一秒记住【笔趣阁】
biquge365.net,更新快,无弹窗!
高俊拿着软盘就出去了,张扬说道:「高总,我还需要熟悉熟悉这台电脑,你那边的硬体解密完成后直接拿过来就行。」
高俊看着如此识时务的张扬笑着说道:「好,吃喝我都给你送过来,旁边儿有厕所。」
「好,谢谢高总。」
张扬看着屏幕上的帐目,手指在滑鼠上停住了。巴黎信用社丶德意志银行丶英格兰银行,高俊把所有的钱分散放在这三家,不是随便选的。
这三家银行在2003年的国际金融体系里都属于「信息壁垒」最高的那一档。
巴黎信用社不对非欧盟客户开放数据接口,德意志银行的法人帐户查询需要实体U盾加签名授权,英格兰银行的跨行转帐系统走的是一条独立于普通商业网络的专线。
任何一家单独来看,都是硬骨头,但张扬看的是三家放在一起的结构,高俊为了方便调拨,把钱放在三家银行的不同帐户里,然后用一套自己写的资金归集程序做自动调度。
这套程序安装在他自己公司的伺服器上,每隔六小时自动登录一次各家银行的网上银行系统,查询余额,把超过一定额度的资金归集到一个主帐户里。
主帐户用的是巴黎信用社的法人户头。为了方便程序自动运行,高俊把三家银行的登录凭证——帐号丶密码丶数字证书——全部存在那台伺服器的配置文件里,做了简单的base64编码,没有加密。
张扬盯着屏幕,在意识中说了一声:深蓝。分析这套资金归集程序的架构。
【正在分析本地伺服器上发现的资金归集程序……该程序为高俊委托第三方开发,运行于Windows2000Server平台,定时任务通过系统计划任务触发。配置文件已定位,base64编码,解码后可获取三家银行的登录凭证。程序每次执行时,先从巴黎信用社主帐户拉取各子帐户余额,再通过德意志银行和英格兰银行的API接口发起归集转帐。整个过程为单向同步,本地不存储银行端的操作日志。】
【该程序具有技术性后门特徵——如获得对这台伺服器的完全控制权,即可篡改其归集指令的目标帐户。】
张扬目光移向另一台显示器上的机柜监控面板。他刚重写过防火墙规则,这台伺服器对外的流量全部经过他控制的那台NetScreen。他现在坐在这个内网里,拥有防火墙的root权限丶伺服器的管理员密码丶以及资金归集程序的完整配置文件。
不需要入侵银行。银行的防御再强,挡不住一个合法的登录请求。他只需要修改归集程序的目标帐户参数,把下一次自动归集的目标户头改成另一个帐户,钱就会在程序的下一个整点自动转出去。巴黎信用社丶德意志银行丶英格兰银行看到的,仅仅是一次由合法凭证发起的正常转帐。
【深蓝为您服务。】
【针对巴黎信用社丶德意志银行丶英格兰银行在2003年时期的信息安全架构分析如下:巴黎信用社使用IBMAS/400中型机,网上银行系统基于自研的封闭协议,与网际网路之间设有专用的SSL加速网关。德意志银行使用VeriSign签发的企业级数字证书体系,法人帐户登录需同时验证U盾硬体令牌和固定IP白名单。英格兰银行的跨行转帐系统运行于独立于公网的SWIFT专线网络,其防火墙规则表按交易类型分了七层访问控制策略。】
【综合判断:任何从公网发起的攻击都需要同时穿透至少两层独立安全机制,在2003年的网络带宽和计算资源限制下,暴力破解消耗的时间以周为单位。直接攻击银行的路径效率极低,不建议采用。但本地分析发现,高俊的伺服器上部署有一套自动资金归集程序。该程序定时自动登录上述三家银行的网上银行系统,执行余额查询和归集转帐操作。登录凭证和数字证书均明文存储于伺服器的配置文件中,仅做了base64编码处理。该伺服器当前已处于宿主完全控制之下,防火墙规则在宿主的管理权限范围内,登录凭证可直接用本地管理员权限提取。】
【建议路径:放弃直接入侵银行。通过修改伺服器上资金归集程序的目标帐户参数,将下一轮自动归集的目标户头替换为指定中转帐户。归集程序自身以合法凭证发起转帐,三家银行的防御系统不会产生任何异常告警。整个操作可在伺服器本地完成,无需发起外部攻击,隐蔽性极高。是否开始提取配置文件并进行base64解码?】
张扬看着深蓝的分析,脑子都大了,大部分都是他看不懂的,都是汉字,怎么组合在一起就看不懂了呢?
『深蓝,你可以自主操作进行转移嘛?』
【需要联网操作……】
【发现可用网络……】
【正在联网……】
【连接网络失败……需要物理联网】