2012年7月11日本報報道“標准哥”的版面。
2012年9月1日本報再次報道這位“軟件小子”。
“標准哥”其人
“標准哥”是南京大學軟件學院2010級男生劉靖康,這個外號源於今年7月劉靖康的一次“突發奇想”,他用7000張同學的照片做出南京大學各院系“標准臉”,網友送外號“標准哥”。
揚子晚報曾報道過的南大“標准哥”劉靖康又成為焦點,這位曾通過電話按鍵音成功破解360總裁周鴻?手機號碼的“軟件小子”,竟然又利用漏洞入侵學校教務員郵箱搜到期末考試試卷,並將整個入侵過程公布在人人網上。
不過這次,他沒這麼幸運,學校很快知道了此事,還喊來了劉爸爸,連劉靖康自己也在人人網上說:“可能要被開除了。”南大“技術帝”真的要被開除了嗎?揚子晚報記者昨日展開了追訪。
A “標准哥”又成焦點
發帖演示如何搜出期末試卷
26日晚,劉靖康在人人網上發布了一條爆炸消息,如何通過入侵老師郵箱拿到期末考卷和修改成績:“先聲明,這個漏洞是無意中發現的,我只是驗証了它可行了,但是最后是沒有干壞事的,否則被發現會被退學的……另外就是目測很多高校的郵箱系統都有這樣的漏洞,歡迎其他學校的同學去實踐和驗証……”
緊接著,這位“技術帝”一步步詳細解析了入侵軟件學院教務員信箱的整個過程。“一般來說,學院是相對獨立的組織,我們的試卷都是由任課老師命題然后發給學院的教務員來打印,最終送到我們手上。怎麼發呢,我覺得U盤QQ都不太靠譜也不好管理,猜測是郵箱發的,所以我們的目標就是要登錄到教務員的郵箱那裡,拿到試題。”“登錄的話一般情況下需要密碼……我們要利用的是cookie(cookie指某些網站為了辨別用戶身份、進行session跟蹤而儲存在用戶本地終端上的數據——百度百科的解釋),因為服務器除了密碼以外也認這個東西,而且這個東西我們可以在瀏覽器上偽造。”
怎麼拿到cookie?劉靖康稱“我們要再一次改思路:通過js讓教務員把自己的cookie發回給我們。”25號晚9點多,他給教務員發了一封郵件,然后在26日收到回信后,迅速給cookie加上些東西變成了代碼,再打開院郵,在chrome的console裡輸入登進教務員的郵箱了。“剩下的事情好辦了,在郵件搜索‘卷’,就全出來了。”為了証明自己的確做到了,劉靖康還貼出了教務員郵箱有關試卷的郵件目錄。“太多了,有13頁,但是我們年級是3學期,所以下學期才考試哈。”劉靖康還保証,“我真沒有打開過裡面任何一封郵件和下載過試卷哦!”
成功“搜”出試卷之后,劉靖康還發表了一段關於“如何修改成績”的猜想:“不出所料,成績也是任課老師整理后在教務員那裡匯總,然后再到學校教務處的,例如下面這種﹔方法很簡單,將標題包含‘成績’的郵件設置為spam,教務院就收不到了,然后你去spam那裡去找回來,下載表格,修改成績,以同樣方法劫持任課老師的郵箱,重新發一封給教務員(大概可行吧,沒試過)。”
這篇日志在人人網發表后,隨即被瘋狂轉載,引發網友大討論。在一堆“跪拜”之后,有人表示“思路很新穎,就是不夠詳細啊。關鍵是收到老師的郵件后怎麼改cookie。”還有人“求研究生入學考試專業課試題!”
“標准哥”突然道歉刪帖,說學校要開除他
不過到了27日上午8:35分,劉靖康刪除了自己的這篇日志。“今天早上8點接到輔導員電話,該日志被勒令刪除了,抱歉”。他寫道:“本人只是驗証,自己並沒有做壞事,也沒有鼓勵大家做壞事。如果真的想利用這種漏洞做壞事,我自己就一個人偷著樂了,何必發出來分享呢。反過來講,這種漏洞其實並不那麼難發現,我覺得學校可能對自己的系統太自信了,或者知道了這種漏洞也懶得去改,無論是哪一種情況,他們都不能保証說之前一定沒有學生偷偷這麼做過。”他表示,這個日志的傳播速度也在本人預期范圍內。
隨后劉靖康又在人人網上稱,可能要被退學,爸爸已經被學校叫來談話。“技術帝”被開除了,這一爆炸性消息再次激起網友的熱議,一名自稱劉靖康學弟的南大學生還給本報微博發來私信,“學長昨晚發現學校郵箱的漏洞破解了教務員的密碼,學校打電話給他爸爸要開除他……”
不過,很快劉靖康又做出了解釋:“非常抱歉,剛剛關於退學的狀態,是我父親把老師的意思理解並傳達錯了。”昨天下午,劉靖康再次正式道歉:“在此,為我的沖動、浮躁和做事方式,向擔心我的人、受到不好影響的人,以及因此事受損的軟件學院,表達我的歉意,對不起!而事情的結果會按照學校正常的處理流程得出。另外我還是希望此事對院郵,其他學校的系統和受日志啟發去思考和驗証的同學會有積極的結果。”
當事人變“忐忑”,學校暫無處理決定
昨天下午,揚子晚報記者再次撥通了劉靖康電話,之前因為他的“創新”,記者已經多次電話和他溝通,不過這次這名傲視群雄的“技術帝”一反常態,忐忑地表示不希望接受採訪。
記者隨后聯系了南京大學軟件學院相關負責人,當記者詢問是否會對劉靖康做出退學處理,她表示暫沒有處理決定,而且處理此事將按照學校正常流程走,並不是軟件學院的單方面決定。
B 網友熱議
是學校漏洞,還是“標准哥”玩過頭
“如果沒有充分考量后果,技術開發隻能帶來災難”
從盜用7000張照片P成南大各院系“標准臉”,到2秒內通過電話按鍵音破解360總裁周鴻?手機號碼,南大軟件學院劉靖康名噪一時,他的才能還博得李開復的青睞,被邀請加入“創新工場”。不過此次入侵郵箱看考卷事件在網上爭議頗多。甚至引發了一番關於“技術及人文、責任”的討論。
有網友認為,劉靖康發現漏洞不僅沒有聯系學校有關人員,反而在人人網上廣而告之,“其實是無知帶來的蝴蝶效應式的連鎖反應。”“在技術開發之前如果沒有對可能后果的足夠充分,足夠理性的考量,技術就隻能帶來災難,或者更糟糕的,帶來無法預知的甚至人類無法理解的問題。”“這就像故事皇帝的新裝,明明是學校的郵件系統有漏洞,被學生發現破解后,應該是馬上想辦法把這個漏洞補上,而不是先要懲罰學生。”不少網友為他打抱不平,“呃……劉靖康同學只是發現而已,又沒黑它,不能拿學生開刀吧……”
也有網友質疑其學校的學習氛圍,“軟件專業的學生,不是應該給他自由發揮的空間嗎,我認為這位熱愛互聯網,執著於自己的專業,並用所學知識發現問題,這本身是值得鼓勵的,但是發布到網上,教大家如何去破解,有點過分了。”
C 記者追訪
多數高校真的用郵箱傳試卷
是不是真的如劉靖康所說,學校考卷通過郵箱傳送呢?記者昨日調查中証實了劉靖康的說法,在南京審計學院、南京財經大學等大部分高校,出卷老師從郵箱給教務老師發送試卷。一所高校相關人士告訴記者,在本校,歷年的期中、期末的試卷都是由各院系教研室的專門老師負責出題的,確定題目審核無誤之后,就直接發至教務處存檔。然后由學校教務處聯系印刷廠組織統一印刷。比如語文、英語、思修等通識課程。“學校為試卷傳送設置了專門的郵箱,隻有專門負責此事的老師知道密碼。”
兩種情況下郵箱密碼可破解
什麼情況下郵箱密碼可被破解?記者昨天請教一名計算機專業人士。“通過發送郵件,回復郵件,套取cookie,從理論上說是無法實現的。”這名專業人士認為,劉靖康可能隱瞞了一些操作步驟。他分析,兩種情況下,郵箱密碼可以被破解的。一種是操作者電腦系統有漏洞,學生和老師都使用校園局域網,學生找到漏洞后,可以遠程破解老師電腦windows密碼,如果這名老師郵箱是“直接登錄狀態”,就可直接登錄。如果設有密碼,可以通過植入木馬控制郵箱密碼,實現登錄。另一種情況是郵件系統漏洞,也就是服務器漏洞,也可以通過一些手段把郵箱中的數據提取出來。
■新聞鏈接
他加分進南大 曾三門課交“白卷”
讓打火機的光在牆上畫畫、簡易3D轉換技術,攝像頭識別人體動作……南京大學軟件學院2010級男生劉靖康稀奇古怪的創意有不少,他本人也有些特立獨行。
“電腦”加20分進南大
劉靖康的父親是廣東一家毛絨玩具廠負責人,母親曾在銀行工作。劉靖康從小學五六年級開始就自己琢磨著制作網頁、網站,他的發明在常人眼裡“稀奇古怪”。高中時,他參加了當時的全國中小學生電腦制作大賽,根據谷歌地圖可以幫助用戶看到世界各地街景的功能,他設計了一個“外挂”:用攝像頭識別用戶腿部前進、后退、轉彎的動作,根據這些動作在電腦中顯示相應“走”到的地方的街景。劉靖康因為這個項目獲獎,在高考時獲得了20分的加分,順利進入南大學習。
期末三門交“白卷”
“我這個學期的期末考試有三門課交了白卷,准備開學來了再補考吧。”在接受採訪時,劉靖康語出驚人,自己大部分時間都花在了感興趣的“新玩意”設計上,那才是“主業”。上課的時間,劉靖康就琢磨自己的發明創造:用光感應的原理設計一面可以用打火機、手電筒的光“畫畫”的牆、“山寨版”3D技術,人人網推出“暗戀”功能時,他還自己設計了一個頁面。
他還寫了一個可供蘋果、安卓校園手機用戶進行二手物品交易的軟件。隨后,他又花了一個月的時間完成了在視頻中插入植入式廣告的技術。在父親的鼓勵下,小劉期待將自己的作品投入到商業應用中,用技術進行自主創業,吸引了多家公司與他洽談合作業務。(記者 蔡蘊琦 張琳)