第一百八十一章:安全漏洞(3)
周二一大早,徐木升和牧雲婉一起到學校參加信息化辦案系統V3.0的討論會。信息化辦案系統由公安廳聯合江北科技大學共同研發,實際上是公安廳出研發經費做需求管理,江北大承擔絕大部分開發工作。校領導對這個項目極為重視,責成電子信息工程系和計算機系調集最優秀的師資力量成立聯合實驗室進行承接,由電子信息工程系的系主任王國鴻親自挂帥。該系統自去年九月上線以來屢次在大案中發揮重要作用。今年年初江北公安廳將相關成果上報公安部,公安部已將其上升為國家級項目在全國公安系統內推廣。這個項目作為高等院校和政府部門成功合作的典範,同時也得到教育部的通報表揚。王國鴻教授非常有信心在教育部新一年的科研經費預算里也分到一杯羹。
會議地點在南三樓的階梯教室,王教授首先激情洋溢的回顧過去一年所取得的成績,隨後承諾如果成功申請到教育部的科研經費,實驗室所有成員的項目補貼提升百分之五十。等大傢伙兒潮水般的掌聲退卻,他宣布本次會議是一次集思廣益的諸葛亮會,在舉手得到同意后就可以發言,所提建議一經採納會給予獎勵。有了如此重賞在前,項目組的同學們都爭先恐後的舉手發言。
木雲婉拿手肘輕輕頂了一下徐木升,柔聲問她:「有什麼好點子嗎?」
徐木升搖搖頭。設計V2.0的時候他大大小小提了差不多有十條優化意見,那才是三月份的事情,到現在都還沒完全實現呢,怎麼可能這麼快就有新點子?
「你呢?」徐木升從來不會小看雲婉。用於植入目標手機的定位插件,這個主意就是她想出來的,真的是太好用了。
牧雲婉也抿嘴搖搖頭。「想了點擴展性的意見,但沒有特別好的。」
一套系統平台的後續發展大致有兩個方向,一是對現有功能進行優化、深化,使得這些功能更實用更好用;二是進行功能擴展,使其功能更為豐富更為綜合。例如信息化辦案系統的最初設計是對接三大運營商的平台,快速查詢嫌疑人開戶信息並對其進行實時的追蹤定位,設計V20版本時牧雲婉提出做一個小插件利用OTA技術植入用戶手機里,轉LBS三角定位為CPS衛星定位,定位誤差從二十米縮小至一米,這就屬於功能深化;徐木升提出與城市安全攝像頭進行對接,在跟蹤嫌疑人的時候可以看到實時畫面,這就屬於功能擴展。功能擴展可以天馬行空的發散思路,而功能深化不但需要紮實的技術功底,更需要深入一線在實際使用中積累需求。從思考的角度來說,提功能深化方案要比提功能擴展方案的難度大很多。
同學們陸陸續續列出十多條意見,有建議和網吧監控平台對接的,有建議和各大酒店的住宿登記系統對接的,王國鴻逐一看下來發現都是功能擴展類的意見。這些擴展功能如果實現,的確能大充信息化辦案系統的查詢範圍,但多不一定就好用,他期待的是那種使現有平台功能再上一個檔次,能夠顯著提升辦案效率的點子。
「徐木升,你可是代表咱們學校參與過案件偵破的,你有什麼想法?」
王國鴻打一開始就在期待徐木升發言,可徐木升卻一直坐著不啃聲。他覺得徐木升肯定是揣著好點子想要在其他人說過之後再一鳴驚人,結果他連問兩遍「還有誰要補充」,徐木升都穩如泰山。
「嗯……」迫於已經問到自己頭上,徐木升緩緩站了起來。他也料到王國鴻不會輕易放過自己,一直在努力思索,但是真沒想出什麼好點子,於是隨口說道:「我覺得我們可以開發一款手持終端,通過無線網路與系統後台互動。」
「我們不是已經開發了配套的手機app用來接受系統消息嗎?」後排的一位同學嚷道。
立即就有人符合:「對啊,多一個東西就多一份重量。你沒看智能手機普及之後,MP3、mp4、GBA都消失了嗎?既然手機能實現這個功能,幹嘛還要多背個東西在身上。」
一位計算系的老師站起身說:「我記得開發專屬手持設備的提議在設計第一版系統的時候就已經否決了。現在都強調多屏復用的概念。小徐你這個提議簡直就是一種倒退。」
徐木升皺起眉頭。他本來只是提個建議,不同意就不同意唄,幹嘛這麼擠兌人!
「各位,我一開始也覺得有app客戶端就夠了,但跟著警方出過兩次外勤之後,我發現在一定環境下專屬終端還是有市場的。首先,有時候警員需要長時間蹲守,這個過程中難免用手機打發時間,但智能機帶電量有限,等真正有情況發生的時候,可能就沒電了。其次,有些重要任務本來規定是不允許帶手機的,現在為了能接受系統的定位信息,只能讓警員都把手機開著,這就有很大的風險,比如說有人忘記關靜音,在接近犯人時突然電話鈴響了。」
「你說的這些情況真的發生過嗎?」計算機系的那位老師問。
「手機電有多不經用,相信大家都有體會。現在出外勤時警隊領導都會反覆強調要把手機調到靜音,所以到目前為止倒是沒出過意外。」徐木升實話實說。「除了我剛才說的那些情況,受限於手機的處理能力以及app不可能做得太大,我們只能在app上使用最基礎的信息加密技術,這也是個隱患。為了防止外人使用信息化辦案系統,我們在公網上只開放了單向通信能力,我們的app只能接受系統發過來的信息,不提供主動查詢功能。我每次跟他們出外勤還得背著筆記本電腦,然後走加密的VPN鏈接後台。如果是專業客戶端,我們完全可以使用專業的加密晶元來確保通信安全。」
「可你也知道我們實驗室以軟體開發見長,如果要開發硬體設備就要增補相關專業的成員,而且硬體的研發、開模和測試都耗時耗力,還會增加甲方的後期採購成本。」
徐木升笑著說:「甲方增加後期採購成本不就意味著有錢賺嗎?」
王國鴻聽了這話眼睛一亮,拍怕手說:「這是徐木升結合一線經驗提出的建議,我覺得有一定道理。我們回頭和公安廳那邊核實一下需求,如果他們確實覺得需要有專業的終端,我們就列這個為v3.0的開發重點。」
現在學校都提倡創收,他已經在盤算即便公安部按1:10的比例為全國警察採購信息化辦案系統的定製終端,那將會是多麼龐大的一個市場。
就在王教授為V3.0版本的研發找到方向的時候,坐在教室最後排的一個學生舉手,卻生生的說:「老師,我,我有一個建議。」
「你說!」王國鴻示意他站起來。
徐木升聽聲音還以為是個女孩子呢,回頭一看是個面目清秀的小男生,他不太認識。「你們系的?」他問牧雲婉。
「嗯,是我後面一屆少年班的,今年才加入實驗室,叫戴桐,很聰明,就是太內向,像個小女孩。我們系的好多妹紙都喜歡逗他。」
戴桐站起身,清瘦,個頭不高。「徐師兄剛才說我們的app和後台之間的通信存在安全隱患,我這段時間在做系統維護,我覺得系統內部的安全隱患更大。我們的賬號許可權管理做得很粗,操作許可權和管理許可權沒有完全分開。另外就是,日誌留存也做的不夠嚴謹,日誌文件里只記錄了關鍵操作而且是明文的。初級管理員賬號就可以查看和修改。我前兩天清理日誌的時候發現有幾篇日誌是缺了內容的,也不知道是人被刪掉了,還是存丟了。」
不會吧!此話一出,整個階梯教室就炸了鍋。戴桐這不是在提建議,而是在進行批評。
稍微懂點軟體技術的人都應該知道,賬號許可權管理對一套軟體系統來說是多麼重要。比如說一款網路遊戲,普通賬號只能進行遊戲;管理員賬號能對普通賬號進行管理,比如禁言、封號、獎勵等等;開發賬號更可以修改遊戲人物、武器的模型參數甚至更改遊戲規則。如果不小心把開發許可權賦予普通賬號,那麼普通玩家就可以把自己的遊戲人物修改成無敵狀態或者給自己用不完的遊戲貨幣,這個遊戲里其他玩家就沒法玩了。
同樣,日誌留存功能雖然不是軟體系統的核心功能,卻是不可或缺的安全防控功能。它會詳細記錄軟體的運行情況、各個賬號的操作痕迹。例如某位警員的賬號幾點幾分登錄信息化辦案系統,幾點幾分查過某具體號碼的位置信息,這些都會記錄在日誌里。如果某警員拿信息化辦案系統查自己女朋友的崗,或者對某明星進行定位,從日誌里是可以看出來。
為了確保日誌本身的安全性,一般只賦予高級管理員賬號查看日誌的許可權,同時對日誌進行加密,只有通過對應的翻譯軟體才能轉換明文。這些都是軟體開發的常識。
戴桐說信息化辦案系統的賬號許可權管理混亂且系統日誌沒有加密。徐木升能夠想到的最壞的情況是某人拿這套系統做壞事,然後再把相關日誌給抹掉,這麼一來想查都無從查起。
一套給公安廳做的系統自身居然存在如此之大的安全隱患,這讓在座各位開發者臉往哪裡擱?
計算機系的系主任張東方教授終於是坐不住了。他起身示意大家安靜。「這位小同學反應的問題很可能是存在的。我們前期趕進度的時候把精力都放在主要功能上,賬號、日誌這些次要模塊都是拿現成的代碼湊的,這個不用等v3.0,我們在下個月的小版本升級就把這些問題給解決掉。」
***
秦若瑩陪父母吃過早餐,送父親出門之後又安慰了一番為丈夫擔憂的母親,然後略作梳妝打扮,出門去拜訪東方常青藤的老闆金弘。
錯開了上班早高峰,濱江的主幹道還比較暢通,只不過短短半小時的車程就看到兩輛警車擦身而過還是讓若瑩感受到自己父親以及專案組所承受的壓力。
和金弘約好的見面地點不是東方常青藤的寫字樓,而是相距不遠的新華廣場一樓的星巴克。在星巴克對街下了車,若瑩一眼就看到路邊的牆上貼著周郝的通緝告示,而過了馬路之後她還看到一組荷槍實彈的武警正在巡街。昨天夜裡跟徐木升煲電話粥,徐木升說如果周郝還在濱江市,在如此強度的搜捕之下估計躲不了幾天,勝負很快就會見分曉,看來是真的了。
走進星巴克,金弘已經先到了。她一副OL打扮,顯得特別幹練,根本看不出是年過三十的人。兩人各自點了杯咖啡,金弘搶著買單還要了一袋堅果,若瑩也不跟她客氣,落座之後跟她把事情大致說了一下。金弘聽說是讓她幫忙調查蘇倩倩的海外資產,顯得有些為難。
「對於做我們這一行的來說,保護客戶隱私是最基本的行業操守。之前答應提供給你們蘇倩倩在我公司的辦理業務情況,是因為作為企業我們有義務配合警方調查。但你讓現在我讓查的事情已經不是客戶和我公司之間的業務往來,這就有點,」她抿抿嘴,「怎麼說呢,我這裡可不是私家偵探社。」
若瑩也知道這個要求有些為難,所以才沒有在電話里說而是親自登門。「這只是我們的一個猜測。綁匪認定蘇倩倩有錢,一開始要五千萬,雖然後來降到一千萬也不是普通人承受得起的小數目。警方仔細調查了蘇倩倩的經濟情況,包括她的收入、房產、各大銀行的賬號,完全看不出她那樣的支付能力。後來也是經一個朋友提醒,木升才想到她的資產可能在海外。」
「也就是說,這只是你和徐學弟私下請我幫忙咯?」
「如果你需要警方出具什麼手續,我們也可以搞到,就是要花點時間。」
「no,no,no。」金弘搖了搖她塗著咖啡紅指甲油的手指頭。「你完全搞錯的意思了。我是想說東方常青藤是留學中介機構,不是偵探事務所,所以即便是警方讓我協助調查非我公司的業務情況我也做不到,但如果是我學弟請我個人幫著打聽點事情,我倒是可以順口問問。」
秦若瑩恍然大悟,金弘這是想單獨賣徐木升一個人情。「嗯,這事情和警方沒關係,就是我們家木升好奇心重。」
「可以,那我就跟著八卦一下好了。」金弘眨眨眼睛。「美國、英國、加拿大、澳大利亞和紐西蘭我都可以託人問問,但是其他國家我就……」
「這些就可以了,反正我倆也只是亂猜的。」若瑩覺得如果是海外投資或者洗錢,應該跑不出這幾個國家的範疇。
「好,還有一點我要說清楚。既然是私下裡的八卦,那這個事情就只限於你我還有徐學弟可以嗎?」
「ok!」若瑩端起咖啡去欲和金弘碰杯,想以此表明這事情就這麼定下了,可是金弘卻在這時獃獃的望向窗外,整個人那一刻就像頓住了一樣。
「怎麼了?」若瑩感覺有些尷尬。
「哦,對不起,只是說曹操曹操到。」金弘指了指對街。