纸永远不会着火。
近日,百度两年前提起的一场诉讼终于有了答案。据中国裁判文书网报道,2018年1月底至5月底,百度运维员工“安某”通过技术手段在公司服务器上部署“挖矿”程序,非法控制100余台服务器获取比特币、门罗币等虚拟货币,共计获利人民币10余万元。案发后,“安某”不仅被没收全部获利金额,罚款11000元,还要背上3年有期徒刑,有点惨。
网友也评论说:“花10万,坐3年牢,毁了自己整个职业生涯,真的不值得。”
4个月,占用155台服务器,盈利10多万。
2017年,“安某”正式加入百度。当时比特币价格飙升至近2万美元。按照当时的汇率,一个比特币人民币的价格将近13万。虽然后续币价降低了,但是挖一个,还是能赚几万。或许很少有人会选择无视这种诱惑。
[图片来源:星球日报所有者:星球日报]
2018年初,“安某”打起了挖矿的主意。
挖矿是指利用服务器CPU的计算资源获取虚拟货币的程序,对硬件配置和功耗要求较高。
而且单靠一个矿工的力量是挖不到比特币的。于是“安某”以为可以利用职务之便,利用百度的服务器,开始自己的致富之路,但他大概没想到的是,事情这么快就败露了。
那么,他到底是怎么做到的?
首先他用自己的工作账号上传了一个压缩文件miner.tar.gz,里面有一个名为java_4u3的脚本,可以自动解压,创建和删除目录,自动连接代理进行网络交换,从而控制服务器。
然后编制了一个挖矿程序,将上述程序部署在非法控制百度的155台服务器上。用公司配备的苹果电脑上的iterm软件控制所有服务器的中控机,通过中控机上传挖矿脚本,通过iterm软件发出批量下载指令,使200多台服务器下载挖矿脚本。
挖掘脚本可以将百度的计算资源上传到哈希网站,哈希网站通过其上传的计算资源挖掘门罗币。最后根据其上传的计算资源量,以比特币结算。
最后,比特币从哈希网站撤回到otcbtc.com网站,通过该网站以大约10万元人民币的价格出售。目前,哈希网站的钱包里大约有1.44个比特币,otcbtc.com网站大约有1.5个比特币。按照目前的货币价格,1.44个比特币相当于人民币5万元。结合2018年的币价,其实“安某”只是挖了5个左右的比特币,并不算多。
用网友的话说:“155台服务器,利润10万,这手段真的不怎么高明”。
百度损失27000元,“安某”入狱三年。2018年6月初,安某最后一次部署挖矿脚本后,百度通过安全管理监控系统发现大量服务器运行异常,占用公司服务器的计算资源,执行挖矿程序。经过一番调查,最终确定了幕后操盘手“安某”。
为此,百度还花了27000元请北京网网科技有限公司提供应急服务,包括样本提取、样本分析、服务器日志提取分析、溯源、撰写报告等。
2018年7月,百度以非法控制计算机信息系统罪正式起诉“安某”。经法院进一步核实,被告人“安某”虽对其行为性质进行了辩解,但其到案后及庭审过程中能够如实交代所犯罪行。故应认定其如实供述了情节。同时,因其能退缴涉案违法所得,可从轻处罚。
根据这一判断:
1.被告人安邦犯非法控制计算机信息系统罪,判处有期徒刑三年,并处罚金人民币一万一千元。
二、扣押人民币十一万一千元,其中人民币十万元作为违法所得,予以没收;其中11000元用于冲抵罚款。
3.将公安机关扣押的银色苹果笔记本电脑1台、TOKEN key把交还给北京百度网讯科技有限公司;将苹果4S手机一部、苹果6手机一部、华为手机一部返还被告“安某”。
为什么总是运维人员?这次挖矿事件虽然告一段落,但对很多企业来说也是一个提醒,因为很多时候人为因素也给企业安全风险带来很多挑战,企业需要正视长期存在的IT运维权限风险。
相信大家还记得不久前魏梦36小时宕机事件。事后,魏梦拿出了1.5亿商户的支付方案,并表示将放弃自建数据库。而由运维工程师恶意操作引爆的魏梦300万商户数据删除事件,也让大家对数据安全有了更多的恐慌。
但百度运维人员的挖矿造成百度损失2.7亿元。也是运维人员的“冒险”。为什么总是运维人员?
“运维”人员在企业中的价值,他们自己的调侃是:企业没有技术故障的时候,大家感受不到运维人员的存在。企业出了问题,大家都觉得真的不需要运维人员了。
但调侃归调侃,反映了企业中技术运维人员面临的尴尬处境。但实际上,运维人员对于一个企业的运维保障确实很重要。
雷锋。com在招聘网站上查询了运维岗位的要求。他们的职责包括服务器部署、配置和维护;互联网部署、升级、迁移、数据备份和恢复;监控服务器、平台运行、系统优化等。可以说他们掌握了企业的后门。一旦运维部门出现危险,公司就可能瘫痪。所以一直以来,运维人员也是有很多访问权限的,但这也成为了运维人员不惜冒险的原因之一。
因此,如何管理运维人员的权限,控制对生产系统的访问,成为一个现实的、可控的问题。明科技曾在接受雷锋网采访时表示:
对于运维人员的审核,对于运维线上的每一项操作,最好做到“作业前批准”、“作业中记录”、“作业后检查”,在数据备份上做到权责分离。
当然这是个好主意,但是对于运维人员本身来说,维护基本的职业道德可能更重要。
雷锋。com雷锋网。com
参考资料:
http://wenshu . court . gov . cn/website/文淑/181107ANFZ0BXSK4/index.html?docId=94 ffc 9 c 9 a4 c 4431 a 9240 ab 74000 C2 f 13
https://36kr.com/p/5200077
https://www.toutiao.com/a6799921320327905795/
https://mp.weixin.qq.com/s/90pIsr6WQT_zcVHKvL6B0A
https://www.leiphone.com/news/202003/pWFpKoRo0A732xru.html
https://www.odaily.com/post/5137087