深圳福彩案暴露公証環節缺乏對技術細節監管

2009-07-30 三聯生活周刊

深圳彩票案的安全與技術反思

3305萬元，無人兌獎，黑客入侵，警方介入……深圳福彩案更像是一波三折、充滿戲劇性的電影。6月9日，雙色球第09066期開獎，全國共開出一等獎9注，有5注都落在了深圳。然而面對這樣一份大獎，兌獎人卻遲遲沒有出現。

7月8日，深圳警方發布消息，這則巨獎無人認領的事件是一起騙局：深圳電腦工程師程偉利用在福彩中心實施其他技術合作項目的機會，通過木馬程序，對彩票數據進行了惡意篡改。

記者◎李翊 插圖◎謝馭飛


作弊


6月12日，福彩雙色球第09066期開獎3天後，程偉因為涉嫌篡改深圳福彩中心數據系統偽造中獎號碼被羅湖區公安分局抓獲。

這是一個有一定技術含量但手段並不高明的犯罪。據羅湖區公安分局桂園派出所對本刊記者介紹，程偉先是編寫了一個可以自動運行的木馬軟件，然後利用所在公司與福彩中心合作的機會，進入福彩中心機房，植入木馬程序。搖獎結果出來後，這個程序會自動將他所購買的彩票修改成一等獎的號碼。

深圳警方確認程偉先持有一張彩票，據深圳市福利彩票中心的信息系統顯示，這是一張機選5倍的單式票，投注額度僅為10元，由位于福田區益田路的投注站售出。但他所購得的這張彩票實際與最終中獎的號碼並不一致，也就是說，他事先並不知道當期中獎號碼，也沒有能力控制遠在北京的搖號系統。

程偉是在搖獎號碼開出後，第一時間修改了深圳福彩數據庫中的數據，最後在實際只中4注的基礎上增加了5注，而這5注全部在深圳。由此分析，程偉最初設計的作案計劃分為三步：一是在開獎前的銷售時間內購買一張彩票；二是利用與深圳福彩合作的機會，生成了根本就不存在的5注一等獎，並將中獎彩票的編號以及投注地點等信息植入數據庫內；三是程偉利用手中實際未中獎的彩票，修改成中獎的號碼，實現兌獎。根據警方講述，程偉只成功實施了前兩步，修改彩票至開獎時尚未完成。

曾經研發過彩票系統技術的博士楊光(化名)告訴本刊記者，從程偉的所有行為看，他並不熟悉深圳福彩中心所有技術環節，自以為發現了可以被利用而不被發現的系統漏洞，是一個並不高明的“賭徒”。

根據深圳市福彩中心主任王簡對本刊記者解釋，每期雙色球銷售結束後，福彩中心會馬上把電腦里銷售系統備份在光盤和硬盤中，這是最原始的銷售系統記錄，並會把這份原始記錄輸入到北京的中彩中心。程偉破壞的是電腦里的銷售系統，原始銷售系統記錄沒有被破壞。

6月9日晚，當福彩中心值班人員收到中彩中心中獎號碼傳真後，就在電腦里進行數據檢索，發現電腦檢索出的中獎數據時有異常──電腦系統提示程序和格式異常，這是福彩中心電腦系統的一種設置。但當時值班人員以為是系統出現故障，並沒想到會有人入侵銷售系統。為不耽誤中彩中心公布中獎號碼，值班人員就把電腦里檢索出的數據上報給中彩中心。

“數據上報後，值班工作人員又重新檢索原始的數據文件，發現原始的數據文件沒有中獎結果。值班工作人員又會同中彩中心核對中彩中心持有的深圳原始銷售數據檢索，結果仍一樣。據此判斷，福彩中心懷疑有人非法入侵深圳福彩中心銷售系統，篡改該張彩票數據記錄，人為制造一等獎。”

6月10日凌晨2時左右，福彩中心工作人員報案，警方立即成立專案組。起初，警方懷疑這是一起合謀或內外勾結案件，因為如果要篡改數據，必須進入福彩中心機房，而按照福彩中心的規定，外部人員未經允許不能進入機房。據此，警方認為，外部人員作案的可能性不大。隨後，警方擴大調查範圍，對進入福彩中心機房的每一個人仔細調查，程偉被鎖定為本案唯一犯罪嫌疑人。

有限的資料表明，程偉今年31歲，軟件工程師，河北省邢台市人，系深圳博眾信息技術有限公司的軟件工程師。博眾是一家專業從事彩票行業IT技術研發、應用及運營服務的公司，除了為浙江、黑龍江、深圳三地的福利彩票服務，其系統在亞洲、非洲、南美和東歐也有應用。

博眾的前身是2000年1月成立的哈爾濱市吾仁電腦工程公司，承擔黑龍江省福彩中心信息技術支持和系統開發任務。2002年3月，深圳市博眾信息技術有限公司正式成立，並收購吾仁的全部產權。2006年3月，深圳博眾被眾彩科技耗資5588萬元收購了51%的股權，成為這家香港上市公司旗下的一員。

博眾的網站信息表明與深圳福彩的合作始于7年前，這個網站還展示了一些相關業績，自從與深圳福彩合作以來，投注機的數量從2002年的185台，增長到2007年的1032台，年銷售額也從2002年的1.6億元，達到2007年的12.2億元。

對于這種系統的升級改造，博眾也有詳細介紹：“彩票全熱線系統是指在電腦彩票的銷售過程中，投注終端機與數據中心始終處于聯網狀態，當彩民投注時，每張彩票的投注數據通過通訊線路實時地傳送到數據中心的主機設備商，由數據中心確認有效並存儲成功後再反饋到投注終端機，然後打印出彩票的電腦彩票交易系統。而彩票准熱線系統是指在電腦彩票的銷售過程中，投注機與數據中心每天定時聯網，當彩民投注時，每張彩票的投注數據先存在投注終端機上，然後每天按時上傳給數據中心的電腦彩票交易系統。”顯然，從安全性來說，全熱線銷售系統更高。

王簡告訴本刊記者，案發前深圳福彩中心想上一個數字終端項目，博眾是項目合作方，而程偉作為博眾公司軟件開發人員，在這個項目中負責數字終端的一些調試及軟件的研發。


公証


“從技術的角度看，這個案子說明深圳福彩中心還是擁有相當完善的系統完整性保護和審計手段。”廣州一位業內從事網絡安全的軟件工程師告訴本刊記者，“彩票系統實際就是一個數據庫，里面有全部的銷售數據，可以在最短時間內搜索出各等級獎項各中了多少注。之所以要分步式，一是便于分賬，因為各省份是獨立銷售的，中央與地方網絡連接處會有接口。不過，前端數據庫只是簡單數據提交，數據是不能攻擊數據庫的，所以通過數據交換攻擊核心數據庫的可能性為零。第二是各地出于安全考慮，會備份銷售數據，並設置不可重複的校驗碼。比如每買一注彩票，相當于在數據庫中占用了一個位置，會有一個校驗碼，開獎後，當有人利用‘後門’修改了自己的數據，校驗碼就會發生改變。彩票中心技術人員發現校驗碼不對，能迅速鎖定被修改的那一注號碼。這也是深圳福彩中心能迅速發現漏洞的原因。 ”

這位工程師說，系統有很多代碼，程序是人寫的，總會存在漏洞，也就是所謂的“後門”。一個系統漏洞從發現到被消滅可能經過幾種途徑：一是最正常情況下被工作人員發現，向領導匯報，商量如何解決。二是漏洞存在，但沒人發現，因為不會影響系統，也沒人修改。三是有人發現了漏洞，沒有上報，而是琢磨著怎麼利用這個漏洞。“但系統是完整的，一旦有人利用漏洞牟利，系統就會不平衡。從不平衡的地方順藤摸瓜，就能找出問題。”

王簡告訴本刊記者：“這個技術系統本身是安全的，主要存在什麼問題呢？我們對上級監管部門和主管部門規範性制度的落實有疏忽。比方說，這個犯罪嫌疑人原則上是不能接觸我們系統的，如要進行服務和合作，也要有登記，有人監督甚至監控。此外，按規定，電腦出現異常，值班人員應該停止上報並進行故障檢查，直到故障排除，但值班人員沒有這樣做，違反了操作規定。”

楊光博士認為，在程序設計上，彩票技術管理員擁有的資源提供了作弊的可能性，他說：“例如，終端打印機作弊要有原始紙質票據，知道票據上驗証碼的算法。這樣，搖獎結束後，只要更改票據上的時間，修改驗証碼，重新打印出當期中獎號即可。”也就是說，如果修改數據庫的行為沒有被發現，如果程偉擁有相關設備資源使用權，他完全可以偽造出一張與數據庫系統相對應的合法中獎彩票。

但這並不表示，福彩中心的技術安全無法保障，因為“信息安全手段是能從源頭上規避風險的，比如利用數字簽名技術引入第三方監督的信息安全手段，可以對系統進行有效的監督管理，做到過程的公開性和可驗証性。數據庫做完後，經過第三方監督和變換，相當于對一張用過的票據蓋章。蓋過章，別人就無法對已經完成開獎准備的數據庫進行篡改和避免大概率猜中中獎號碼。整個過程，應該引入一個脫離相關利益雙方的技術監督公証。”楊光說。

“一套安全穩定的技術系統需要保証其全部數據及細節的安全。但是目前，我國在公信力推行中積極努力做到的僅僅是讓另外一個公証機構對搖獎的過程加以公証，而對于最為核心的內容，比如技術系統、搖獎設備、投注設備等安全性卻一直缺乏國家統一標准和第三方專業機構的檢測及認証，因此，一旦有問題發生，各級彩票中心自身就無法証明其數據不被修改的安全性。而且，我國各級彩票中心的做法目前也存在差異，從統一管理的角度看還需要加強。”楊光和王薛紅不約而同地提及這樣一個話題。


監管


因為此案引發的還有對整個彩票行業的猜疑。根據深圳福彩中心的解釋可以得知，現在的開獎程序是這樣的：(預留45分鐘)各地匯總數據(備份)上傳──國家福彩中心匯總(備份)──搖獎──中獎號碼傳真各地福彩中心──各地福彩中心生成中獎檢索結果、再次上報──國家福彩中心發布開獎公告。

而規定的雙色球銷售、開獎、兌獎程序是：第一步：通過全國各福彩投注站網點電腦進行銷售，銷售號碼、注數、期號、投注金額等數據即時通過網絡同步傳送至市、省福彩中心機房匯總。第二步：開獎前45分鐘截止銷售，現在各地基本是開獎當晚20時整截止銷售，然後先是省福彩中心進行匯總，然後刻錄光盤，並將匯總後的數據向國家福彩中心通過網絡發送。第三步：國家福彩在開獎前，機房抓緊時間匯總各省(直轄市、自治區、單列市)開獎數據。由于怕有時網絡塞車，所以從停售到開獎要預留45分鐘時間匯總銷售數據。第四步：開獎前開獎現場准備，與國家福彩中心匯總全國數據基本同步進行。第五步：在兩名公証處公証員現場監督下，在兩名中國教育電視台主持人主持下，搖獎，開出中獎號碼。第六步：封存搖獎機，計獎工作同步進行。國家福彩中心通過機房匯總的銷售數據進行電腦檢索，搜索一至六等獎各中了多少注。

兩者比較後，這個認定漏洞十分明顯：北京的中國福彩中心有備份的光盤數據，程偉無法修改傳給北京的光盤數據，所以雖然深圳上報的中獎人數從0變成了5，導致全國一等獎中獎數據從4變成9，但是北京不可能宣布中獎數據為9──除非北京每次都不檢索中獎人數。

另外，北京大學中國公益事業彩票研究所執行所長王薛紅表示，無論是中央還是地方的開獎節目，根據國家廣電總局規定都必需要“延時直播”。中國教育電視台福彩項目組負責人的解釋是，福彩節目延時播出是電視台處理公眾參與節目一種常用的技術手段。不過，這中間到底有多少秒的延遲沒有統計。

但是，在高科技越來越發達的今天，公証人員只能對可見的程序進行公証，對不可見的技術細節的公証是缺失的。

王薛紅舉了個例子，怎麼認定搖獎機的隨機性？“房間的濕度、溫度，甚至輕微的電壓變化，搖獎球出現0.03毫克的差距，包括搖獎機使用一段時間後的耗損等等因素都會改變搖獎機的隨機性，出現不隨機。在國外，針對搖獎機有7項標准認定，但在我國，既沒有國家標准也沒有行業標准。”

王薛紅博士是我國第一位畢業于美國內華達大學(維奴)商學院博彩管理專業，並回國專門從事博彩問題研究的專家。她曾實習工作于美國Nugget賭場，英國國家彩票委員會，參與籌建了我國第一家專業博彩研究機構，2002年在北京大學成立了中國公益彩票事業研究所。從2001年到2005年，她組織北大彩研所的數學專家進行搖獎機隨機性標准的研發工作，研究制定出9項檢測標准，其安全性遠遠高于歐洲和美國的7項標准。“搖獎機的形式有很多種，但原理是一樣的。所謂的9項標准就是用9種不同的方法來檢測搖獎器的隨機性。2005年，北大彩研所用這套標准對美國、英國、日本、中國香港和內地的搖獎機進行過檢測。但是，結果被封存，標准也沒有被使用。“我國政府有關部門對9項搖獎機檢測標准的推行和使用所做出的答複是國家法律未賦予此項權力，所以還不能推行。 ”

如果比較賭場、賽馬和彩票，他們的賠率是不同的。“對于彩民而言，彩票的中獎概率是極低的。比如，福彩雙色球的中頭獎概率是一千七百多萬分之一，體彩超級大樂透是兩千一百多萬分之一。我國政府合法發行福利和體育彩票，目的是為了籌集公益金，所以發行機構一直鼓勵的是多人少買。”

王薛紅告訴本刊記者，這個行業有幾個關鍵環節：一、產品設計，因為游戲規則由莊家定，所以產品設計肯定是要保証莊家只賺不賠。二、銷售過程，主要指系統安全。三、技術系統即搖獎機，搖獎機出結果決定勝負。“這三個環節都可能存在風險，產品設計不夠科學，系統不安全，搖獎機不隨機，這三個環節都是莊家不能完全操控的，那麼莊家為了保証只賺不賠，只能從一個角度去做，那就是最後的檢索──銷售截止後到開獎前有45分鐘的時間。而此時搖獎機如果不隨機，那麼結果會怎樣？”“天天都坐在火山口上”是彩票中心的人對王薛紅常說的一句話。

國際博彩業領域的第一起高科技犯罪在本世紀初發生在英國。作弊工具是在市場上出現不久的帶攝像頭的手機。“一個賭客拿著手機攝像頭對著輪盤賭的轉盤，樓上房間里的同伙用攝像機中錄取的轉盤數據用計算機進行分析，然後下注。那起案件後，有些賭場不再允許賭客帶手機進入，有的賭場雖然允許帶手機，但是不能放在賭桌附近。”王薛紅說，人類社會中，利用技術的發展和進步所帶來的高科技犯罪會永遠存在。但這並不表示彩票機構就不安全。有問題可以改進，彩票機構需要做的，就是証明你是安全，公正，透明。

2009年7月1日，在中國彩票行業發展了22年、已累計達5000億元規模之後，首部《彩票管理條例》正式實施。王薛紅參與了條例的專家修訂工作。她認為條例的出台和實施可以推動我國彩票業的四個現代化：“一是確保彩票業發展的法治化、規範化。二是推動民主化進程。比如條例規定新的彩種在批准之前有聽証會制度，彩民、社會公眾都可以參與。彩票的一些必要數據和信息，社會公眾有知情權，有公告制度，信息公開制度。三是推動行業發展的科學化。條例確保財政會同民政和體育總局依據國家標准化法，即必需由專家負責起草和修訂國家或者行業的標准。四是確保我國彩票業發展的市場化，這也是實現彩票公信力的一種最有力的保障。”

條例實施以來，我國法律確定的彩票發行體制是“財政部監督管理我國的彩票市場，而民政和體育兩個行政部門管理兩大彩票發行機構，這其中監管與管理的責權利即分工合作問題如何解決是條例實施細則中必需要加以明確的，否則今後扯皮不清，或互相踢球的事兒十有八九容易產生，不利于我國彩票市場的健康發展。“彩票制作成本很低，不像一般商品，一般而言有一個質量標准，彩票出售的應該說是一種信用。只有合理的監管模式才能達到使公眾信服的信用水平。”

王薛紅告訴本刊記者，在條例實施後，她會繼續努力推動國家或行業各項技術標准的出台和應用，從而依法推動我國彩票業的科學化發展和彩票公信力的建設。■



(內容由新浪北京提供)