红杉资本遭遇黑客攻击,投资者信息或已被窃取,黑客都是怎样攻破防火墙的?
首先是在防火墙中种植木马,让工作人员发现工作人员进行拦截的时候,应用这个空档期在防火墙里种植真正的病毒。
WWW弱口令怎么利用
利用某些特殊构造的SQL语句插入SQL的特殊字符和指令,提交一段数据库查询代码(一般是在浏览器地址栏进行,通过正常的www端口访问),操纵执行后端的DBMS查询并获得本不为用户所知数据的技术,也就是SQL Injection(SQL注入)。
SQL注入是从正常的WWW端口通过对页面请求访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙很少会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。
SQL注入的手法相当灵活,可以根据具体情况进行分析,构造巧妙的SQL语句,从而获取想要的数据。
程序存在SQL注入,追其原因,是因为代码或者编码的不完善。但说到底,是程序员的惰性。代码的不完善,往往是因为在程序编写的过程中,没有考虑到代码的健壮性及安全性的结果,就国内现状来看,大多数网站使用的脚本语言,用ASP+Access或SQLServer的占70%以上,PHP+MySQL占20%,其他的不足10%,并且因为开发者水平的参差不齐,代码编写的过程考虑不够周全,程序代码的安全性值得怀疑,而程序脚本被注入也成为必然。
当然,程序运行环境的先天缺陷也是人为的,这种现象无法完全杜绝避免。从攻击者的角度来看,使用SQL注入能够避免绝大多数防火墙的防御,不留攻击痕迹,攻击手法多种多样,因此才会导致SQL注入攻击手段的兴起。
3.1.2、SQL注入的原理及分类
SQL-Injection的原理
SQL是一种用于关系数据库的结构化查询语言。它分为许多种,但大多数都松散地基于美国国家标准化组织最新的标准SQL-92。SQL语言可以修改数据库结构和操作数据库内容。当一个攻击者能够通过往查询中插入一系列的SQL操作数据写入到应用程序中去,并对数据库实施了查询,这时就已经构成了SQL-Injection。
SQL-Injection的分类
由于SQL-injection攻击出要发生在B/S结构的应用程序上,而这些程序大部分都属于互联网的web站点,在这种情况下SQL-Injection同样需要遵循HTTP协议,形成了两种分类: POST方式注入和GET方式注入
3.1.3、SQL-Injection的攻击方法
常规注入方法 SQL注入攻击本身就是一个常规性的攻击,它可以允许一些不法用户检索你的数据,改变服务器的设置,或者在你不小心的时候黑掉你的服务器。
旁注 顾名思义就是从旁注入,也就是利用主机上面的一个虚拟站点进行渗透 ,此类手法多出现与虚拟主机站点。
盲注 通过构造特殊的SQL语句,在没有返回错误信息的情况下进行注入。
跨站注入 攻击者利用程序对用户输入过滤及判断的不足,写入或插入可以显示在页面上对其他用户造成影响的代码。跨站注入的高级攻击就属于这种攻击。
3.1.4、SQL注入的危害
SQL注入通过网页对网站数据库进行修改。它能够直接在数据库中添加具有管理员权限的用户,从而最终获得系统管理员权限。黑客可以利用获得的管理员权限任意获得网站上的文件或者在网页上加挂木马和各种恶意程序,对网站的正常运营和访问该网站的网友都带来巨大危害。
3.1.5、SQL注入漏洞的风险
由于SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。它能够直接在数据库中添加具有管理员权限的用户,从而最终获得系统管理员权限。黑客可以利用获得的管理员权限任意获得网站上的文件或者在网页上加挂木马和各种恶意程序,对网站和访问该网站的网友都带来巨大危害。
无论你有多强壮的防火墙规则设置或者非常勤于补漏的修补机制,如果你的网络应用程序开发者没有遵循安全代码进行开发,攻击者将通过80端口进入你的系统。
例如,如果一个网站的数据库系统为SQL Server 2000数据库,同时没有在数据库的权限设置上做好安全限制,将导致严重的后果。SQL注入意味着数据库也会被攻破,入侵者得到当前数据库权限的同时,也获得了整个数据库服务器的管理权限,入侵者可通过数据库管理权限得到系统权限,并为所欲为。
再者,很多网站的管理后台都可经由公网直接访问到后台管理登录页面,并且可通过暴力猜解等方式对后台管理账户进行猜解。对于任何一个网站的后台管理登录页,安全的做法应该是限制访问。尤其是对于政府及银行网络来说,更不应该将后台管理页面放置到公网上任由访问,这样的话安全系数会大大减少,遭受攻击的机会却大大增加了。
3.2、网络钓鱼
网络钓鱼(Phishing)一词,是“Fishing”和“Phone”的综合体,由于黑客始祖起初是以电话作案,所以用“Ph”来取代“F”,创造了”Phishing”,Phishing 发音与 Fishing相同。 “网络钓鱼”就其本身来说,称不上是一种独立的攻击手段,更多的只是诈骗方法,就像现实社会中的一些诈骗一样。
攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,诱骗访问者提供一些个人信息,如信用卡号、账户用和口令、社保编号等内容(通常主要是那些和财务,账号有关的信息,以获取不正当利益),受骗者往往会泄露自己的财务数据。
诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌,因此来说,网络钓鱼的受害者往往也都是那些和电子商务有关的服务商和使用者。
3.2.1、网络钓鱼工作原理
现在网络钓鱼的技术手段越来越复杂,比如隐藏在图片中的恶意代码、键盘记录程序,当然还有和合法网站外观完全一样的虚假网站,这些虚假网站甚至连浏览器下方的锁形安全标记都能显示出来。网络钓鱼的手段越来越狡猾,这里首先介绍一下网络钓鱼的工作流程。通常有五个阶段:
网络钓鱼的工作原理
3.2.2、“网络钓鱼”的主要手法
a、发送电子邮件,以虚假信息引诱用户中圈套
诈骗分子以垃圾邮件的形式大量发送欺诈性邮件,这些邮件多以中奖、顾问、对账等内容引诱用户在邮件中填入金融账号和密码,或是以各 种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息,继而盗窃用户资金。
例如今年2月份发现的一种骗取美邦银行(Smith Barney)用户的账号和密码的“网络钓鱼”电子邮件,该邮件利用了IE的图片映射地址欺骗漏洞,并精心设计脚本程序,用一个显示假地址的 弹出窗口遮挡住了IE浏览器的地址栏,使用户无法看到此网站的真实地址。当用户使用未打补丁的Outlook打开此邮件时,状态栏显示的链接是虚假的。
当用户点击链接时,实际连接的是钓鱼网站http://**.41.155.60:87/s。该网站页面酷似Smith Barney银行网站的登陆界面,而用户一旦输入了自己的账号密码,这些信息就会被黑客窃取。
b、建立假冒网上银行、网上证券网站,骗取用户账号密码实施盗窃
犯罪分子建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站,引诱用户输入账号密码等信息,进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金;还有的利用跨站脚本,即利用合法网站服务器程序上的漏洞,在站点 的某些网页中插入恶意html代码,屏蔽住一些可以用来辨别网站真假的重要信息,利用cookies窃取用户信息。
如曾互联网上出现过的某假冒银行网站,网址为http://www.1cbc.com.cn/,而真正银行网站是http://www.icbc.com.cn/,犯罪分子利用数字1和字母i非常相近的特点企图蒙蔽粗心的用户。
又如2004年7月发现的某假公司网站(网址为http://www.1enovo.com/),而真正网站为 http://www.lenovo.com/,诈骗者利用了小写字母l和数字1很相近的障眼法。诈骗者通过QQ散布“XX集 团和XX公司联合赠送QQ币”的虚假消息,引诱用户访问。
c、利用虚假的电子商务进行诈骗
此类犯罪活动往往是建立电子商务网站,或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息,犯罪分子在收到受害人的购物汇款后就销声匿迹。如2003年,罪犯佘某建立“奇特器材网”网站,发布出售间谍器材、黑客工具等虚假信息,诱骗顾主将购货款汇入其用虚假身份在多个银行开立的账户,然后转移钱款的案件。
除少数不法分子自己建立电子商务网站外,大部分人采用在知名电子商务网站上,如“易趣”、“淘宝”、“阿里巴巴”等,发布虚假信息,以所谓“超低价”、“免税”、“走私货”、“慈善义卖”的名义出售各种产品,或以次充好,以走私货充行货,很多人在低价的诱惑下上当受骗。网上交易多是异地交易,通常需要汇款。不法分子一般要求消费者先付部分款,再以各种理由诱骗消费者付余款或者其他各种名目的款项,得到钱款或被识破时,就立即切断与消费者的联系。
d、利用木马和黑客技术等手段窃取用户信息后实施盗窃活动
木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序,当感染木马的用户进行网上交易时,木马程序即以键盘记录的方式获取用户账号和密码,并发送给指定邮箱,用户资金将受到严重威胁。
如去年网上出现的盗取某银行个人网上银行账号和密码的木马Troj_HidWebmon及其变种,它甚至可以盗取用户数字证书。又如去年出现的木马“证券大盗”,它可以通过屏幕快照将用户的网页登录界面保存为图片,并发送给指定邮箱。黑客通过对照图片中鼠标的点击位置,就很有可能破译出用户的账号和密码,从而突破软键盘密码保护技术,严重威胁股民网上证券交易安全。
e、利用用户弱口令等漏洞破解、猜测用户账号和密码
不法分子利用部分用户贪图方便设置弱口令的漏洞,对银行卡密码进行破解。如2004年10月,三名犯罪分子从网上搜寻某银行储蓄卡卡号,然后登陆该银行网上银行网站,尝试破解弱口令,并屡屡得手。
实际上,不法分子在实施网络诈骗的犯罪活动过程中,经常采取以上几种手法交织、配合进行,还有的通过手机短信、QQ、msn进行各种各 样的“网络钓鱼”不法活动。
3.3、跨站攻击
XSS又叫CSS(Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入Web里面的html代码会被执行,从而达到攻击者的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人经常忽略其危害性。
就攻击者而言,可以把XSS攻击分成两类,一类是来自内部的攻击,主要指的是利用程序自身的漏洞,构造跨站语句,如:DVBBS的showerror.asp存在的跨站漏洞。另一类则是来自外部的攻击,主要指的攻击者构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当攻击者要渗透一个站点,攻击者构造一个有跨站漏洞的网页,然后构造跨站语句,通过结合其它技术,如社会工程学等,欺骗目标服务器的管理员打开。
传统的跨站利用方式一般都是攻击者先构造一个跨站网页,然后在另一空间里放一个收集cookie的页面,接着结合其它技术让用户打开跨站页面以盗取用户的cookie,以便进一步的攻击。这种方式太过于落后,比较成熟的方法是通过跨站构造一个表单,表单的内容则为利用程序的备份功能或者加管理员等功能得到一个高权限。
当发动CSS攻击或检测一个网站漏洞的时候, 攻击者可能首先使简单的HTML标签如b(粗体),i(斜体)或u(下划线),或者他可能尝试简单的script标签如scriptalert("OK")/script。因为大多数出版物和网络传播的检测网站是否有css漏洞都拿这个作为例子。这些尝试都可以很简单的被检测出来。
然而,高明点的攻击者可能用它的hex值替换整个字符串。这样script标签会以%3C%73%63%72%69%70%74%3E出 现。 另一方面,攻击者可能使用web代理服务器像Achilles会自动转换一些特殊字符如换成%3C换成%3E。这样攻击发生时,URL 中通常以hex等值代替角括号。
3.4、溢出漏洞
溢出漏洞是一种计算机程序的可更正性缺陷。溢出漏洞的全名为“缓冲区溢出漏洞”。因为它是在程序执行的时候在缓冲区执行的错误代码,所以叫缓冲区溢出漏洞。它一般是由于编成人员的疏忽造成的。具体的讲,溢出漏洞是由于程序中的某个或某些输入函数(使用者输入参数)对所接收数据的边界验证不严密而造成。
根据程序执行中堆栈调用原理,程序对超出边界的部分如果没有经过验证自动去掉,那么超出边界的部分就会覆盖后面的存放程序指针的数据,当执行完上面的代码,程序会自动调用指针所指向地址的命令。根据这个原理,恶意使用者就可以构造出溢出程序。
大多数应用程序保存数据的存储地址大小是固定的。如果攻击者向这些存储区域之一中发送了过量数据,而程序没有检查数据的大小,则会发生溢出。攻击者针对这一特点发出的攻击称为缓冲区溢出攻击。
缓冲区是用户为程序运行时在计算机中申请得的一段连续的内存,它保存了给定类型的数据。缓冲区溢出指的是一种常见且危害很大的系统攻击手段,通过向程序的缓冲区写入超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他的指令,以达到攻击的目的。
而人为的溢出则是有一定企图的,攻击者写一个超过缓冲区长度的字符串,然后植入到缓冲区,而再向一个有限空间的缓冲区中植入超长的字符串可能会出现两个结果,一是过长的字符串覆盖了相邻的存储单元,引起程序运行失败,严重的可导致系统崩溃;另有一个结果就是利用这种漏洞可以执行任意指令,甚至可以取得系统root特级权限。大多造成缓冲区溢出的原因是程序中没有仔细检查用户输入参数而造成的。
缓冲区溢出问题并非已成古老的历史,缓冲区溢出攻击已成为最常用的黑客技术之一。引起缓冲区溢出问题的根本原因是C(与其后代C++)本质就是不安全的,没有边界来检查数组和指针的引用,也就是开发人员必须检查边界(而这一行为往往会被忽视),否则会冒遇到问题的风险。标准C库中还存在许多非安全字符串操作,包括:strcpy()、sprintf()、gets()等,这些都是程序员需要注意的。
3.5、拒绝服务攻击
网络安全中,拒绝服务攻击(DOS)以其危害巨大,难以防御等特点成为骇客经常采用的攻击手段。DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。
3.5.1、被拒绝服务攻击时的现象
最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机,通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务,使得所有可用的操作系统资源都被消耗殆尽,最终服务器无法再处理合法用户的请求。
如何判断网站是否遭受了流量攻击呢?可通过Ping命令来测试,若发现Ping超时或丢包严重(假定平时是正常的),则可能遭受了流量攻击,此时若发现和你的主机接在同一交换机上的服务器也访问不了了,基本可以确定是遭受了流量攻击。当然,这样测试的前提是你到服务器主机之间的ICMP协议没有被路由器和防火墙等设备屏蔽,否则可采取Telnet主机服务器的网络服务端口来测试,效果是一样的。不过有一点可以肯定,假如平时Ping你的主机服务器和接在同一交换机上的主机服务器都是正常的,突然都Ping不通了或者是严重丢包,那么假如可以排除网络故障因素的话则肯定是遭受了流量攻击,再一个流量攻击的典型现象是,一旦遭受流量攻击,会发现用远程终端连接网站服务器会失败。
相对于流量攻击而言,资源耗尽攻击要容易判断一些,假如平时Ping网站主机和访问网站都是正常的,发现突然网站访问非常缓慢或无法访问了,而Ping还可以Ping通,则很可能遭受了资源耗尽攻击,此时若在服务器上用netstat -an命令观察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态存在,而ESTABLISHED很少,则可判定肯定是遭受了资源耗尽攻击。还有一种属于资源耗尽攻击的现象是,Ping自己的网站主机Ping不通或者是丢包严重,而Ping与自己的主机在同一交换机上的服务器则正常,造成这种原因是网站主机遭受攻击后导致系统内核或某些应用程序CPU利用率达到100%无法回应Ping命令,其实带宽还是有的,否则就Ping不通接在同一交换机上的主机了。
3.5.2、总结为以下几个典型特徵:
被攻击主机上有大量等待的TCP连接
网络中充斥着大量的无用的数据包,源地址为假
制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯
利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的
服务请求,使受害主机无法及时处理所有正常请求
严重时会造成系统死机
在2006年,拒绝服务攻击已经被提升到了利用僵尸网络BotNet进行大批量攻击的层次,其严重程度已经达到了阻塞国内网络的程度。根据今年上半年监测的数据,中国拥有的“僵尸网络”电脑数目最多,全世界共有470万台,而中国就占到了近20%。而据国内不完全统计,中国拥有的“僵尸网络”电脑数量达到120万台,其严重性已不可忽视。
3.6、社会工程学
我们通常把基于非计算机的欺骗技术叫做社会工程。社会工程中,攻击者设法设计让人相信它是其他人。这就像攻击者在给人打电话时说自己是某人一样的简单。因为他说了一些大概只有那个人知道的信息,所以受害人相信他。
社会工程的核心是,攻击者设法伪装自己的身份并设计让受害人泄密私人信息。这些攻击的目标是搜集信息来侵入计算机系统的,通常通过欺骗某人使之泄露出口令或者在系统中建立个新帐号。其他目标使侦察环境,找出安装了什么硬件和软件,服务器上装载了什么补丁等等。
通过社会工程得到的信息是无限的,其严重程度亦可从大量用户被网络钓鱼事件中窥见一斑,攻击者可利用网络钓鱼获得的信息尝试用户信箱及即时通讯工具的账户,从而获取有用的信息。
4、2007年黑客攻击水平会发展到惊人的程度之上
虽然Botnet在最近几个月引发了大量的垃圾邮件,但是,安全研究人员更警惕的是垃圾邮件的高级水平。安全人员警告说,有针对性的钓鱼攻击正在进入企业电子邮件服务器。
垃圾邮件已经达到了我们通常所说的商业级产品的水平。我们已经看到了这种活动的变化。现在,Botnet发出大量单独的垃圾邮件。
根据MessageLabs的统计,今年11月份全球垃圾邮件的通信量已经增长到了占全球电子邮件通信量的90%。这个百分比预计在今年12月份将继续保持下去。
此外,在200封电子邮件中至少有一封电子邮件包含钓鱼攻击的内容。最近拦截的恶意电子邮件中,有68%以上的恶意邮件是钓鱼攻击邮件,比过去的几个月增长了。
安全研究人员预计,2007年将是攻击的高级程度发展到惊人的水平的一年。
攻击者将搜索MySpace等社交网络网站,窃取地址、地区号码和其他身份数据以便使钓鱼攻击电子邮件让受害者看起来像真的一样。
在许多情况下,坏分子可能使用银行的地址,让受害者以为电子邮件是从银行发出来的,从而使钓鱼攻击获得成功。这些坏分子将抢劫大型社交网络团体的数据库,利用垃圾邮件成功地实施攻击。
安全公司赛门铁克的高级工程经理Alfred Huger说,每一天发生的钓鱼攻击的企图高达700多万起,并称,不成熟的钓鱼攻击已经显著增加到了每天900起以上。
攻击者将从住在同一个地区的人们那里收集电子邮件地址。然后,攻击者向受害者发出一封钓鱼攻击电子邮件。这种电子邮件表面上看好像是从那个地区的银行或者其它金融机构那里发来的。进入到2007年,Huger预测,钓鱼攻击将变得更加有针对性并且更难发现其欺骗性。
可信赖的因素非常高,人们更容易成为这种攻击的猎物,因为人们想不到自己的银行会参与这种事情。
随着具有电子邮件和其它消息功能的手机的应用,使用短信实施的钓鱼攻击在2007年也将增长。我们的手机现在已经成为微型的计算机,任何在台式电脑上发生的事情都可能对我们的手机产生影响。一些企业已经开始制定有关移动设备
使用的政策,还有一些企业没有制定这种政策。中间地带并不大。
企业和消费者能够采取基本的措施进行反击。金融机构将改善身份识别功能和加强教育的努力,以便帮助客户理解他们的银行什么时候将与他们进行合法的联系。消费者可以向赛门铁克反钓鱼攻击网站举报钓鱼网站以便与网络诈骗作斗争。
Rootkit在增长
攻击者在2006年更广泛地应用rootkit技术。这种技术的应用在2007年将继续增长。rootkit是一种软件工具集,能够让网络管理员访问一台计算机或者一个网络。一旦安装了rootkit,攻击者就可以把自己隐藏起来,在用户计算机中安装间谍软件和其它监视敲击键盘以及修改记录文件的软件。虽然微软发布的Vista操作系统能够减少某些rootkit的应用,但是,rootkit的使用在2007年将成为标准。据赛门铁克称,用户模式rootkit策略目前已经非常普遍。内核模式rootkit的使用也在增长。
Rootkit是一种功能更强大的工具。我们将看到更多的rootkit,因为安全产品正在变得越来越强大,攻击者不得不提高赌注。
违反刑法285条的案例
赵吉操纵证券价格交易案---非法侵入计算机信息系统抬高股票价格获利的行为如何处理?(《刑事审判参考》第七辑),案例及其处理方法如下:
公诉机关:上海市静安区人民检察院。
被告人:赵吉吉,男,29岁,上海市人,大专文化程度,石家庄信托投资股份公司上海零陵路证券交易营业部电脑部交易清算员,1999年7月1日被逮捕。
上海市静安区人民检察院以被告人赵吉吉犯操纵证券交易价格罪,向上海市静安区人民法院提起公诉。
起诉书指控:被告人赵吉吉为了抬高股票价格,以便其本人及朋友能在抛售股票时获利,利用计算机侵入三亚中亚信托投资公司上海新闸路证券交易营业部(以下简称三亚营业部)的计算机信息系统,对该部待发送的委托数据进行修改,以致“兴业房产”和“莲花味精”两种股票的价格被抬高。赵吉吉及其朋友乘机抛售股票获利数万元,而三亚营业部因此遭受295万余元的经济损失。赵吉吉的行为已构成操纵证券交易价格罪,应当按《中华人民共和国刑法》第一百八十二条的规定处罚,还应当责令其给被害单位赔偿造成的经济损失。
被告人赵吉吉辩称:关于“莲花味精”股票在4月16日下午开盘时涨停(即股票价格上涨至前市该种股票收盘价格的一定比例时,股市采取的停牌限制上涨措施)一事,我没有明确告诉过高春修,其抛售“莲花味精”股票,与我无关。
赵吉吉的辩护人辩称:赵吉吉是对计算机信息系统中存储的数据进行修改,对其行为应当按刑法第二百八十六条第二款的规定处罚。高春修买卖“莲花味精”股票,与赵吉吉的行为没有必然的因果关系。赵吉吉是初犯,认罪态度较好,对造成被害单位的经济损失也表示愿意尽力赔偿,故对赵吉吉应当从轻处罚,并应当适用缓刑。另外,被害单位遭受经济损失的原因,除与赵吉吉的行为有关以外,强制平仓也是一个原因,因此该损失不能都由赵吉吉赔偿。
上海市静安区人民法院经审理查明:
被告人赵吉吉曾受过电子专业的高等教育,且具有多年从事证券交易的经历,谙熟证券交易的电脑操作程序。
1999年3月31日下午,被告人赵吉吉到被害单位三亚营业部的营业厅,通过操作专供客户查询信息所用的电脑终端,非法侵入三亚营业部的计算机信息系统,发现该系统中的委托报盘数据库未设置密码,即萌生了通过修改该数据库中的数据抬高上市股票价格,以便使自己在抛售股票时获利的念头。4月15日,赵吉吉再次通过三亚营业部的电脑侵入该营业部的计算机信息系统,先复制下委托报盘数据库,再对该数据库进行模拟修改。当修改获得成功后,赵吉吉即决定次日实施。为了炫耀自己具有操纵股市变动趋势的“能耐”,赵吉吉示意股民高春修先购进“莲花味精”股票,待该种股票价格上扬时,抛售获利。
4月16日中午股市休市时,被告人赵吉吉在三亚营业部的营业厅里通过操作电脑终端,对三亚营业部准备向证券交易所发达的委托报盘数据内容进行了修改,将周某等5位股民买卖其他股票的数据,均修改成以当日涨停价位委托买入“兴业房产”198.95万股、“莲花味精”298.98万股。当日下午股市开盘时,上述修改过的数据被三亚营业部发送到证券交易所后,立即引起“兴业房产”和“莲花味精”两种股票的价格大幅度上扬。赵吉吉乘机以涨停价抛售了其在天津市国际投资公司上海证券业务部帐户上的7800股“兴业房产”股票,获利7277.01元。股民高春修及其代理人王琦华也将受赵吉吉示意买入的8.9万股“莲花味精”股票抛出,获利8.4万余元。由于拥有这两种股票的股民都乘机抛售,使发出买入信息的三亚营业部不得不以涨停价或接近涨停价的价格买入,为此需支付6000余万元的资金。三亚营业部一时无法支付此巨额资金,最后被迫平仓,遭受经济损失达295万余元。案发后,公安机关为三亚营业部追回经济损失40余万元。
为证明上述指控,公诉人提交了如下证据。
1.被告人赵吉吉的履历和赵吉吉原所在工作单位出具的证明材料证实:赵吉吉毕业于上海第二工业大学应用电子专业,曾先后在两家从事证券交易的单位工作,熟识证券行业计算机操作业务。赵吉吉的供述也印证了上述事实。
2.三亚营业部1999年4月16日的报案材料、4月19日的“分析报告”证实:三亚营业部经对其计算机系统进行检查,发现委托报盘的数据库先后在3月31日、4月15日、4月16日被“黑客”多次侵入。“分析报告”还反映,4月15日“黑客”曾经复制过数据库,并进行删除和修改。被告人赵吉吉的供述与上述情况反映相符。
天津市国际信托投资公司上海证券业务部的资金帐户对帐单证实:被告人赵吉吉在该帐户有7800股“兴业房产”股票。印证了赵吉吉关于想使自己原先购入的7800股“兴业房产”股票在抛售时能减少损失的供述。
上海证券交易所电脑技术部经对三亚营业部计算机系统进行检查后作出的情况分析和三亚营业部电脑操作人员周斌的证言证实:三亚营业部计算机系统的委托报盘数据库未设置密码,只要掌握一般计算机知识和了解证券行业计算机系统特点,便可侵入并对其中数据进行修改。证实的情况与被告人赵吉吉的供述一致。
上海市公安局静安分局的侦查实验情况记录和公安部第三研究所的“关于三亚营业部计算机系统中委托报盘数据库被侵入并被修改数据的现实可行性结论”鉴定书,与三亚营业部的“分析报告”和被告人赵吉吉的供述相符。
3.三亚营业部对其计算机系统进行检查的结果、该部4月16日的现场监控录像带以及被告人赵吉吉所在单位的同事王洋、刘景亚对监控录像带中人物图像指认的结果证实:赵吉吉在4月16日中午到过三亚营业部营业厅,通过操作计算机侵入计算机信息系统,并将待发送的周某、李某、周某某、严某某、屠某某5位股民委托买卖其他股票的报盘数据作了修改。
将5位股民的原始委托数据查询单与被修改的数据进行对照后证实:股民周某某、李某原于4月16日委托买卖“审能股份”、“丰华圆珠”的数据,被改为以涨停价10.93元分别买入“兴业房产”99.9万股和99.05万股;股民周某某、严某某、屠某某原于4月16日委托买卖“金健米业”、“岁宝热电”和“福建水泥”的数据,被修改为以涨停价12.98元分别买入“莲花味精”99.99万股、99.03万股和99.96万股。5位股民委托报盘数据被修改的内容,与被告人赵吉吉的供述相吻合。
4.股民高春修的陈述证实:被告人赵吉吉在4月14日告知其“莲花味精”股票会在16日下午涨停,可以买进一些。于是,他在4月15日嘱其代理人王琦华买进了“莲花味精”股票7.9万股,王琦华本人也跟着买进同样股票1万股。高春修的陈述得到王琦华证言的印证。高春修、王琦华的证言还证实:4月16日下午股市尚未开盘,即以涨停价委托卖出在4月15日买入的“莲花味精”股票。赵吉吉供认,曾叫高春修事先买些“莲花味精”股票。
5.三亚营业部的报案报告和5位股民的交割单、三亚营业部财务人员孙春皎关于其单位遭受经济损失的陈述、被告人赵吉吉抛出“兴业房产”的交割单和股民高春修及其代理人王琦华的证言证实:赵吉吉非法修改数据后,即电话通知天津市国际信托投资公司上海证券业务部将其名下的7800股“兴业房产”股票卖出;被赵吉吉修改过的数据在当日下午股市开盘时,即被发送到交易所,两种股票的价格不久即被抬高至涨停价位,引起这两种股票价格和交易量大幅上扬,出现异常波动;有总价格6000余万元的近500万股的两种股票被三亚营业部买入,最后导致平仓,造成该营业部295万余元的经济损失;扣除公安机关追回的部分损失外,尚有240多万元无法追回。同时,这些证据也反映了赵吉吉、高春修等人乘机抛售股票从中获利的事实。
以上证据经审查和庭审质证,能够作为认定本案事实的根据。
上海市静安区人民法院认为:
随着我国经济和科学技术的发展,计算机在社会生活的各个领域已经被广泛使用。同时,涉及计算机的各种犯罪也逐渐增多,日渐成为社会不安定的一种因素。因此,依法惩治针对计算机和使用计算机进行的各种犯罪,已成为刑法的重要任务。
被告人赵吉吉身为证券行业从业人员,理当自觉执行证券管理制度、维护证券交易秩序,但其为了使自己和朋友所持的股票得以高价抛售,从中获取非法利益,竟利用修改计算机信息系统存储数据的方法,人为地操纵股票价格,扰乱股市交易秩序,给三亚营业部造成巨大经济损失,情节严重。赵吉吉的行为已触犯刑法第一百八十二条第一款第(四)项的规定,构成操纵证券交易价格罪,应当依法承担刑事责任;依照刑法第六十四条的规定,赵吉吉违法所得的7277.01元,应当予以追缴;依照刑法第三十六条第一款的规定,对给被害单位三亚营业部造成的经济损失,赵吉吉应当赔偿。
注释:刑法第二百八十六条第二款规定:“违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的”,是破坏计算机信息系统罪。此罪侵犯的客体,是国家对计算机信息系统设立的安全保护制度。刑法第一百八十二条规定:“有下列情形之一,操纵证券交易价格,获取不正当利益或者转嫁风险,情节严重的”,构成操纵证券交易价格罪,其中第(四)项将“以其他方法操纵证券交易价格”规定为犯罪情形之一。此罪侵犯的客体,是国家对证券的管理制度和投资者的合法权益。被告人赵吉吉的整个行为,从现象上看是非法侵入了他人的计算机信息系统,修改了他人计算机信息系统中存储的数据,致使他人计算机信息系统的部分信息遭到破坏。这些表像,与刑法第二百八十六条第二款规定的犯罪行为相似。但是赵吉吉并非以破坏国家对计算机信息系统设立的安全保护制度为目的的实施犯罪行为,其行为主观上是想在引起股票价格异常上涨时抛售股票获利,客观上引起了股市价格的异常波动,结果也确实使自己及朋友获得了利益,而给三亚营业部造成295万余元的损失。赵吉吉的犯罪,虽然使用的手段牵连触犯了刑法第二百八十六条第二款的规定,但是侵犯的客体是刑法第一百八十二条所保护的国家对证券的管理制度和投资者的合法权益,因此构成的是操纵证券交易价格罪,不是破坏计算机信息系统罪。检察机关指控的罪名成立。
股民高春修于4月15日买进数万股“莲花味精”股票,在4月16日午市开盘前即以涨停价位委托抛出,其委托的价格与开盘后出现的涨停价位相符。因此,高春修关于是被告人赵吉吉让其买进该股票的证词,是可信的。赵吉吉关于高春修抛售股票与其无关的辩解,赵吉吉的辩护人关于高春修买卖“莲花味精”股票与赵吉吉的行为没有必然因果关系的辩护意见,均不予采纳。
由于被告人赵吉吉修改了数据,以致被害单位三亚营业部发出了错误的买入信息,从而遭受经济损失。从表面上看,三亚营业部似乎是因无力支付而被强制平仓造成损失,但根本原因却在于赵吉吉的扰乱股市行为。赵吉吉理应对三亚营业部遭受的全部经济损失承担责任。赵吉吉的辩护人提出强制平仓是遭受经济损失的原因之一,因此该损失不能都由赵吉吉赔偿的辩护意见,不予采纳。
被告人赵吉吉虽是初犯,但犯罪手段恶劣,社会危害性大,并且给被害单位造成的绝大部分经济损失至今仍未挽回,故赵吉吉的辩护人要求对赵吉吉适用缓刑的辩护意见,不予采纳。鉴于赵吉吉归案后交待问题态度较好,可酌情从轻处罚。
综上,为维护证券市场的正常管理秩序,惩治操纵证券交易价格的犯罪行为,上海市静安区人民法院于1999年11月11日判决:
一、被告人赵吉吉犯操纵证券交易价格罪,判处有期徒刑三年,并处罚金人民币1万元。
二、被告人赵吉吉赔偿被害单位三亚中亚信托投资公司上海新闸路证券交易营业部经济损失计人民币2497604.62元。
三、追缴被告人赵吉吉的违法所得人民币7277.01元,予以没收。
一审宣判后,被告人赵吉吉表示服判,没有提出上诉,检察机关也没有抗诉,一审判决发生法律效力。
2、刑法第285条,
【破坏计算机信息系统罪】违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。
故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:
(一)致使违法信息大量传播的;
(二)致使用户信息泄露,造成严重后果的;
(三)致使刑事案件证据灭失,情节严重的;
(四)有其他严重情节的。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
网上炒股应安装哪个杀毒软件?
证券IT人士谈股民如何选择杀毒软件
CNET中国·PChome.net 类型:投稿 作者: 何东生 责编:杨剑锋 时间:2007-06-11
网上炒股注意网络安全
国信证券有限责任公司北京管理总部 副总经理 何东生
股民上网炒股,或者进行金融交易,最大的担心是帐号、密码以及私人信息被盗,电脑系统遭到攻击导致效能降低或瘫痪等网络安全问题。从网络安全和病毒防护的角度,证券机构的网络系统和个人电脑系统都是一样的,区别只是证券机构的系统更庞大、复杂,安全性更高。因为金融、证券行业的特殊性,网络安全无小事,所以在对网络安全设备和软件的选型上是慎重又慎重。目前,国内金融、证券机构的网络安全软件以趋势、诺顿、CA等为主流,主要是从技术和稳定性的角度考虑比较多。一般企业级网络安全软件,国际产品在技术上普遍比国内要高。当然,国内的有些网络安全软件也比较有特色。
作为证券机构的IT技术人员,我们通常不太关注个人网络安全产品,比如杀毒软件。但是,最近股民比较多,有很多股民都是通过网络进行交易,其中的安全问题引起了我们的注意。需要指出的是,对于企业级系统,大家绝对放心,一般的病毒和黑客不可能侵入。
但是对于个人网络系统,鉴于个人网络安全知识和水平的不同,安全风险显然要大得多。
关于个人网络安全系统,网上有很多知识,包括很多利用Windows系统查杀病毒。很多知识和技能对于非IT专业的普通股民来说,实在太复杂,也不保险。坦率地说,你掌握的电脑知识再丰富,也不如杀毒软件厂商的研发团队掌握的知识丰富。所以,完全依靠电脑自带的Windows系统操作来查毒、杀毒的方法,虽然省钱,但对于所有股民都是不足取的。
我的建议很简单,必须安装杀毒软件和防火墙,才是防御病毒和黑客侵入的有效手段。其他的方法都是冒险之举。
那么,如何选择适合自己的杀毒软件和防火墙(自带防火墙的杀毒软件更好)?关于这个问题,周围的朋友问过我,我认为不好回答。因为,金融、证券机构的IT技术人员的想法和实践并不能指导广大股民。所谓“病从口入”,病毒对于企业系统的破坏和攻击常常从
工作人员的终端开始。由于工作的性质,导致我们对个人的网络安全都十分重视,对于杀毒软件的选择也十分挑剔。
就我本人已经周围的同事、同行而言,大家安装趋势杀毒软件比较多,也有的安装诺顿的杀毒软件。主要原因是:一,考虑到与企业网络安全系统的兼容问题。趋势、诺顿在金融、证券机构占有很大的份额;二、可能是一种信任关系。大家和趋势、诺顿接触比较多,时间也长,彼此比较了解,所以趋势、诺顿有个人产品后,技术部门就建议大家都安装这些杀毒软件;三、性价比。比如,趋势杀毒软件可同时安装在三台电脑上,可管理局域网。这样可以节省成本。
这是圈内的看法。如果跳出金融、证券圈外,我想应该不能这么单纯。个人认为应该因人而异,可以选择的杀毒软件比较多。至于如何选型,我并没有下最终结论的能力。因此,我把今年初技术部内部针对个别个人杀毒软件的一个测试拿出来,并结合股民的需求,从较为专业的角度说一说。而究竟如何选择,还是要根据股民的实际情况。我不会说任何不负责任的话。
选择《金山毒霸2007》、《瑞星2007》、《江民KV2007》、《趋势杀毒软件pc-cillin2007》和《Norton AntiVirus 2007》五款常用软件评测,为股民选择杀毒软件时,提供参考。测试项目包括系统资源占用评测、木马病毒查杀能力评测、隐私防保功能评测、嵌入式防毒评测、网络反钓鱼评测和病毒库主动升级评测。
系统资源占用
一、系统资源占用评测
对于股民来说,时间就是金钱,堵单无亦于堵心,所以系统的稳定和网络的畅通至关重要。因此选择一款系统资源占用小的反病毒软件,应该在考虑因素之内。
测试方法是:每安装一款反病毒软件,都把它升级到最新的病毒库。接着空置电脑20分钟不进行任何操作,然后打开资源管理器查看软件各组件的资源占用情况,把它们相加得出一个数据。
由于股民在看盘的过程中,基本不会进行查毒操作,因此不再进行病毒扫描的资源占用和cpu占用率的测试。
从这五款软件的测试结果来看,《趋势杀毒软件2007》给我们留下了深刻的印象,它进程中只有两个文件,仅占用了14MB的内存空间。而《Norton AntiVirus 2007》与之相比占用的资源要多的多,大约在25MB左右,也是参测软件中占用资源最多的一款产品。
《金山毒霸2007》、《瑞星2007》和《江民KV2007》虽然都集成了网络防火墙等模块,但是在系统资源占用的控制上还是表现的不错,基本都控制在20MB以下。
在这里需要说明一下的是,杀毒软件的进程资源占用与软件运行而造成的资源占用有很大不同,这里涉及到svchost这个共享进程,另外所监控的项目和文件数量越多,所占用的资源也越大,所以以上数据仅供参考。
木马病毒查杀能力
二、木马病毒查杀能力评测
随着网络的发展,各类病毒层出不穷,其中危险最大的一类就是木马病毒,以股民们谈之色变的“证券大盗(Trojan/PSW.Soufan)”为例,它可以盗取多家证券交易系统的交易账户和密码,然后黑客通过这些盗取的帐号和密码可以恶意操纵帐户内的股票,例如通过
高买低卖、低卖高买等,赚取中间的差价,这会给被盗账号的股民带来巨大的经济损失。所以最适合股民的反病毒软件,必然应该是一款查杀木马病毒能力高强的软件。
趋势科技不仅查杀率领先,而且可以实现定点和定文件类型查杀
自动防止间谍软件侵扰
间谍软件提醒功能
我们选取了100个病毒样本对各款软件进行了测试,其中查杀率最高的是《趋势杀毒软件2007》,它的查杀率最令人满意。其他表现不错的依次是《金山毒霸2007》、《瑞星2007》、《江民KV2007》、《Norton AntiVirus 2007》。
隐私防保功能
三、隐私防保功能评测
查杀能力非常关键,对银行帐号和股票帐号的保护工作也必须做好。目前许多反病毒软件中都带有隐私保护功能,把银行帐户、个人电话、各类密码等信息输入到软件数据库以后,当有人通过邮件、QQ等IM聊天工具向外发送这些敏感信息时,反病毒软件会立刻进来拦截并发出提示警告,这对于股民来说是一个非常有用的功能。
设置密码保护
《趋势杀毒软件2007》在“个人网络和防火墙”中有单独的“密码保护”选项,在操作个人数据时候,可以选择设置密码,保证数据的安全,用户也不用担心这些信息被人偷窥。
《江民KV2007》同样具有上述功能,而且提供了信息导入/导出功能,操作起来比较方便。
嵌入式防毒
四、嵌入式防毒评测
股民除了网上炒股以外,还会经常通过QQ等即时通讯软件与其他股友进行交流,另外随着炒股的火热,各种各样的股票群也不断增多。这些网络手段虽然方便了股民,却也带来了不少的安全隐患。嵌入式防火墙,可以与即时通讯工具紧密结合提供安全防护,它的最大特点就是无需开启主程序,即可独立工作。
在web浏览、电子邮件和IM中实习嵌入式杀毒,邮箱保护姓名、信用卡和密码等重要资料
《趋势杀毒软件2007》中的聊天工具与电子邮件嵌入防毒,提供的保护对象较多,除了可以对QQ、ICQ、MSN、OFFICE等进行保护外,还可以进行Web站点访问保护。《江民KV2007》可以嵌入OFFICE办公组件、FLASHGET、WINRAR、WINZIP等软件。《瑞星2007》提供了OFFICE和IE嵌入防毒。《Norton AntiVirus 2007》则在主动防御模块中提供了OFFICE、程序完整性等多项防护措施。
网络反钓鱼
五、网络反钓鱼评测
作为股民经常要通过网上银行进行银证转帐,还要浏览各类财经网站、论坛、甚至是个人的股票博客,以便打深各类消息,这很容易掉进网络钓鱼的陷阱当中。网络钓鱼是网络上非常猖獗的一种诈骗方式,它的传播手段众多、技术更新快,是对网络支付和网银安全的最大威胁。
垃圾邮件过滤设置,保护邮件安全
特有的网络钓鱼警报功能,让网络浏览时,避免网钓的威胁
这类钓鱼网站如果不细心很难进行防范,因为它们通常设计得与真实网站一模一样,所以反病毒软件中如果带有自动识别钓鱼网站的功能,对股民来说是多了一道保护伞。
趋势杀毒软件在反钓鱼方面积累极其丰富的经验,《趋势杀毒软件2007》中的放网络钓鱼欺诈,除了间谍软件防护以外,还有网络钓鱼警报。在浏览器中输入一些常用的支付网站时候,软件会自动检测网址,发现钓鱼网站时自动报警,提醒股民不要上当受骗。创新智能网络诈骗侦测技术,能自动封锁已知或未知的诈骗网站,避免股民误上诈骗网站,机密数据被骗。
病毒库主动升级
六、病毒库主动升级评测
病毒特征码库作为一种简捷有效的查杀病毒方式,发展到今天比拼的更多的是病毒库升级时效及更新频率。《金山毒霸》和《瑞星》一般每天升级三次,《Norton AntiVirus》、《江民2007》和《趋势杀毒软件2007》也都每天至少升级一次。其中大多数软件都具备自动和定时升级、以及系统安全漏洞修复功能,免去了用户的后顾之忧。
自动更新提醒
除了这些常规升级之外,面对突发病毒和事件的应急反应速度,也是衡量一款产品服务质量的重要标准。例如:去年年末,台湾地震引发的光缆断裂,就曾经让许多卡巴斯基的国内用户无法更新病毒库,事后他们在国内架设了临时服务器才有所缓解。在这方面,国产软件优势比较明显。
另外,软件和病毒库升级在注重数量的同时,还应注意质量,最近网上闹得沸沸扬扬的诺顿和卡巴斯基误杀门事件,给所有的厂家敲响了一记警钟。这件事也造成了诺顿在金融、证券机构的不利影响。
评测综述
测试的结果比较综合,各项评测项目成绩见下表。我认为上述的杀毒软件都具有各自的特色和不足。但是,从证券从业人士的视角看,一款杀毒能力优秀、又具备多样功能和人性化功能的软件应该是股民的最佳选择。前段时间,国家反病毒联合实验室(China Labs)的专家将危害网银系统最大的病毒、侵害行为概括为“五毒四害”,非常准确。个人认为,股民选择杀毒软件的基本要求是能够抵御“五毒四害”。
目前,流行市面上的还有卡巴斯基、麦咖啡等个人杀毒软件,网络褒贬不一。因为在测试中并没有作为样本选择,因此不便妄加评论。
通过此次评测,我想股民朋友们不光在自己心里都选好了最适合自己的反病毒软件,而且也学到了一些安全防范知识。只有提高安全意识,坚决运用杀毒软件并灵活运用好手中的杀毒软件,才能最大限度的保证我们的安全。
股民在股票账户里的钱安全吗?能被其他人挪走吗?
是安全的,这个钱是由股民自己管理的,所以安全。没有支付密码,其他人是不能把钱挪走的。
证券交易所被黑会出现什么样的后果?
从目前已有的黑客攻击事件来看,大致有以下几种情况:攻击交易所网站和交易系统,可能会造成网页无法打开,或者交易不能进行。
攻击交易所数据库,可能会导致股民客户信息泄露。
不过一般来说,证券交易所的网络安全系统是很先进的,目前为止世界范围内还没听说影响特别恶劣的黑客入侵事件