圖片來源: 

趨勢科技資安研究群核心技術部資深協理張裕敏認為,與民生息息相關的多種型態關鍵基礎設施,飽受駭客攻擊的情況更為嚴重,特別是有關資訊傳播類型的媒體與社群網站平臺,更是駭客接下來偏好的標的。

論及關鍵基礎設施,許多人可能會先想到的部分,大多與民生需求相關,像是供應油、水、電力的單位,一旦遭受攻擊,便會嚴重影響社會整體功能的運作,並且造成人民的財產損失,甚至是重大傷亡。

然而,不只有形的關鍵基礎設施受到駭客覬覦,對於一般民眾獲得重大資訊的管道,也成為攻擊者下手的主要目標。

趨勢科技資安研究群核心技術部資深協理張裕敏(Ziv)認為,接下來2年內,散播假消息或是假新聞的攻擊手法,將會更加氾濫,因此,在2019臺灣資安大會中,張裕敏特別針對關鍵基礎設施所面臨的威脅,進行演講,探討這些設施遭受攻擊時,所帶來的影響。

到底,關鍵基礎設施遭受攻擊帶來的影響,會有多嚴重?張裕敏以委內瑞拉為例,供應該國8成電力的古里(Guri)水力發電廠出現異常,疑似遭受網路攻擊,委內瑞拉全國頓時陷入大停電,至今原因不明。

雖然張裕敏表示,這起水力發電廠遭受攻擊的事件原因有待釐清,因此目前發生的因素眾說紛紜──有人說是人為疏失,也有人認為是恐怖攻擊,而委內瑞拉總統則是直接定調為網路攻擊事件。

但我們從許多媒體報導來看,委內瑞拉因此攻擊發生大停電之後,隨之而來的影響已經逐漸擴大:首先是公部門與醫療院所停擺,民眾也因馬達無法運作,導致沒有水可用;再者,冰箱內的食物只能任其腐敗,但即使當地居民想要購買食物,由於收銀機不能使用,商店交易竟要求以美金交易,隨著該國一個多星期電力時好時壞,情況變得更加惡化,嚴重影響該國民生。

駭客攻擊關鍵基礎設施門檻極低,資源隨手可得

駭客想要攻擊關鍵基礎設施的控制設備,難度比以往可說是大幅降低,張裕敏以美國能源局攻擊途徑的示意資料為例,駭客可從網際網路打到進入的破口,成功滲透之後再進行控制或是加以破壞。圖片來源/趨勢科技

張裕敏指出,光是水利設施遭受攻擊,古里水力發電廠並非首例。自西元2000年至今,水利設施受害的情況可說是不斷發生,他也舉出了近年來多起發電廠、石油公司等,被駭或是遭到控制的事件。

一如現今的資安情勢攻防不對等,張裕敏說,駭客想要攻擊關鍵基礎設施,無論是所需的作案工具、攻擊手法、可利用的漏洞,乃至於尋找目標,都有現成的資源可用。

以作案的工具而言,駭客在GitHub上,就能取得Industrial Exploitation Framework等軟體;而攻擊手法的部分,ICS ATT&CK Matrix則提供了各式能運用的方式。

由於許多關鍵基礎設施裡的控制設備,普遍缺乏定期安裝修補軟體,駭客可從美國的ICS-CERT,或趨勢科技旗下的漏洞懸賞單位Zero Day Initiative(ZDI),找到已經被公開的漏洞加以濫用;最後是攻擊的目標,攻擊者可從物聯網搜尋引擎Shodan找尋,甚至,這個搜尋引擎還分門別類,能讓駭客尋找指定廠牌的設備下手。

媒體、金融、網路基礎設施成攻擊者的新目標

針對關鍵基礎設施的範圍,張裕敏說,其實相當的廣泛。他引用了我國行政院《國家關鍵基礎設施安全防護計畫指導綱要》的定義,不光是水資源和能源,還包含了政府機關、高科技園區、金融單位、醫療院所、交通,以及通訊傳播等方面。因此,雖然許多能源設施受到駭客攻擊,是與工業控制的操作科技(OT)安全有關,但其實與大眾「知」有關的通訊傳播,也同樣面臨嚴重的威脅。

上述的8大類型關鍵基礎設施中,通訊媒體與其他型態所面臨的攻擊,相當不同。張裕敏指出,針對這種類型的關鍵基礎設施攻擊,駭客可能會針對電視臺、網路媒體,以及社群媒體下手之外,其實最容易聽到的,莫過於所謂的假新聞、假資訊,藉由資料再加工的作法──例如張冠李戴、過度解讀等,進而操控特定資訊,不只可能會導致錯誤決策,還會造成大眾的恐慌,甚至是引發民眾對政府的不信任危機,換言之,後續帶來影響程度最廣泛的,其實是這種通訊傳播基礎設施威脅。近期影響最大的事件之一,就是2016年美國總統大選期間,出現了大量濫發假消息的推特帳號。

由於這種攻擊會摧毀人民對於政府的信任,因此包含臺灣在內的許多國家,都打算祭出相關的法規,但是,新聞媒體和社群網路的內容,又牽涉到人民的言論自由,各國政府想要加以防範假消息的推波助瀾,就變得更加困難。

再者,張裕敏指出,金流與網路基礎設施,也是駭客近期下手的重要目標。前者駭客可鎖定後端的資訊系統或ATM,導致無法正常交易;由於現代人幾乎不能沒有網路,因此從DNS、路由器、無線網路、4G或5G網路下手,同樣是駭客入侵、竊取隱私的管道。

關鍵基礎設施安全提升,同時仰賴全民視為己任

張裕敏舉出了一個關鍵基礎設施接連受到攻擊,導致無法運作的情境──自己下班之後,原本不想開車,打算改以搭乘大眾運輸系統回家,到車站發現停止運作而無法乘坐。但想要開車回家,加油時卻發現加油站的油價飆漲了2萬倍,利用僅存的汽油返家,路上的交通號誌全部變成綠燈,導致大家爭先恐後,想要使用平時倚賴的導航回家,此時手機和GPS完全沒有任何訊號。

好不容易回到了家,卻發現自家的智慧門禁因為沒電而無法開門,找出備用鑰匙進到家裡,廣播沒有聲音,電視也沒有任何畫面。到附近商店採買食物,信用卡與各種支付方式都無法使用,導致所有人臨櫃提領現金,隊伍大排長龍。

終於,家裡的電力恢復,可是一打開電視,卻淨是怪異的報導,表示有目擊者看到,前述的異常事件是外星人所為。張裕敏說,上述的一連串情境,大多人可能會認為相當離譜,但實際上,在2013年發生的一起攻擊事件裡,就涵蓋其中8成的內容,因此,張裕敏認為,若是有一天真的接連發生,並非不可能,希望大家正視關鍵基礎設施的安全議題。

至於因應關鍵基礎設施攻擊涉及範圍如此廣大、駭客又容易發動攻擊的情勢,張裕敏則提出了心法,包含了關鍵基礎設施單位與一般民眾的層面──針對上述的單位而言,他認為要參考各國制訂的綱要、指引文件,還有防護的措施,並且尋求資安公司的協助等,進而強化資訊安全;而對於一般民眾而言,若是能在發現不尋常的現象時,提高警覺,並進行通報,或許能及時阻止一場攻擊關鍵基礎設施的事件。

張裕敏舉例,像是臺北市的智慧公車站中,可能預備了提供維護所用的USB埠,若是發現有不明人士連接了USB隨身碟,民眾通報警方到場關切,很可能就避免了這類交通系統遭受入侵的情況。


Advertisement

更多 iThome相關內容