Chinadu`s Blog

安全专家们发现，从2007年起，就有人将盗取用户账号的木马植入了东欧部分ATM取款机中。这款木马软件能在植入的ATM机上记录取款者银行卡磁条上记录的数据和个人密码！而且软件更新的速度很快，还可以在多种品牌的ATM取款机上使用。

根据安全公司Trustwave技术人员的说法，这种木马软件能自动记录用户磁卡上的数据和个人密码，并使用ATM机的收条打印功能将这些信息打印出来。从2007年晚些时候开始，这款木马的版本已经更新了至少16次之多，显然木马开发者们正在努力改进这款木马工具。

“他们的更新速度很快！”Trustwave的技术高管Nicholas Percoco说，“他们总在推出最新的木马版本。”

技术人员对最近几种版本的木马分析后的结果显示，这些木马安装到ATM机中后，会开始监视ATM机的内部数据，检查是否有用户的银行卡信息。如果数据中包含用户的银行卡信息，那么就把这些信息连同用户输入的密码一起记录下来。

需要取出数据时，攻击者可以向ATM机中插入控制卡，控制ATM机显示出10个命令选项，攻击者可以按下ATM的数字键来选择需要执行的命令，这些命令包 括打印搜集到的数据，将ATM机的log文件重置为安装木马前的状态，卸载木马软件等等。攻击者甚至还可以控制ATM机把所有内含的钱全部吐出。

另外，这款木马程序还具备将用户数据导入控制卡的功能，不过这项功能似乎并不能正常工作。这种控制卡还分为两种等级，管理等级的控制卡应该是专门提供给组织中的管理人物使用，而低级卡则由一般的小喽罗使用。

今年三月份，Sophos曾发现一批专门针对Diebold生产的ATM机的木马软件，根据这个线索，Trustwave的技术人员顺藤摸瓜对这种木马进行了深入的分析。而据Diebold表示，他们已经锁定了几名可能与此有染的嫌犯。

不过，这种木马软件只有有权打开ATM机内部的人员才可以进行安装，因此很可能是“内鬼”所为。而且根据Trustwave技术人员的说法，这种木马并不仅仅面向Diebold生产的ATM机，而且还可以在其它品牌的ATM机上使用，不过他们拒绝透露有关品牌的具体名称，只称这些ATM机使用的是 Windows XP操作系统。

新浪科技讯　5月20日下午消息，针对5月19日多省网络故障，中国电信向新浪科技发来声明表示，其主要原因在于暴风影音网站自身域名解析故障，而目前网络已经完全畅通。

　　中国电信解释说，由于暴风影音网站自身域名解析故障，导致中国电信DNS服务器访问量突增，网络处理性能下降。5月19日21:50开始，有江苏、安徽、广西、海南、甘肃、浙江等六省用户申告访问网站速度变慢或无法访问。

　　中国电信表示，其收到用户申告之后，立即屏蔽受影响省份存在解析故障的网络地址，至5月19日22:40，中国电信各省DNS服务全部恢复正常，网络已完全通畅。

　　中国电信表示，今后将进一步做好网络监控工作，发现异常情况及时处理，尽量减少对用户的影响，保障用户享受到通畅的网络服务。

以下文字转自cnbeta

新闻来源:人民网-IT频道
51.com和腾讯就彩虹QQ而起的纠纷终于告一段落。17日，51.com董事长兼CEO庞升东表示“不打算继续做彩虹QQ”。在月初51.com和腾讯的口水战中，51.com曾在彩虹QQ官方论坛中表示“如果用户不放弃彩虹，彩虹就会一直走下去”。（12月18日新京报）本来以为51.com和腾讯会在法庭上大战一番的，不单是我，绝大多数的彩虹拥趸肯定也是这样想的，谁知道51.com却不战而退，这着实让很多对彩虹QQ抱有获胜希望或者希望二者能够合作的人大失所望。

不管怎样，彩虹QQ也算一个山寨品牌，它消失了，我没法子祝它一路走好，只能对它说一句：彩虹QQ，再见！

不必寄希望于 51.com会推出什么彩虹牌子的聊天软件，因为现在的庞升东无非是一个拥有51.com不菲股份的高级打工者，51.com在事实上是史玉柱的，而史玉 柱的智商明显要比庞高许多，不会傻到和马化腾打官司的地步，否则史玉柱也不会有今天。史玉柱控制51的目标是游戏社区化，而不是成本和风险更大的聊天软 件。所有替彩虹呼吁的人暂时都可以休息了，因为连彩虹研发部门都没有了。

我只能说史玉柱明智，因为如果没有他的意思，我很难想象51.com会有今天的举动。走上法庭无疑对51.com更加不利，骂腾讯抄袭的人应该更清楚QQ名字的由来，如果没有版权之争，会有今天“QQ”这个标志吗？所以彩虹QQ这个名字从法律意义上很难存在。

自从腾讯封杀彩虹以来，很多人说我是腾讯的枪手，但事情的结局证明我说的是对的，最起码有一定的道理，不然怎么会有彩虹的退出呢 ？金融危机的确是一个借口，可法律的瓶颈却是最大的难题。

我们无法否认当年的腾讯是个幸运儿，放在今天，腾讯也许会死，但彩虹就不可能有那么幸运了。腾讯有经验，卧榻之侧岂容他人鼾睡，那些想让两者合作的人天 真的程度让我想笑。将来彩虹或许只能和番茄花园一样成为一个历史名词，它甚至连珊瑚虫都不如，珊瑚虫的支持者尚且可以建立网站声援珊瑚虫，而彩虹却是遗弃 者，二者有本质的不同的。彩虹的支持者可以呼吁抵制QQ吗？我不相信。未来彩虹的支持者会掀起什么风暴呢？

彩虹很美，但终究会消散；彩虹QQ只是一个梦，终归会醒。无论你说我什么，反正庞升东已经举起了白旗。这次没有打起来的战役是史玉柱东山再起之后少有的失利，也许史玉柱会向腾讯发起下一步攻击，但武器绝对不是彩虹，战场也不会是聊天软件市场。

彩虹QQ，再见！我不说你一路走好，因为你已无路可走。

支持史玉柱！反对霸权的腾讯！

谨以此文做为彩虹QQ的祭文。

灰白的头发,留着胡子,穿着一件蓝色的德国空军制服,这是德国官方黑客的典型形象,他叫弗里德里克·W·克里泽,今年60岁,准将,德国联邦国防军战略侦察队指挥官.
最近,一场特殊的战役引起了德国国防军的特别注意,克里泽受命“冲在最前线”,组建并培训了一支“黑客部队”,并计划在明年正式开始执行任务.这项任务对克里泽而言似乎最合适,他手下掌管着6000士兵,侦察队本身的运作与情报部门如出一辙.

在阿富汗成功网络监控

《明镜》周刊披露,在位于德国波恩市边上一座风景如画的小镇莱茵巴赫,有一个名叫图姆堡的兵营.克里泽和手下的76名“黑客士兵”正在里面忙碌地测试最新研发的针对敌方计算机网络的渗透、探测、操控甚至摧毁的方法.这支队伍有个听上去毫无恶意的官方名字——“信息和计算机网络操作部”,这些穿着制服的黑客的目标是要为网络突发情况做足准备,应对针对外部服务器和网络的数字攻击.

事实上,这支秘密部队早在3年前就开始组建了.当时,德国国防部长荣恩下令,要求联邦国防军为军方组建这样一支网络部队,也就是克里泽麾下的这76人.

这76名网络战士大部分毕业于德国联邦国防军下属大学的计算机专业.在上周二的一份报告中,克里泽骄傲地向总检察长沃尔夫冈·施奈德汗和陆海空三军高层阐述了这支部队取得的成功——其中包括在阿富汗执行的网络监控行动.随后,他讨论了这支极其秘密的队伍.克里泽的黑客部队已经准备好明年开始执行任务,届时这支部队将受命展示实力——在网络渗透试验中,对真实目标进行模拟攻击.

与犯罪分子手法相同

实际上,这支黑客部队使用的方法与犯罪分子手法相同.他们学习如何在其他用户毫无察觉的情况下向外部计算机上加载恶意软件,或通过电子邮件、外部光盘,甚或是在准备好的网址上通过简单的“网上冲浪”来完成任务.被感染的计算机进而下载其他恶意软件,如一个信件记录软件,可以读懂计算机上的所有按键,记录所有电子邮件信息、网址和密码.在不被察觉的情况下,这个攻击指令将各种信息传输到一个远程计算机上.

“莱茵巴赫士兵”的训练复杂和奇特.他们的模拟训练更像是科幻小说或是电脑游戏情节.克里泽的部下研究两大类黑客攻击——即“阻断服务”和“僵尸网络”攻击——这都是基于真实网络攻击情况的.

有专家称,这支秘密部队的曝光可能会在德国引起争议,因为根据德国基本法,联邦国防军只承担对外防御任务,而不能用于国内事务.

德国刑法2007年明文规定禁止网络攻击行动.如果政府网络部队在试验中攻击外部网络,严格来说,也算触犯刑法.法律还规定,实施破坏计算机网络行为的人,将被判处10年监禁.

引起微软对你的注意力的一个方法就是在你刚刚编写的恶意木马程序中加入一个简短的信息.一个没有透露姓名的俄罗斯黑客最近就是这样做的.
这个黑客编写了一个恶意木马程序Win32/Zlob的变体.受害者将在引诱之下把这个恶意程序安装到自己的计算机中.这个黑客在恶意软件中加入的信息出人意料地诚恳,促使微软的安全研究人员花了几天的时间设法让Zlob病毒作者那样的人失业.那个黑客在博客中称,他仅仅是要从俄罗斯说一声“你好!”你们真是好人.让我感到意外的是微软能够对威胁做出这样快的反应.他补充说,“新年好,朋友,祝你们好运!”

Zlob是最常见的木马程序之一,最近主要攻击Windows操作系统.在一个典型的Zlob诈骗活动中,受害者会受到一个看起来很有趣的视频的链接.当点击这个链接的时候,用户将被告知需要安装一个多媒体解码文件以便观看这个视频.这个文件实际上是恶意软件.

SecureWorks 公司的安全研究人员Joe Stewart说,目前还不清楚这个信息的作者是不是这个Zlob木马程序的作者.那是因为Zlob是杀毒公司经常标记错误的恶意软件之一.他们每一次看到通过多媒体文件中的“你需要这个视频解码器”的信息传播的恶意软件都把这个恶意软件标记为Zlob.

这并不这个黑客是第一次向微软的安全团队发出信息.去年10月,这个黑客写了一段吓人的信息.他说,我想亲眼看到Windows Defender团队的人.

与去年10月的信息不同,这次发出的信息不是微软获得的,而是法国的一位安全研究人员在上周五发现的.

据这个最新的信息称,这也许是Zlob黑客给微软的最后一次通知.这个黑客写道,我们将很快结束.因此,你们将看不到那个系列软件中的我的伟大的想法.

微软发言人Tareq Saade上周五在博客中称,他们说很快要结束这种行为使我很感动.

这个黑客说,微软曾向他提供一个工作,让他帮助改善Windows Vista的安全.他说,我对那个工作不感兴趣.

新华网北京12月22日电题：网络“黑客”，小心了！——我国拟修改刑法严惩网络“黑客”犯罪新华社记者邹声文、周婷玉

　　在网络“黑客”犯罪行为日趋严重的背景下，全国人大常委会22日开始审议的刑法修正案（七）草案特地增加相关条款，严厉打击这一犯罪行为，规定“情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金”。

　　长期研究“黑客”犯罪行为的中国政法大学刑事司法学院教授于志刚高度评价这一修改：“这次刑法新增的条款拓宽了打击‘黑客’犯罪行为的领域，建立了分级处罚的制度，可以说填补了刑法制度在打击网络犯罪方面的真空。”

　　近年来，我国互联网用户保持持续快速增长，到今年11月底网民人数已达2.9亿，超过美国居全球首位。与此同时，网络“黑客”犯罪行为也日益猖獗。2007年初，一个名叫“熊猫烧香”的病毒在极短时间内通过网络迅速传播，曾使数百万台电脑中毒，造成重大损失。

　　于志刚说，一般人认为实施“黑客”犯罪的都是“天才”，但实际上90％以上的犯罪嫌疑人只具有初级的电脑和网络知识。“目前，网络上有许多现成的‘黑客’工具，使‘黑客’犯罪门槛大大降低。”还有专家表示，“一个以获利为核心的黑客培训、病毒制作、病毒加工、病毒贩卖、窃取信息等构成的灰色产业链已经形成”。

　　然而我国现行刑法只针对非法“侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统”的犯罪作了规定：可处三年以下有期徒刑或者拘役。于志刚说：“现行刑法只针对三类‘黑客’犯罪行为，适用范围很窄，不能覆盖其他大量的网络‘黑客’犯罪，比如侵入金融信息系统、航空管制信息系统这样的行为。”

　　现行刑法的局限也使司法机关在打击“黑客”犯罪时面临法律困扰。不久前，辽宁一家数码影像公司曾盗用竞争对手的ＱＱ密码并发起攻击，造成对方数万份客户文件被删除。但因没有明确的刑法依据，今年12月，当地法院只能以不正当竞争判罚这种“黑客”犯罪。

　　鉴于此，研究网络犯罪的专家和公安部提出：“一些不法分子利用技术手段非法侵入法律规定以外的计算机信息系统，窃取他人账号、密码等信息，或者对大范围的他人计算机实施非法控制，严重危及网络安全。对这类严重违法行为也应当追究刑事责任。”

　　全国人大法律委员会接受了这一建议，在刑法修正案（七）草案中增加条款，严惩网络“黑客”犯罪。草案规定，侵入国家事务、国防建设、尖端科学技术领域以外的其他计算机信息系统，获取计算机信息系统中存储、处理或者传输的数据，或者对计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

　　这次修改也没有放过为他人实施“黑客”犯罪提供程序、工具的人。草案规定，“提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。”

　　于志刚表示，这一规定将有力地打击目前黑客培训、病毒制作、病毒加工、病毒贩卖、窃取信息等犯罪行为，切断网络上的灰色产业链。

　　关于社会十分关心的跨境“黑客”犯罪行为，专家表示，这与刑事管辖权相关。“根据我国刑法的规定，犯罪行为或者结果有一项发生在我国领域内，就视为在我国犯罪。其他国家的规定也大致如此。”于志刚说，“对我国具有刑事管辖权的犯罪，就可以直接实施管辖；如果犯罪嫌疑人是我国公民，我们是不可能引渡到其他国家的，因为本国公民不得引渡是国际上的一项基本规则。”

今天，你更新病毒码了吗？根据AV-Test.org的最新统计，全球恶意程序已超过1100万个，而且每4秒钟就产生一个新病毒。在网络威胁飙升的今天，更新病毒码成为企业及网民每天必备的工作，从每周一次到每天一次，直至时刻更新，而传统代码比对技术的流程性问题正在导致查杀病毒的有效性急剧下降，反病毒行业必须寻找新的技术突破。

今年7月，趋势科技率先在业内推出了基于云计算平台的云安全解决方案，以应对快速增长和极具动态性的网络威胁。据趋势科技的产品技术顾问徐学龙介绍：该技术超越了传统病毒样本分析的处理机制，通过构建庞大的云端服务器群对Internet上的海量信息源进行分析整理，将高风险信息源保存到云端数据库中，当用户访问Internet信息时，通过实时查询信息源的安全等级，就可以及时将高风险信息及时阻挡，在网络威胁到达终端用户或公司网络之前将其拦截，从而让用户频繁的更新病毒码工作成为历史。

病毒在进化：Web传播是主渠道 变种弹指瞬息万变

病毒发展的渠道、传播形式以及生命周期已经发生了质的改变。目前病毒的成长多数来自网络，通过网络传播、自动下载新病毒或自动更新变种，不断成长。

网络钓鱼、木马、间谍程序、Botnet僵尸网络，往往潜伏在看似正常的页面中，它们像是网络的隐形地雷，一旦 Click 就有可能引爆。当你浏览网页或按下垃圾邮件、MSN所附带的URL链接的同时，其实与灾难只有一“键”之隔！

2007年起利用Web 页面的攻击如过江之鲫，到2008年3月趋势科技发现有 400 多种用来产生网络钓鱼的工具套件。近20年来，网络恶意攻击呈爆炸性增长态势。1988年，全球共搜集发现了1738例病毒样本，而2008年单月搜集的数量就超过了64万例（平居一天约2万，每隔4秒一个病毒）。截止2008年5月份，整个恶意软件的数量超过了1100万例。根据趋势科技的统计，Web威胁从2005年到2008年3月，增长了1731%。

道高一尺 魔高一丈 传统病毒特征码比对已现疲态

病毒特征码像是犯人的指纹，当防病毒软件公司收集到一个新的病毒样本时，他们就会从这个病毒程序中截取一小段独一无二，而且足以表示这个病毒的二进制程序代码 (Binary Code)，来当做扫毒程序辨认此病毒的依据，这段独一无二的二进制程序代码就是所谓的病毒特征码。因为病毒的种类及型态一直在改变，新病毒每天不断的被写作出来，如果不经常更新病毒特征码，再强悍的防病毒软件也会失灵。今天，由于新的恶意软件海量出现，而且在线自动更新变种，这使得采用传统的病毒特征码防护工作变得非常困难。

不断更新的病毒特征库，不仅文件越变越大，而且无法追上新病毒产生的速度。2001年，每周更新一次病毒特征码成为了业内的共识。那时病毒的生命周期较长，每周更新一次足以保证计算机的安全。随着病毒的生命周期的缩短，更新病毒特征码从每周一次到每天一次，再到每小时一次，甚至以分钟计算的地步。但即便这样，传统的病毒特征码防护价值仍在缩水，对遏制主流Web威胁已经起不到太大作用。

传统的反病毒应付这些木马，需要先从客户端得到病毒样本，然后进行研制作出解决样本，再通过成功测试，最终还需端点用户下载更新病毒代码才能实现真正的病毒防护工作。如上文所说，目前每隔4秒种就有一个新病毒诞生，而在4秒内，我们可以做出病毒特征码并分发到各个终端吗？这显然是不现实的。

仅针对制作病毒特征码的环节，每天2万个病毒就至少需要1000位资深病毒分析工程师一刻不停地进行分析才能完成，由于病毒仍在持续加速产生，这对任何一个安全厂商来讲，如果没有技术上的革新，最终都会走到一个人力的瓶颈。目前单个病毒的发作周期日益缩短，病毒特征码的防护有效性正变得越来越低，传统的代码比对技术因此变得越来越不经济。

减轻终端负担 让你的病毒码在云中进行更新

趋势科技认知到：与网络上流窜的病毒对抗，必须要找到新方法。须以其人之道还治其人之身，网络来的病毒，就得在云端解决。目前，趋势科技云安全技术架构已经在全球建立了5个数据中心，34000多部在线服务器，拥有99.9999%的可靠性。可以支持平均每天50亿笔点击查询，每天收集分析2.5亿个样本，资料库第一次命中率就可以达到99%。借助云安全技术，趋势科技现在每天阻断的病毒感染高达1000万次。

徐学龙强调：“反病毒响应时间必须与病毒生成的时间相匹配，云安全技术在云端构建了庞大的病毒威胁库，进行7×24小时的进行实时计算，云安全技术将手工制作特征码的方式转变为云服务器群动态计算的方式，相同的分析工作，传统的人工分析需要2小时的时间，而云安全技术只需要几秒钟，从而达到了与病毒产生速度匹配的效果。用户在实际使用中，通过安全子系统的自动查询，就可获得及时保护，如此惊人的差距，必然让以往频繁的更新病毒码工作成为历史。”

目前，趋势科技针对来自于网络的病毒，将基于Internet传播的病毒特征码放入云端，端点用户可以大大减少更新病毒码的工作。同时，趋势科技全线硬件网关产品如IWSA、IGSA等都内嵌了云安全的核心技术之一Web信誉评估技术（WRS），彻底阻绝用户与病毒接触的风险。

趋势科技Web安全网关IWSA现已成功应用在制造、政府、交通等行业，据这些用户反馈：自从云安全技术应用后，在网关处实现了对网站挂马病毒的有效拦截，使得病毒数量下降了70%，这是依靠传统的病毒特征码更新无法达到的效果。与此同时，作为企业IT管理人员表示，现在接到的企业内部中毒报警电话也大大下降，与之前相比减少了80%左右。

趋势科技云安全技术将病毒本地扫描防护的机制转变为了Client—Cloud(客户端-云端)的安全防护架构，这意味着用户随时都能获得最新的安全防护，相信在未来，随着网络应用的深入发展，云端防护的有效性会越来越突出。虽然云安全技术不是万能的，但至少是反病毒技术的一次飞跃，也是内容安全厂商的必由之路。

可以预计：对整个信息安全行业来说，未来产品客户端将不再是竞争的焦点，企业差异化竞争的核心将转移到云端架构的后台计算和分析服务能力方面；而对于用户来说，安全防护更及是地、更全面，还不用频繁地升级病毒特征码数据库，用户将以最低限度的存储和计算资源，获得最完善的安全防护。

俄罗斯安全公司Elcomsoft发布了一款暴力破解软件——Elcomsoft Distributed Password Recovery的最新版，能够利用Nvidia显卡使WPA和WPA2无线密钥破解速度提高100倍，而且软件还允许数千台计算机联网进行分布式并行计算。 这意味着WPA密钥的破解速度从以前的数年减少到数天或数周。

新的软件宣告了商业网络中无线联网的死刑，任何处理敏感数据的网络应该在Wi-Fi上启用VPN加密通信，或者停止使用无线。软件售价：安装20个客户端为$599。

著名web安全专家Robert(RSnake, ha.ckers.org创始人)首次展示了点击截击地巨大危害. 在一个月前本来想要在拉斯维加斯黑帽子大会上发表的他, 由于危害巨大而被大会禁止发布, 这次在web安全最具权威的亚洲OWASP APPSEC上发布, 也算是名正言顺.

点击截击的最基本的描述和原理可以概括为当你点击某你认为安全和正常链接的时候, 其实实际上已经点击了黑客所希望你点击的, 这个链接有可能是同一个页面, 也有可能是不同的网站, 比如可能是允许flash具有完全读写权力, 或者可能是你卖掉你的股票, 或者可能是登陆你某个银行账户, 后者是自动把你的电脑的camera打开…

除了ppt, 他还演示了很多录像, 来实际证明点击截击的危害. (录像地址: www.dbappSecurity.com.cn/video/owasp-asia/index.html )

关于点击截击的防范, 期待浏览器出一些补丁是不现实的, 如果是用Firefox推荐采用noscript (https://addons.mozilla.org/zh-CN/firefox/addon/722), 笔者用了一段时间感觉还行. 另外, Flash等应该升级到最新版本, 那是不用说的. 

2008年9月27日,江西警方以涉嫌破坏计算机信息系统罪,将李士扬、王晓娃等6名犯罪嫌疑人向人民检察院移交起诉;南昌市经济开发区人民检察院以“涉嫌伪造公文罪”批准对李汶民等犯罪嫌疑人逮捕.此前的6月6日,江西省卫生厅考试中心向江西省公安厅公共信息网络安全监察总队报案称,他们的网站数据库被人篡改,有人借此造假、牟取暴利.李士扬、王晓娃等最终被锁定为此案的嫌疑人.

假证可以通过政府网上验证

5月15日,江西省卫生厅医政处收到一署名“张美娟”的信访件,她反映“有人用真医师资格证来骗人”.

5月6日,张美娟在一个QQ群里看到有人留下的一条信息:可以办理真的《医师资格证》和文凭学历,且保证在省卫生厅网上可以查到注册记录.

张美娟通过其留下的联系方法很快联系上了对方,商量办证的事宜.她如实告诉对方,自己并不具备医学方面的知识,对方说没关系.他们很快约定办成后付2000元.5月7日,张美娟果真在江西省卫生厅的网上查到了以自己姓名注册的医师资格相关信息.于是,她按先前的约定,将2000元打入对方提供的账号上.

然而,付款一周后,张美娟上网却发现原先以自己姓名注册的医师资格记录不见了.

6月2日,远在浙江省的温岭县卫生部门也来电反映,他们在办理《行医许可证》的过程中,发现有人持存在瑕疵的《医师资格证书》来申请办证.该证书是江西省卫生厅核发的,可是查询网上的数据库,却显示确有其人.他们已经陆续扣下了10本这样的证书,请求江西省卫生厅核实这些证书的真伪.

截至6月5日, 江西省卫生厅接到了10多个类似的查询电话、信函.

对于骤然出现的这种现象,卫生厅怀疑其用于发布国家医师资格考试合格人员的网站被他人非法操作,有人通过篡改数据库内容的方法,制作虚假《医师资格证书》牟利……遂决定向公安机关报案.

办案民警了解到,获得《医师资格证书》主要有两种途径:一是通过国家考试;二是在《中华人民共和国执业医师法》颁布之前已经取得有效职称的人,经国家进行认定,由省级卫生行政部门颁发《医师资格证书》.国家每年都会组织医师资格考试,考试合格人员方可取得《医师资格证书》.持有这个证书的人,就可以向县以上卫生行政部门申请医师执业注册,最终取得国家许可的行医执业权.

卫生部医师资格考试中心每年都是在2月份将上一年通过了医师资格考试的人员数据,通过光盘或网上下载,发至各省、市(自治区),由各地将该数据导入到卫生部配发的医师资格信息管理系统中,用该系统将数据导出为TXT格式文件,再使用相关软件将其转换成access格式的数据库,由省政府信息中心发布到卫生厅的网站上.整个工作流程严谨,有专人负责管理,从不对外开放.

要实施作案一般有两种途径:一是内部人员与外部勾结作案;二是有黑客入侵网站.

多个省份政府网站数据被修改

办案民警通过对网站工作人员调查,查看了网站服务器工作日志,检查了网络设备运转情况,初步排除了内部人员作案的嫌疑.

6月19日,江西省公安厅公共信息网络安全监察总队正式立案侦查.民警通过对被攻击受控制服务器的现场勘验,发现黑客自3月26日起入侵江西省卫生厅网站,篡改了数据库,并植入了一个木马程序(在网站预留了后门),以实现对服务器的管理控制权限.经查,黑客是利用上海、北京、香港和新加坡等地的 IP地址将篡改了的数据上传,手段非常隐蔽,具有较高的反侦查意识.

办案民警经过几个昼夜的艰苦侦查,终于将黑客在网上的其他虚拟身份锁定,并最终锁定了犯罪嫌疑人上网的地点.

6月24日凌晨,抓捕行动开始.民警秘密控制了南昌市育新路的某出租屋,当场抓获犯罪嫌疑人李士扬及同伙5名,缴获作案用的笔记本电脑、打印机、各类银行卡、虚假身份证、虚假空白医师资格证书、医师执业证书、建筑师说明书等.随后,民警又在武汉市将另一名主要犯罪嫌疑人王晓娃抓获归案.

警方共抓获10名涉案犯罪嫌疑人.据警方查实,他们先后入侵了江西省卫生厅、湖北省卫生厅、贵州省人事厅、四川省人事厅、江苏省教育厅、辽宁省建设厅、湖北省荆州市人事局等11个网站,修改相关数据700余个.

警方很快揭开了这起网络犯罪的内幕.

犯罪团伙利用黑客技术攻击政府部门网站,篡改数据库资料,然后伪造、制售假证,造成证书上网可查的假相,从中牟取暴利.犯罪嫌疑人李士扬在疑犯王晓娃、刘晓卫(北京人,在逃)的协助下,入侵网站——修改数据库——办理假证——贩卖假证——使用假证——办理从业许可证等,通过网络编织了一个入侵政府网站、制假贩假、非法牟取暴利的松散性犯罪团伙.

两个月牟利达200多万元

那么,这些黑客都是些什么人呢?

李士扬,24岁,江西省余干县人,2004年考入江西某大学计算机专业,家境贫困,因而特别留心赚钱的机会.他从帮助一些大中专院校“代理招生 ”赚取佣金开始,逐渐把目光瞄准了四、六级英语考试成绩合格证、自学考试毕业证,最后发展到与女友胡姚艳一道,买来电脑、激光打印机,靠制贩假证牟取暴利.

2007年下半年,李士扬发现网上要求办理《医师资格证书》及毕业证书的信息非常多.面对这些很容易被忽略的信息,李士扬从中看到了发财机会.接着,他便苦苦寻找方法:如何让假证的相关信息上传到网站的数据库.

为了攻克这个难题,李士扬买了有关黑客方面的书籍,上网浏览黑客技术发展的信息,参加有关黑客知识的网上论坛.但他始终没有掌握攻克入侵网站的技术.2008年3月,李士扬以“鸟人”的网名在“黑客工作室”发帖子,公开招募一个可以植入木马的黑客帮手,以便入侵网站,修改数据库文件.帖子只发出几个小时,武汉某软件系统有限公司的王晓娃便“揭榜”了.

25岁的王晓娃,毕业于湖北某师范大学计算机科学技术与应用专业.李士扬要求王入侵一些网站,在取得使用权限后交与自己使用,同时答应每开一个 “后门”给其5000元.王晓娃见有利可图,便跃跃欲试,但他技术欠佳,还不能胜任这样的工作.他便在“幻影论坛”上发出了招募黑客的帖子.

于是,北京网名叫“小偷快跑”的刘晓卫出现了.王晓娃通过MSN与刘晓卫联系上后,便以每开一个“后门”2700元的价格成交,他从中赚取差价.王晓娃拿出从李士扬那里得到的“订单”:先攻湖北省卫生厅、江西省卫生厅的两个网站.

不到三天时间,刘晓卫便攻下了这两个网站.他把开设好的“后门”地址代码发给王晓娃后,王晓娃通过登录这两个网站,弄清网站网络结构、使用程序后,编写了网站服务器数据库的操作使用手册,与地址一道发给了李士扬.李士扬便可以自由登录这两个网站,任意添加、修改数据.

接着,他们又入侵了贵州省人事厅、四川省人事厅、江苏省教育厅、辽宁省建设厅、湖北