势;犯罪行为多有预谋,欺骗型、暴力型犯罪比重大;犯罪侵害的目标较集中,金融、证券等部门是被攻击的重点对象;犯罪隐蔽性强;犯罪的社会危害性极大等。
“80、90后‘黑客’的法律意识淡薄,容易受经济利益诱惑,往往受利益驱使而发动攻击。”对此,有法律专家呼吁,随着黑客黑色产业链的壮大,特别是80后、90后黑客团伙作案的趋势越发明显,对社会的破坏力日益增强,法律界必须要引起高度重视!
对于目前日益增多的网络犯罪案件,该院法官李雪琼认为,由于网络系统的开放性、层次性和虚拟性等特点,既是其魅力所在,也是维护网络安全的薄弱环节。“网络伦理道德缺失、部分年轻人想挑战权威、向他人炫耀等自我实现途径有失偏颇。”李雪琼介绍说,网络犯罪具隐蔽性,作案时间短,多不留痕迹,犯罪行为不易被发现,即使被发现了,也不易侦破。
中山一院刑一庭庭长温文凯介绍说,近年来,中山涉及的网络犯罪案件多为涉网络开设赌场罪、收费裸聊的传播淫秽物品牟利罪等罪名,根据案件的地域管辖原则,一般均以犯罪地管辖为主、被告人居住地管辖为辅。