纸从来都是包不住火的。
近日,百度两年前的一桩诉讼案终于有了答案。中国裁判文书网显示,百度运维员工“安某”从 2018 年1 月底到 5 月底,以技术手段在公司服务器上部署“挖矿”程序,非法控制 100 余台服务器以获取比特币、门罗币等虚拟货币,共获利人民币 10 万余。事发后,“安某”不仅被没收了所有获利金额,罚款 11000 元,还背上了三年牢饭,有点惨。
网友也评论称:“为了 10 万,三年牢狱之灾,终生职业生涯被毁,实在不值得”。
4 个月,占用 155 台服务器,获利 10 万余
2017 年“安某”正式入职百度,彼时,比特币的价格飙升到了近 2 万美元,按照当时的汇率,一枚比特币人民币价格将近 13 万。虽然后续的币价有所降低,但挖到一枚,还可以挣几万块,这样的诱惑或许没有几个人会选择无视。
【 图片来源:星球日报所有者:星球日报 】
2018 年初,“安某”开始打起了挖矿的主意。
挖矿,是指利用服务器CPU的运算资源,从而获取虚拟货币的一种程序,需要较高的硬件配置及用电量。
而单凭一个矿工的力量是挖不到比特币的。于是“安某”便想到可以利用自己的职务之便利用百度的服务器来开启自己的发家致富之路,只是他可能没想到的是事情会败露的这么快。
那么,他具体是怎么做的呢?
首先,他用自己的工作账户上传了一个压缩文件 miner.tar.gz ,其中包含一个名为 java_4u3 的脚本, 而这个脚本可以自动执行解压缩、创建目录、删除目录、自动连接代理进行网络交换,达到控制服务器的目的。
然后,编译了一个挖矿程序,并将上述程序部署非法控制了百度的 155 台服务器上,利用公司为其配备的苹果电脑上的 iterm 软件控制所有服务器的中控机,通过中控机上传挖矿脚本,并通过 iterm 软件发出批量下载指令,让 200 余台服务器下载了挖矿脚本。
而挖矿脚本可以把百度公司的运算资源上传到哈希网站,哈希网站通过其上传的运算资源挖取门罗币,最后根据其上传运算资源的多少,以比特币的方式向其结算。
最后,从哈希网站将比特币提现到 otcbtc.com 网站,通过这个网站将比特币卖了约 10 万元人民币。目前在哈希网站的钱包里,还存有约 1.44 个比特币,在 otcbtc.com 网站里还存有大概 1.5 个比特币。以现在的币价来算,1.44 个比特币相当于人民币 5 万元,结合 2018 年的币价,这样算下来,其实“安某”也不过挖了 5 个左右的比特币,并不算多。
用网友的话来说:“155 个服务器,获利 10 万,这手段着实不甚高明”。
百度损失 2.7 万,“安某”获三年牢狱之灾
2018 年 6 月初,在安某最后一次部署挖矿脚本后,百度通过安全管理监控系统发现大量服务器运行异常,占用公司服务器的运算资源执行了挖矿程序,经过一番排查,最终确定了幕后的操盘手“安某”。
为此,百度还花费 2.7 万元请北京耐特网科技公司提供了应急服务,具体项目包括样本提取、样本分析、服务器日志提取并分析、追踪溯源、报告编写等。
2018 年 7 月,百度正式起诉“安某”,认为其犯有非法控制计算机信息系统罪。经法院的进一步核实,被告人“安某”虽对其行为性质提出辩解,但其到案后及在庭审过程中对其实施的作案过程均能如实交代,故应认定其具有如实供述的情节,同时结合其能退缴涉案违法所得,故可对其从轻处罚。
据此判决:
一、被告人安邦犯非法控制计算机信息系统罪,判处有期徒刑三年,罚金人民币一万一千元。
二、在案扣押的人民币十一万一千元,其中人民币十万元作为违法所得,予以没收;其中人民币一万一千元,折抵罚金。
三、扣押于公安机关的银色苹果牌笔记本电脑一台、TOKEN 密钥一个,发还北京百度网讯科技有限公司;苹果牌 4S 手机一部、苹果牌 6 手机一部、华为手机一部,退还被告人“安某”。
为什么总是运维人员?
这起挖矿事件虽然告一段落了,但对于众多企业来说,这也是一个提醒,因为除去企业自身的风险外,很多情况下,人为因素也为企业安全风险中带来了很多挑战,企业需要正视长期存在的 IT 运维权限风险问题。
相信大家还记得前不久微盟宕机 36 小时的事情,事后,微盟拿出了 1.5 亿商家赔付计划,并表示放弃自建数据库,但这场由运维工程师恶意操作引爆的微盟 300 万商家数据删除案也让大家对数据安全有了更多的恐慌。
而百度的这起运维人员挖矿导致百度损失 2.7 亿的事件,同样是运维人员在“涉险”,为什么总是运维人员呢?
“运维”人员在企业的价值,他们自己的调侃是:当企业没有发生技术故障的时候,大家感觉不到运维人员的存在。当企业发生故障的时候,大家感觉到运维人员确实没有存在的必要。
但调侃归调侃,这反映了技术运维人员在企业中面临的尴尬处境,但实际上,运维人员对于一家企业运营维护的保障,确实是很重要的。
雷锋网查询了招聘网站上关于运维岗位的要求,他们的职责包括服务器的部署、配置、维护;互联网平台的部署、升级、迁移、数据备份恢复;监控服务器,平台的运行,系统优化等,可以说,他们掌握了企业的后门,一旦运维部门发生危险,公司有可能陷入瘫痪状态,因此,一直以来,运维人员也拥有很多访问权限,而这却变成了运维人员不惜“涉险”的一个原因之一。
于是,如何对运维人员进行权限管理和对生产系统的访问控制就变成了一个现实可控的问题。明略科技曾经在接受雷锋网采访时表示:
对于运维人员的审核,最好对每个运维线上的操作都能“操作前有审批”、“操作中有记录”、“操作后有核对”,在数据备份方面要做到权责分离。
当然,这不失为一个好办法,但对于运维员工自身来说,保持基本的职业操守或许更为重要。
雷锋网雷锋网雷锋网
参考资料:
http://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=94ffc9c9a4c4431a9240ab74000c2f13
https://36kr.com/p/5200077
https://www.toutiao.com/a6799921320327905795/
https://mp.weixin.qq.com/s/90pIsr6WQT_zcVHKvL6B0A
https://www.leiphone.com/news/202003/pWFpKoRo0A732xru.html
https://www.odaily.com/post/5137087