窃取IC卡充值软件系统 敲响智能卡安全二次“警钟”

    2009年M1卡被破解后，在智能卡产业界加强安全防范的呼吁言尤在耳，最近，一则公交IC卡充值程序被窃取的消息又一次为智能卡产业界敲响了警钟。

    青岛新闻网报道：某男子破解公交IC卡充值程序 换琴岛通套现14万被抓获。据悉，今年初，在青岛市的某犯罪嫌疑人利用不法手段，窃取了青岛某网点公交IC卡充值程序，多次给亲属乘车卡充值。3月，犯罪嫌疑人得知自3月31日起青岛市可以以旧IC卡到“琴岛通”卡营业部退、换“琴岛通”卡的消息后，与他人合伙预谋大量收集IC卡通过虚假充值的方式骗取退款。先后组织数人到青岛某网点“琴岛通”卡营业部进行退卡套现，疯狂作案800余起，案值达14万余元。近日，青岛警方对800多张IC卡进行调查后，将6名犯罪嫌疑人组成的团伙一举捣毁，目前此案正在进一步审理中。

    据笔者了解，这是我国推广使用IC卡数年来，第二次通过侵犯IC卡充值程序而实施犯罪的行为，上一次类似情况出现在南方某大学，该学校某小卖部利用废卡旧卡在自有充值机上非法充值，套现数十万，后被警方查获。近年来舆论界讨论智能卡应用的安全问题时多集中于智能卡芯片技术的本身，而很少关注与智能卡应用密切相关的配套软件系统。这一次国内针对IC卡充值程序的犯罪行为说明，与IC卡应用密切相关的集成系统,也是需要严加防范之处。

    这次青岛的公交IC卡充值系统被非法窃取，警方并没有透露犯罪分子窃取IC卡充值程序的具体方法，因此该案件存在着以下几个疑点：

    第一，犯罪分子是如何窃取公交IC卡充值程序的，是犯罪分子通过入室拷贝盗窃的IC卡充值程序，还是其通过黑客手段入侵公交公司充值管理网络而实施的非法盗窃，或者是通过购买行为从第三方或与公交部门有关人员手中获得此充值程序。

    第二，该案发生后，公交部门或智能卡系统供应商在除去使用报警手段的情况下，有没有从管理或技术上采用其他的安全防范措施。

    第三，除去警方大力侦破案件的努力之外，有没有引起相关产业界与国家安全管理机构或部门的注意。

    上面的几个疑点也为我们加强相关的防范提供了参考。

首先，如果犯罪分子通过入室拷贝盗窃的方法获取充值程序，这样防范就比较简单，这就提醒公交部门要加强各公交IC卡充值点的安全保卫措施，比如加强24小时监控，增加保安人员，加固充值点门窗，严格管理充值点人员出入与考勤等。如果犯罪分子通过黑客手段入侵公交充值网络就比较麻烦，这就需要公交部门在网络安全方面加强管理，增加网络防火墙程序，加强必要的安全系统安装，配备专门技术安全防护人员，定期对网络系统进行检查和评估,争取从技术上堵住漏洞.如果犯罪分子通过第三方或与公交部门有关人员手中获取充值程序，那就要相关方在内部人员管理与教育方面下些工夫，以避免类似情况再次发生。

    其次，如果案件发生后，公交部门仅仅做了报警处理，而没有采取比如及时通知相关智能卡系统供应商，反思内部或相关人员的管理问题等，就说明重视程度还不够，而有关智能卡系统供应商如果仅仅采取观望态度，而未对本单位所设计程序系统做出深刻反思，或采取相应的升级或其它安全保护措施，也说明重视的程度不够，需要好好反思。

    最后，在警方大力破案的情况下，智能卡产业界，IT界及地方安全管理部门，国家安全管理单位也应该引起重视，并提高警惕。

    目前我国的信息化已经进入重要而关键的阶段，在这个时候信息化的安全问题就显的特别重要，毕竟在生理需求满足的情况下，安全是人们的最重大需要。如果不能有效的在信息化领域加强安全，将极大挫伤民众支持国家信息化的热情，影响国家信息化战略的实现。当今，智能卡已经在社会上实现广泛的使用，其所涉及的系统也达千千万万，如果在该领域出现让人不能放心的安全漏洞，从小的方面将将影响人们使用智能卡的信心，从大的方面讲将影响国家信息化战略目标的实现。因此笔者认为，有关智能卡应用系统的安全问题，有必要引起智能卡产业界，相关IT界及国家相关管理部门的注意。争取大家共同努力将可能发生的危险与威胁控制在最小范围之内。