游人小说网 > 我把废案写成爆款 > 第97章 第三方进场,幽灵现形

第97章 第三方进场,幽灵现形

推荐阅读:无上仙国 修罗武神 逆鳞 超品相师 真武世界 我的1979 大魏宫廷 天启之门 流氓艳遇记 九仙图

清晨九点零五,第三方安全审计团队的车队驶入总部园区。两辆商务车、一辆设备车,车身没有任何夸张标识,只贴着一张极普通的访客通行证。越是普通,越让人不安,因为普通意味着它不需要靠声势吓人,它靠专业与流程就能把你剥开。

领队叫许衡,四十出头,短发,眼神像长期盯日志的人那样干净。他第一句话不是寒暄,而是确认边界:

“我们只做两件事:事实复核与控制评估。任何人不得以口头指令改变我们的取证范围,任何取证过程必须可复现、可追溯。请你们提供:系统清单、接口清单、权限矩阵、证据编号索引。我们会从编号入手。”

这句话像一把钥匙插进周砚心里。第三方不是来听故事的,是来用编号复核故事的。只要你有编号,你就有“公共语言”。影子机制最怕公共语言,它只擅长私语、暗示、临时。

周砚把早已准备好的材料交给许衡:系统资产清单、跨系统接口清单、令牌发放服务冻结记录、四清行动执行台账、证据包索引(不含敏感原件,只给哈希与编号)。许衡翻了两页就停在一处,抬头问:

“你们把令牌发放服务冻结了,这是正确的。但我想知道:冻结前,这个服务的‘授信链’是什么?谁能发令牌?谁能修改授信规则?谁能创建‘本地管理员’会话?”

顾明接话:“我们掌握的证据显示,sec.exec.gateway是令牌发放入口。它的授信规则过去由安全运维组维护,但实际权限曾被风险处置办公室工作台协同。我们正在做最小权限重构。”

许衡点头:“我需要看授信规则的历史版本对比。尤其是授信规则是否存在‘条件审计’等设计。装置化控制往往不止一处,它会在授信规则里留下‘开关’。”

“历史版本已经封存。”顾明说,“但我们没有对外展示过,担心泄密。”

许衡看向陆律:“你们是公司方,担心泄密是合理的。我建议:在隔离环境下给我们查看,禁止拷贝,只输出我们认可的结论摘要,并附你们编号。这样既保护你们,也保证我们能做事实复核。”

这是典型第三方的做法:把“信任”变成“可验证”。影子机制最恨这种做法,因为它无法用人情解决。

隔离环境很快搭好,审计团队开始工作。第一天的重点就是“幽灵”:risk.office.owner与sec.exec.gateway。第三方要证明这两个标识是“虚拟角色”还是“实际主体”,更要证明它们背后是否存在可被落地追责的控制链。

上午十点三十,许衡在隔离环境里看完令牌发放服务的授信规则历史版本,眉头第一次真正皱起来。

“你们这里有一个设计模式很危险。”他说,“授信规则里存在‘临时授权包’,可按场景自动放大权限,且放大后仅记录摘要日志,不记录全量细节。这个模式与‘条件审计’属于同一类思想:以场景为理由降低可追溯性。”

顾明的拳头在膝盖上紧了一下:“这就是我们说的装置思路。”

许衡点头:“而且我在规则变更记录里看到一个频繁出现的变更源:一个CI自动化账户,名字叫**ga.pipeline**。它不是人,但它代表一条自动化链路。谁能触发这条链路,就能修改授信规则。你们知道谁控制ga.pipeline吗?”

信息中心主任在电话里声音有点发虚:“ga.pipeline原来是集团办公室牵头的‘办公自动化升级项目’留下的持续集成账户,后来归属不明确。我们一直以为它只是发布办公系统更新。”

许衡看着他:“归属不明确,是重大风险。因为它意味着任何人都可能在这条链路上插针。请立刻冻结ga.pipeline的发布权限,并导出近一年所有变更记录。我们要对齐每一次授信规则变更与每一次关键事件的时间点。”

周砚立刻下令冻结。冻结ga.pipeline意味着直接切断“自动化后门”。影子机制喜欢自动化,因为自动化能把责任散成“系统自己改的”。第三方最擅长的,就是把“系统自己”变回“谁触发的”。

中午十二点,审计团队提交第一份“红色提醒单”,只有三条,但每条都像针:

1)令牌发放服务存在场景化临时授权包,降低可追溯性;

2)授信规则变更存在归属不明的自动化账户ga.pipeline;

3)模板库存在隐藏模板与隐形字段,可用于不留痕的叙事生产。

红色提醒单不是结论,却是外部专业机构的“风险盖章”。它会改变董事会的心理结构:董事会不再是“听内审说”,而是“外部专家说”。影子机制最怕这个,因为它无法用“你们内斗”把外部专家赶走。

---

下午两点,献祭继续升级。

集团办公室副主任又发来一份补充材料,标题更直白:《关于涉事人员处理建议(第二版)》。这次名单增加了维修工外包负责人,建议“解除合作以示态度”。此外,材料里首次出现对“内部调查团队”的含沙射影:称“部分调查手段可能超出必要范围,建议适度收敛,避免影响组织稳定”。

“他们开始把矛头对准我们。”梁总脸色发冷。

“这是必然。”陆律说,“献祭完成第一步:推执行人。第二步:推外包。第三步:推调查者。只要把调查者推成‘过度’,装置就有机会复活。”

周砚没有立刻回击。他知道此刻最有效的回击不是情绪,而是第三方的红色提醒单。把红色提醒单转给董事长办公室,比任何辩论都更硬。

果然,董事长办公室很快回了一个编号通知:禁止任何人以“处理建议”名义对外抄送或对内定性;任何质疑调查范围须以编号提出,并由纪检、法务、第三方共同评估。集团办公室副主任被要求暂停相关事务,等待进一步谈话。

副主任的献祭邮件被当场拆解。影子机制的“快”被编号拖慢。

---

傍晚五点,第三方团队突然提出一个要求:见一个“系统之外的人”。

“谁?”周砚问。

许衡说:“你们说的‘临时维修人员’的手机里有加密通讯软件残留信息。我们想看你们警方取证摘要里提到的‘静默未成,撤’那条信息,以及相关的基站/定位对齐。我们不碰原始手机,我们看你们编号摘要与哈希即可。”

“为什么?”顾明问。

许衡回答很干脆:“因为那条信息的发送方标识是sec.exec.gateway。我们需要判断:这个标识是应用层伪装,还是网关层真实身份映射。如果它是网关层真实映射,那么它背后一定有一个‘授信实体’。授信实体可能是证书、令牌、接口密钥。找到授信实体,就能让幽灵现形。”

幽灵现形,这四个字让战情室里的人都抬起头。

警方技术人员把摘要拿来,许衡看完后又问了一个更尖的问题:“这条信息的发送时间点,与你们打印区维护黑屏、证人保护点后勤支持入侵的时间点是否相近?”

顾明立刻对齐时间线,发现三者之间存在一个固定节奏:每次“动作”发生后约十五到二十分钟,都会出现一条极短的撤退指令,标识均为sec.exec.gateway。这意味着“gateway”不仅发令牌,还可能是“指挥频道”。

许衡点头:“如果这是指挥频道,它会有‘会话中心’。会话中心往往不是某个人的手机,而是一个服务端系统,比如消息网关、密聊中转。你们有没有对内部网络里的异常消息服务做过扫描?”

信息中心主任在电话里说:“我们封了sec.bridge后做过扫描,没有发现明显的异常IM服务。”

许衡摇头:“异常服务不一定在你们内部网络。它可能在你们的云环境,或者在外包环境。更关键的是,它不一定是独立IM,它可能伪装成‘告警系统’或‘工单通知系统’。”

工单通知系统。派单的壳。告警系统。紧急的壳。

周砚忽然想到:他们一直追派单来源,却忽略了派单“通知链”。派单不靠工单系统本身,而靠通知链把任务推给外包人员。通知链如果被控制,就能绕过冻结。

“你建议怎么查?”周砚问。

许衡说:“给我你们最近三个月的通知系统日志:邮件网关、短信网关、IM机器人、工单推送服务、物业外包系统推送接口。我们会找一个共同特征:‘短指令、固定节奏、同一标识’。然后我们能反推会话中心的授信实体。”

顾明立刻协调日志。第三方在隔离环境里做了半天交叉分析,晚上九点,许衡把一张图投在屏幕上,语气第一次带上确定性:

“我们找到一个共同源头:一个名为**notify.exec**的推送服务。它同时向工单、物业外包、短信网关推送短指令。它的认证方式使用了你们令牌发放服务的‘临时授权包’。也就是说:令牌发放服务是刀,notify.exec是手。”

顾明感觉背脊发凉:“notify.exec在哪?”

信息中心主任声音变低:“在云上。属于以前的‘应急通知平台’,名义上是集团办公室牵头建设,为了应对重大会议与突发事件通知。”

“又是应急。”梁总咬牙。

许衡继续:“notify.exec的部署账户使用了ga.pipeline自动化链路。也就是说:ga.pipeline可以改授信规则,notify.exec可以发指令。两者合起来就是一个完整的装置控制链。”

装置终于从说明书变成了实际系统链路:ga.pipeline→授信规则→临时授权包→令牌发放→notify.exec→派单/通知→外包执行→撤退指令→清痕/静默。

幽灵不再飘。它有路径,有服务名,有认证方式,有变更记录。

“这足够让幽灵落地。”陆律说,“至少从治理角度:这是未经授权的控制链,必须立即停用并封存。”

“从刑事角度也足够。”警方技术人员补一句,“涉及冒用身份、干预证人、破坏取证,链路指挥系统一旦确认,案件性质就不一样了。”

周砚没有犹豫:“立即封notify.exec,做镜像,断外联,保留业务替代方案,避免误伤正常通知。所有动作编号执行,第三方见证。”

信息中心主任深吸一口气:“封它会影响应急通知。”

“应急通知改用编号短信平台。”周砚说,“短期成本我们承担。”

十分钟后,notify.exec被隔离,镜像开始。第三方全程见证,生成独立哈希。警方技术人员同步介入,把镜像纳入涉案系统证据链。

这一步像拔掉装置的喉管。喉管一拔,装置还剩什么?只剩模板与人情。模板可以清,  人情可以挡,但没有喉管,它无法再远程发指令、无法再派单、无法再“静默”。

影子机制真正开始窒息。

---

夜里十一点,窒息带来最后的挣扎:一个新的献祭名单出现在董事会部分成员的私人手机上——不是邮件,不是公司系统,而是私人微信转发的一张截图。截图标题很耸动:《内鬼名单》。里面列了五个名字:林澈、邱曼、维修工负责人、媒体线老员工、以及——周砚。

“他们要把我也献祭了。”周砚看到截图时,反而比任何时候都冷静。

梁总怒不可遏:“这已经是赤裸裸的人身攻击!”

“他们急了。”顾明说,“notify.exec被封,他们没了指挥链,只能用私人渠道散播。私人渠道没有编号、没有审计,但也更容易暴露传播链。”

陆律立刻做了两件事:一,要求董事长办公室以编号发出董事会成员提示:任何私人渠道收到涉案材料截图须立即转交纪检编号入库,不得转发;二,向平台提交截图作为组织化诽谤与干预调查线索,请求协查传播源头。

罗主任则更直接:“把这张截图当作干预证据,立刻查传播链:谁先发、谁转发、谁在董事群里暗示。我们不管他们私人用什么软件,只要他们利用职务影响散播,就属于纪律问题。”

周砚却没有把注意力放在“我被写进去”上。他看的是截图里一个小细节:标题下方有一行极小的水印,和隐藏模板库的水印纹理一致。

“还是模板。”他对顾明说,“他们连诬陷截图都用模板生成。你去对齐水印纹理,看看是不是SZ_GA_BRIDGE系列隐藏模板派生。”

顾明看一眼就点头:“几乎确定。纹理角度、透明度一致。我们能从模板库里找到对应的图层。”

如果能找到对应图层,就能证明“内鬼名单”不是民间自发,而是装置产物。这样,诬陷就变成证据,证据又能反咬诬陷者。影子机制用叙事咬人,编号会把它的牙收走。

---

凌晨一点,notify.exec镜像完成。第三方许衡在封存报告上签字,报告里写着一句非常硬的结论:

“该系统具备对外包执行链的指挥能力,与公司正式治理结构不匹配,且存在降低可追溯性的设计,应视为重大合规风险源。”

这句话对董事会而言,比任何内部描述都有效。对外部重组方而言,这也意味着:公司在拆除风险源,并用第三方背书。

周砚把报告复印件递给董事长办公室。董事长看完,只说:“很好。现在幽灵有了名字。”

“幽灵叫什么?”梁总问。

周砚看着白板上的链路,慢慢写下两个词:

**ga.pipeline**

**notify.exec**

“这两个不是人。”他说,“但它们能指向人:谁触发pipeline,谁维护notify,谁握着授信实体。明天开始,我们不再追影子,我们追触发者。”

顾明补上一句:“触发者最怕的就是‘触发记录’。自动化一旦被复核,所有人都会留下触发痕迹。”

“所以他们会试图删记录。”梁总说。

“删不了。”许衡在旁边开口,语气平静,“因为我们已经做了独立镜像。并且,自动化平台通常有第三方托管日志,你们删除内部,也删不掉外部。”

外部托管日志——又一个外部支点。影子机制的世界越来越小。

战情室里的人终于有了一种近乎确定的判断:装置已经被拆到核心。剩下的,是谁控制核心、谁授权核心、谁默认核心存在。那些问题不再需要推理太多,因为触发记录会说话。

周砚合上电脑,望向窗外。夜色仍旧深,但他第一次觉得,这座城市的黑不再像一张幕布,而像一块可以被切开的布。切开布的不是勇气,是证据;而能让证据切开布的,是程序与第三方。

影子机制还会挣扎,还会咬人,还会抛献祭名单。但它已经失去了“系统性吞噬”的能力。它从装置变成残渣,从残渣变成个别人的侥幸。

侥幸迟早会遇到编号。

周砚在白板最下方写下新的一行字,像给自己也给团队一个明确的阶段标记:

“幽灵现形,下一步:落地。”


  (https://www.youren99.com/chapter/3544309/50105147.html)


1秒记住游人小说网:www.youren99.com。手机版阅读网址:m.youren99.com