一位西門子公司的合同工十年前在給西門子寫的電子表格中植入了邏輯炸彈，它會在特定日期之后導致電子表格崩潰，于是西門子就必須再次雇傭該名合同工進行修復，每次都需要重新支付修復費用，持續(xù)時間近 3 年。最近他被抓包了，面臨最高十年監(jiān)禁和 25 萬美元（約合人民幣 172 萬）的指控。

大齡程序員的“生財之道”。

現(xiàn)年 62 歲的大衛(wèi)·廷利 (David Tinley) 來自匹茲堡附近的哈里森市，如果不是因為出了這檔子事，他只是美國眾多默默無聞的大齡程序員之一。

廷利為西門子在 Monroeville 的辦事處工作了將近 10 年的時間，他曾接過一個為西門子公司創(chuàng)建管理訂單的電子表格需求，電子表格包含自定義腳本，可以根據(jù)存儲在其他遠程文檔中的當前訂單更新文件的內容，從而允許公司自動化庫存和訂單管理。

事實上，這個需求并不算難，廷利寫的電子表格程序也正常工作了多年。直到 2014 年，該電子表格開始頻繁出現(xiàn)崩潰問題。

起初，西門子公司并不知道故障的具體原因，出于對廷利的信任，該公司要求廷利進行修復。因為廷利是合同工，因此每次進行修復時，西門子都需要跟廷利簽訂修復合同，并支付費用。這樣的情形持續(xù)了近三年之久，直到東窗事發(fā)。

在又一次電子表格程序崩潰以后，西門子公司仍舊聯(lián)系其進行修復。但此次程序崩潰時他并不在城里，不得不將電子表格的管理密碼交給西門子公司的 IT 工作人員去執(zhí)行緊急修復。西門子公司的 IT 人員發(fā)現(xiàn)，電子表格頻繁崩潰的原因在于廷利在其背后植入了一個邏輯炸彈，該邏輯炸彈會導致電子表格在特定日期后崩潰。（所謂邏輯炸彈，指的是在特定條件出現(xiàn)或經(jīng)過一定時間后，惡意地誘騙軟件或系統(tǒng)崩潰或失敗。）于是廷利便可以借修復的名義，重復收取西門子公司的修復費用（大概費用在 4.2 萬美元）。如果不是因為事情敗露，他的“生財之道”似乎可以持續(xù)得更久。

廷利在今年 5 月遭到起訴，在庭審中，廷利和其律師表示：

他在代碼中放置邏輯炸彈，并不是為了促使西門子重新聘用他來解決這個問題，而是為了保護他的專有代碼。廷利在匹茲堡的法庭上說：“我的動機是高尚的”。其中一些問題不是他的代碼造成的，而是由于對微軟 Excel 軟件本身進行了修改。

根據(jù)此前曾有過的類似案例，廷利無罪的可能性極?。?/p>

2006 年，瑞銀 (UBS) 前 PaineWebber 員工因在公司網(wǎng)絡上植入邏輯炸彈，并押注公司股價將下跌，被判入獄 8 年。

2018 年 9 月，亞特蘭大一名男子因在美國陸軍工資數(shù)據(jù)庫中植入邏輯炸彈，導致美國陸軍預備役工資延遲 17 天支付，被判兩年監(jiān)禁。

匹茲堡法庭曾希望與廷利達成早日認罪、避免全面審判以減輕罪責的協(xié)議，但廷利與其律師最終毀了認罪協(xié)議。他將面臨最高十年的監(jiān)禁以及 25 萬美元（約合人民幣 172 萬）的罰款。

遭到質疑的西門子 IT 能力

此事件遭到曝光后，廷利受到了理所當然的指責，但西門子公司的 IT 能力卻遭到了巨大的質疑：

廷利為他們工作了十年，為什么同樣的問題持續(xù)了近三年之久，都沒有研發(fā)人員感到奇怪？而是任由這位合同工一次又一次地收取修復費用？

該案的最終量刑聽證會將于 11 月份舉辦，目前西門子公司未對事件詳情進行進一步的披露，從有限的信息中，該公司的 IT 管理能力已經(jīng)受到了廣泛的質疑。

曾經(jīng)在工業(yè)革命中扮演過重要角色的西門子公司，在 2014 年提出了 “2020 公司愿景” 計劃，聚焦在電氣化、自動化、數(shù)字化三個領域。2018 年，該公司進一步提出了“公司愿景 2020+”，再次強調數(shù)字化能力。

根據(jù)西門子中國官網(wǎng)的描述：

我們豐富的產品應用程序已經(jīng)幫助各行各業(yè)的企業(yè)通過產品和流程創(chuàng)新提升了業(yè)務水平。當今智能產品及其相關制造流程的復雜性向企業(yè)提出了前所未有的要求，這就要求企業(yè)必須深度理解這些多領域系統(tǒng)的交互。創(chuàng)建和共享各階段產品流程的準確數(shù)字化雙胞胎，正是向數(shù)字化企業(yè)轉型的牢固基石。我們的產品組合能夠憑借在各個行業(yè)當中的卓越技術來滿足各個領域的需求。

在西門子的數(shù)字化戰(zhàn)略中，既有自己做平臺的內線發(fā)展，也有在外部做收購的外部拓展。其中的外部收購近年來更是動作不斷：

2014 年，西門子收購 Camstar，強化其在工業(yè)數(shù)字化領域的領導地位；

2016 年，西門子以近 10 億美元收購工業(yè)軟件開發(fā)商 CD-adapco；

2016 年底，西門子 45 億美元收購半導體軟件公司 Mentor Graphics。

西門子表示，過去的二十年間，該公司在軟件方面投入了超過 100 多億美元，獲得了在工業(yè)軟件方面的領先地位。該公司表示，現(xiàn)在擁有客戶開發(fā)飛機、火車和汽車等復雜電子機械所需的所有軟件。隨著收購的持續(xù)進行，西門子成為了 SAP 后的歐洲第二大軟件公司，世界十大軟件供應商。

但西門子的 IT 能力，真的就隨著一路并購的規(guī)模擴充得到了相匹配的提升嗎？類似的批評聲一直不斷。

此前，西門子公司的過程監(jiān)視系統(tǒng) WinCC 曾被俄羅斯技術團隊爆出充滿漏洞。WinCC 應用是由西門子開發(fā)的一種 SCADA 程序，用于許多行業(yè)的進程可視化，并且被認為是行業(yè)標準。該俄羅斯團隊在當年 WinCC 的最新版本中發(fā)現(xiàn)了超過 50 多個漏洞，數(shù)量多到西門子公司制定了一個路線圖來修補所有漏洞。其中的大多數(shù)問題都允許攻擊者遠程接管 WinCC 系統(tǒng)。

該團隊負責人接受采訪時不無諷刺地說道：“在 WinCC 中找出漏洞簡直太容易了，你可以隨便一指（就能發(fā)現(xiàn)漏洞）”。

合同工、外包、程序員的權限問題？

合同工、外包在軟件開發(fā)的世界里必不可少，在傳統(tǒng)企業(yè)比如波音、西門子等公司數(shù)量更是眾多，即便對于大型的互聯(lián)網(wǎng)企業(yè)來說，外包員工數(shù)量同樣不少。比如谷歌就有規(guī)模龐大的“隱形員工”，再比如阿里巴巴的 Lazada 同樣有很多外包員工等。

在很多公司的軟件開發(fā)流程中，對于合同工、外包人員的權限問題都很謹慎。事實上，類似西門子合同工這樣通過植入漏洞非法獲利的新聞不在少數(shù)，許多公司在核心的數(shù)據(jù)庫、后臺系統(tǒng)、賬戶等關鍵位置的權限進行嚴格的限制。

不僅對于合同工、外包是這樣，對于許多離職員工同樣如此。InfoQ 此前曾采訪過一位離職程序員，他表示：

在我簽字交接完以前，技術團隊的老大防我就像防賊一樣。

讀者朋友應該還記得今年 1 月份，曾發(fā)生過一起鬧得滿城風雨的大新聞：

一篇名為《告游戲行業(yè)全體同仁書》的文章中聲討了一位離職主程：這篇文章指責主程燕某在就職深圳螃蟹網(wǎng)絡科技有限公司 3 個月期間，出于報復心理，于游戲上線測試當天無故失蹤并鎖死電腦和服務器，最終導致公司開發(fā)兩年的項目失敗，損失慘重，創(chuàng)始人尹某背上百萬債務開始打工之路。InfoQ 當時也就此事件做過分析，不難看出，對于離職程序員的權限問題從來都是輿論敏感的焦點。

無獨有偶，近日一名微軟程序員利用測試賬戶套現(xiàn)千萬美元，購置了一輛特斯拉與價值 160 萬美元房產的新聞同樣引起了我們的注意。

對于合同工、外包乃至正式員工來說，IT 系統(tǒng)的權限問題該如何關注？安全問題、刪庫問題、套現(xiàn)問題背后折射的究竟是職業(yè)道德問題還是監(jiān)管不利的原因？各位未來的 CTO 們，你怎么看？