2012年7月11日本報報道“標準哥”的版面。
2012年9月1日本報再次報道這位“軟件小子”。
“標準哥”其人
“標準哥”是南京大學軟件學院2010級男生劉靖康,這個外號源于今年7月劉靖康的一次“突發(fā)奇想”,他用7000張同學的照片做出南京大學各院系“標準臉”,網(wǎng)友送外號“標準哥”。
揚子晚報曾報道過的南大“標準哥”劉靖康又成為焦點,這位曾通過電話按鍵音成功破解360總裁周鴻祎手機號碼的“軟件小子”,竟然又利用漏洞入侵學校教務(wù)員郵箱搜到期末考試試卷,并將整個入侵過程公布在人人網(wǎng)上。
不過這次,他沒這么幸運,學校很快知道了此事,還喊來了劉爸爸,連劉靖康自己也在人人網(wǎng)上說:“可能要被開除了!蹦洗蟆凹夹g(shù)帝”真的要被開除了嗎?揚子晚報記者昨日展開了追訪。
A “標準哥”又成焦點
發(fā)帖演示如何搜出期末試卷
26日晚,劉靖康在人人網(wǎng)上發(fā)布了一條爆炸消息,如何通過入侵老師郵箱拿到期末考卷和修改成績:“先聲明,這個漏洞是無意中發(fā)現(xiàn)的,我只是驗證了它可行了,但是最后是沒有干壞事的,否則被發(fā)現(xiàn)會被退學的……另外就是目測很多高校的郵箱系統(tǒng)都有這樣的漏洞,歡迎其他學校的同學去實踐和驗證……”
緊接著,這位“技術(shù)帝”一步步詳細解析了入侵軟件學院教務(wù)員信箱的整個過程。“一般來說,學院是相對獨立的組織,我們的試卷都是由任課老師命題然后發(fā)給學院的教務(wù)員來打印,最終送到我們手上。怎么發(fā)呢,我覺得U盤QQ都不太靠譜也不好管理,猜測是郵箱發(fā)的,所以我們的目標就是要登錄到教務(wù)員的郵箱那里,拿到試題。”“登錄的話一般情況下需要密碼……我們要利用的是cookie(cookie指某些網(wǎng)站為了辨別用戶身份、進行session跟蹤而儲存在用戶本地終端上的數(shù)據(jù)——百度百科的解釋),因為服務(wù)器除了密碼以外也認這個東西,而且這個東西我們可以在瀏覽器上偽造!
怎么拿到cookie?劉靖康稱“我們要再一次改思路:通過js讓教務(wù)員把自己的cookie發(fā)回給我們!25號晚9點多,他給教務(wù)員發(fā)了一封郵件,然后在26日收到回信后,迅速給cookie加上些東西變成了代碼,再打開院郵,在chrome的console里輸入登進教務(wù)員的郵箱了!笆O碌氖虑楹棉k了,在郵件搜索‘卷’,就全出來了!睘榱俗C明自己的確做到了,劉靖康還貼出了教務(wù)員郵箱有關(guān)試卷的郵件目錄!疤嗔,有13頁,但是我們年級是3學期,所以下學期才考試哈!眲⒕缚颠保證,“我真沒有打開過里面任何一封郵件和下載過試卷哦!”
成功“搜”出試卷之后,劉靖康還發(fā)表了一段關(guān)于“如何修改成績”的猜想:“不出所料,成績也是任課老師整理后在教務(wù)員那里匯總,然后再到學校教務(wù)處的,例如下面這種;方法很簡單,將標題包含‘成績’的郵件設(shè)置為spam,教務(wù)院就收不到了,然后你去spam那里去找回來,下載表格,修改成績,以同樣方法劫持任課老師的郵箱,重新發(fā)一封給教務(wù)員(大概可行吧,沒試過)。”
這篇日志在人人網(wǎng)發(fā)表后,隨即被瘋狂轉(zhuǎn)載,引發(fā)網(wǎng)友大討論。在一堆“跪拜”之后,有人表示“思路很新穎,就是不夠詳細啊。關(guān)鍵是收到老師的郵件后怎么改cookie!边有人“求研究生入學考試專業(yè)課試題!”
“標準哥”突然道歉刪帖,說學校要開除他
不過到了27日上午8:35分,劉靖康刪除了自己的這篇日志!敖裉煸缟8點接到輔導員電話,該日志被勒令刪除了,抱歉”。他寫道:“本人只是驗證,自己并沒有做壞事,也沒有鼓勵大家做壞事。如果真的想利用這種漏洞做壞事,我自己就一個人偷著樂了,何必發(fā)出來分享呢。反過來講,這種漏洞其實并不那么難發(fā)現(xiàn),我覺得學校可能對自己的系統(tǒng)太自信了,或者知道了這種漏洞也懶得去改,無論是哪一種情況,他們都不能保證說之前一定沒有學生偷偷這么做過!彼硎,這個日志的傳播速度也在本人預期范圍內(nèi)。
隨后劉靖康又在人人網(wǎng)上稱,可能要被退學,爸爸已經(jīng)被學校叫來談話!凹夹g(shù)帝”被開除了,這一爆炸性消息再次激起網(wǎng)友的熱議,一名自稱劉靖康學弟的南大學生還給本報微博發(fā)來私信,“學長昨晚發(fā)現(xiàn)學校郵箱的漏洞破解了教務(wù)員的密碼,學校打電話給他爸爸要開除他……”
不過,很快劉靖康又做出了解釋:“非常抱歉,剛剛關(guān)于退學的狀態(tài),是我父親把老師的意思理解并傳達錯了。”昨天下午,劉靖康再次正式道歉:“在此,為我的沖動、浮躁和做事方式,向擔心我的人、受到不好影響的人,以及因此事受損的軟件學院,表達我的歉意,對不起!而事情的結(jié)果會按照學校正常的處理流程得出。另外我還是希望此事對院郵,其他學校的系統(tǒng)和受日志啟發(fā)去思考和驗證的同學會有積極的結(jié)果!
當事人變“忐忑”,學校暫無處理決定
昨天下午,揚子晚報記者再次撥通了劉靖康電話,之前因為他的“創(chuàng)新”,記者已經(jīng)多次電話和他溝通,不過這次這名傲視群雄的“技術(shù)帝”一反常態(tài),忐忑地表示不希望接受采訪。
記者隨后聯(lián)系了南京大學軟件學院相關(guān)負責人,當記者詢問是否會對劉靖康做出退學處理,她表示暫沒有處理決定,而且處理此事將按照學校正常流程走,并不是軟件學院的單方面決定。
B 網(wǎng)友熱議
是學校漏洞,還是“標準哥”玩過頭
“如果沒有充分考量后果,技術(shù)開發(fā)只能帶來災難”
從盜用7000張照片P成南大各院系“標準臉”,到2秒內(nèi)通過電話按鍵音破解360總裁周鴻祎手機號碼,南大軟件學院劉靖康名噪一時,他的才能還博得李開復的青睞,被邀請加入“創(chuàng)新工場”。不過此次入侵郵箱看考卷事件在網(wǎng)上爭議頗多。甚至引發(fā)了一番關(guān)于“技術(shù)及人文、責任”的討論。
有網(wǎng)友認為,劉靖康發(fā)現(xiàn)漏洞不僅沒有聯(lián)系學校有關(guān)人員,反而在人人網(wǎng)上廣而告之,“其實是無知帶來的蝴蝶效應式的連鎖反應!薄霸诩夹g(shù)開發(fā)之前如果沒有對可能后果的足夠充分,足夠理性的考量,技術(shù)就只能帶來災難,或者更糟糕的,帶來無法預知的甚至人類無法理解的問題。”“這就像故事皇帝的新裝,明明是學校的郵件系統(tǒng)有漏洞,被學生發(fā)現(xiàn)破解后,應該是馬上想辦法把這個漏洞補上,而不是先要懲罰學生!辈簧倬W(wǎng)友為他打抱不平,“呃……劉靖康同學只是發(fā)現(xiàn)而已,又沒黑它,不能拿學生開刀吧……”
也有網(wǎng)友質(zhì)疑其學校的學習氛圍,“軟件專業(yè)的學生,不是應該給他自由發(fā)揮的空間嗎,我認為這位熱愛互聯(lián)網(wǎng),執(zhí)著于自己的專業(yè),并用所學知識發(fā)現(xiàn)問題,這本身是值得鼓勵的,但是發(fā)布到網(wǎng)上,教大家如何去破解,有點過分了!
C 記者追訪
多數(shù)高校真的用郵箱傳試卷
是不是真的如劉靖康所說,學校考卷通過郵箱傳送呢?記者昨日調(diào)查中證實了劉靖康的說法,在南京審計學院、南京財經(jīng)大學等大部分高校,出卷老師從郵箱給教務(wù)老師發(fā)送試卷。一所高校相關(guān)人士告訴記者,在本校,歷年的期中、期末的試卷都是由各院系教研室的專門老師負責出題的,確定題目審核無誤之后,就直接發(fā)至教務(wù)處存檔。然后由學校教務(wù)處聯(lián)系印刷廠組織統(tǒng)一印刷。比如語文、英語、思修等通識課程!皩W校為試卷傳送設(shè)置了專門的郵箱,只有專門負責此事的老師知道密碼!
兩種情況下郵箱密碼可破解
什么情況下郵箱密碼可被破解?記者昨天請教一名計算機專業(yè)人士!巴ㄟ^發(fā)送郵件,回復郵件,套取cookie,從理論上說是無法實現(xiàn)的!边@名專業(yè)人士認為,劉靖康可能隱瞞了一些操作步驟。他分析,兩種情況下,郵箱密碼可以被破解的。一種是操作者電腦系統(tǒng)有漏洞,學生和老師都使用校園局域網(wǎng),學生找到漏洞后,可以遠程破解老師電腦windows密碼,如果這名老師郵箱是“直接登錄狀態(tài)”,就可直接登錄。如果設(shè)有密碼,可以通過植入木馬控制郵箱密碼,實現(xiàn)登錄。另一種情況是郵件系統(tǒng)漏洞,也就是服務(wù)器漏洞,也可以通過一些手段把郵箱中的數(shù)據(jù)提取出來。
■新聞鏈接
他加分進南大 曾三門課交“白卷”
讓打火機的光在墻上畫畫、簡易3D轉(zhuǎn)換技術(shù),攝像頭識別人體動作……南京大學軟件學院2010級男生劉靖康稀奇古怪的創(chuàng)意有不少,他本人也有些特立獨行。
“電腦”加20分進南大
劉靖康的父親是廣東一家毛絨玩具廠負責人,母親曾在銀行工作。劉靖康從小學五六年級開始就自己琢磨著制作網(wǎng)頁、網(wǎng)站,他的發(fā)明在常人眼里“稀奇古怪”。高中時,他參加了當時的全國中小學生電腦制作大賽,根據(jù)谷歌地圖可以幫助用戶看到世界各地街景的功能,他設(shè)計了一個“外掛”:用攝像頭識別用戶腿部前進、后退、轉(zhuǎn)彎的動作,根據(jù)這些動作在電腦中顯示相應“走”到的地方的街景。劉靖康因為這個項目獲獎,在高考時獲得了20分的加分,順利進入南大學習。
期末三門交“白卷”
“我這個學期的期末考試有三門課交了白卷,準備開學來了再補考吧。”在接受采訪時,劉靖康語出驚人,自己大部分時間都花在了感興趣的“新玩意”設(shè)計上,那才是“主業(yè)”。上課的時間,劉靖康就琢磨自己的發(fā)明創(chuàng)造:用光感應的原理設(shè)計一面可以用打火機、手電筒的光“畫畫”的墻、“山寨版”3D技術(shù),人人網(wǎng)推出“暗戀”功能時,他還自己設(shè)計了一個頁面。
他還寫了一個可供蘋果、安卓校園手機用戶進行二手物品交易的軟件。隨后,他又花了一個月的時間完成了在視頻中插入植入式廣告的技術(shù)。在父親的鼓勵下,小劉期待將自己的作品投入到商業(yè)應用中,用技術(shù)進行自主創(chuàng)業(yè),吸引了多家公司與他洽談合作業(yè)務(wù)。(記者 蔡蘊琦 張琳)