专注:网络安全、系统安全、应用安全、数据库安全、运维安全,趋势分析。

安全从业者2000人超级群:187297569 沟通:1255197 技术:75140776 北京:107606822 西安:53210718 渗透:50806427 站长QQ:55984512


江苏驾校伪造学时 49家驾校争抢黑客软件

2016-08-17 10:21 推荐: 浏览: 6 views 评论 字号:

摘要: 在交通日益发达的今天,越来越多的人购置了私家车,他们大多选择在驾校学习驾驶技术。而作为培训机构,驾校的任务本该是确保学员培养良好的安全意识和驾驶技能,可是江苏省泰州、盐城两地的49家驾校为了吸引生源、节约成本,竟利用信息系统漏洞伪造学时。近1.5万名学员没有开...

在交通日益发达的今天,越来越多的人购置了私家车,他们大多选择在驾校学习驾驶技术。而作为培训机构,驾校的任务本该是确保学员培养良好的安全意识和驾驶技能,可是江苏省泰州、盐城两地的49家驾校为了吸引生源、节约成本,竟利用信息系统漏洞伪造学时。近1.5万名学员没有开车练习,却拿到了代表上路驾驶资格的驾照。近日,泰州医药高新技术产业开发区检察院专门发出检察建议,建议泰州市、盐城市两地交通局运输管理处对这一乱象进行整治。

空车疑云:人不在车上学时照样增加

“交通局吗?有的驾校在培训系统上做手脚,学员不用练车,照样赚学分、拿驾照,这事谁来管?”

2014年6月25日,泰州市交通局交通运输管理处驾驶员培训科的工作人员小吴接到举报电话后,立刻通知了无锡博科公司泰州分公司的技术人员孙刚。

得知系统有可能被人入侵,孙刚十分忐忑。原来,2012年以来,该公司就负责为交通系统研发、运营、维护“江苏省驾驶培训智能化管理与服务系统”。这个系统一般是由驾校在系统平台采集学员的姓名、身份证、指纹等基本信息,并制作学员卡。在场地训练、道路培训时,学员将卡插在车载学时仪上,就能实时定位并上传学时数据。当累积达到规定学时,学员才能参加驾驶考试。该系统是利用“互联网+”技术实现对驾校和学员的信息化、自动化管理,不想却被不法分子钻了空子。

次日,孙刚便和同事赶到一所被举报的驾校,他随机将两辆停驶车上的学时仪拆下来,再查看后台服务器时,却大跌眼镜:只见两名根本不在现场的学员的学时竟在神秘地不断增加!孙刚立刻报警求助。

根据举报人提供的线索,同年7月17日,犯罪嫌疑人李庆高被泰州市公安局医药高新区分局刑事拘留。

  黑客任务:一个以假乱真的模拟学时系统

学习计算机专业的李庆高大学毕业后,一直在苏州从事IT工作。2012年底,他接到朋友袁某(另案处理)的电话:“有个系统需要高手攻破,报酬丰厚,有没有兴趣?”

交谈之下,他才知道,袁某受盐城一些驾校委托,在找一名能破解驾驶培训智能化系统的“黑客”。李庆高正缺钱花,便接下任务,开始对这一系统进行研究。袁某竭尽所能给予帮助,提供了车载学时仪、客户端资料、管理员账号和密码。通过账号和密码,李庆高登入了后台数据库,对通信协议进行分析,找出了其中的运行规律。

原来,驾培系统通过两个渠道传输数据:一个是驾校的前台客户端传输教练数据,另一个是车载学时仪传输实时GPS数据,两者合二为一,就是一个完整的学员学时数据。换句话说,只要自己模拟出这两个数据,就能骗过后台电脑。

说干就干,李庆高在自家台式机上设计了一个模拟客户端,并在无线网卡上绑定一名教练和学员的账号,制作了虚拟的GPS运行轨迹。他把这些数据传送到驾培系统后台,服务器对其“信以为真”,为学员增加了相应学时。

成功了!李庆高按捺不住激动,立刻向袁某“报捷”。袁某赶来查验后,爽快地付了他5000元,并承诺软件完善后还有重谢。这下李庆高更有干劲了,他一口气购置了九台台式机,并设计了一个学员分配软件,通过它把教练、学员和对应的教练车都绑定到同一个网卡上。然后根据不同驾校的地址,李庆高把伪造的GPS轨迹控制在校址附近,并通过分析真实的学员数据设定了行车速度。由于系统规定每天最多只能练习四个学时,李庆高就设计四小时后自动切换下一批同车学员继续“练习”,每天能为数百名学员提供虚假学时。

袁某以6万元的费用从李庆高手里买走软件,并声称将它卖给驾校。可很快李庆高就发现袁某根本没有卖出软件,而是自己联系驾校增加假学时,并按人头收取55元的代训费。眼看自己辛辛苦苦研发的“成果”却成了别人的摇钱树,李庆高气不过,也开始向驾校兜售自己的软件。

来源: 检察日报

联系站长租广告位!

中国首席信息安全官