周峻佑摄
论及关键基础设施,许多人可能会先想到与民生需求相关部分,像是供应油、水、电力的单位,一旦遭受攻击,便会严重影响社会整体功能的运作,并且造成人民的财产损失,甚至是重大伤亡。然而,不只有形的关键基础设施受到骇客觊觎,对于一般民众获得重大资讯的管道,也成为攻击者下手的主要目标。趋势科技资安研究群核心技术部资深协理张裕敏(Ziv)认为,接下来的2年内,散播假消息或是假新闻的攻击手法,将会更加泛滥,因此,在2019台湾资安大会之前,该公司于3月18日举办的媒体团访中,张裕敏特别以关键基础设施遭受攻击为题,探讨所带来的影响与因应之道。
到底关键基础设施遭受攻击会带来的影响会有多严重?张裕敏以最近传出疑似遭受网络攻击导致大停电的委内瑞拉为例,供应该国8成电力的古里(Guri)水力发电厂出现异常,使得委内瑞拉全国顿时陷入了大停电,但至今原因仍然不明。
委内瑞拉大停电发生之后,随之而来的是公部门与医疗院所停摆,民众也因马达无法运作,导致没有水可用;再者,冰箱内的食物只能任其腐败,但即使当地居民想要购买食物,由于收银机不能使用,商店交易竟要求以美金交易,上述的情况,随着该国一个多星期电力时好时坏,变得更加恶化,严重影响该国人民的民生。此外,该国总统马杜洛(Nicolas Maduro)直指反对派与美国是主谋,这起停电还引发美国和中国之间的政治角力。
攻防不对等,骇客攻击关键基础设施门槛极低
张裕敏指出,光是水利设施遭受攻击,自公元2000年至今,可说是不断发生,他也举出了近年来多起发电厂、石油公司等,被骇或是遭到控制的事件。
然而,一如现今的资安情势攻防不对等,张裕敏说,无论骇客需要作案工具、攻击手法、可利用的漏洞,乃至于寻找目标,都有现成的资源可用。
以作案工具而言,骇客在GitHub上,就能取得Industrial Exploitation Framework等软件;而攻击手法的部分,ICS ATT&CK Matrix则提供了各式能运用的方式;由于许多关键基础设施里的设备缺乏定期安装修补软件,骇客可以从美国的ICS-CERT,找到已经被公开的漏洞;最后是攻击目标的部分,攻击者可从物联网搜索引擎Shodan找寻,甚至这个搜索引擎还分门别类,能让骇客寻找指定厂牌的设备下手。
媒体、金融、网络基础设施成攻击者的新目标
针对关键基础设施的范围,张裕敏说,其实相当的广泛。他引用了我国行政院《国家关键基础设施安全防护计划指导纲要》的定义,不光是水资源和能源,还包含了政府机关、高科技园区、金融单位、医疗院所、交通,以及通讯传播等方面。因此,虽然许多能源设施受到骇客攻击,是与工业控制的操作科技(OT)安全有关,但其实与大众“知”有关的通讯传播,也同样面临严重的威胁。
上述的8大类型关键基础设施中,通讯媒体与其他型态所面临的攻击,相当不同。张裕敏指出,针对这种类型的关键基础设施攻击,骇客可能会针对电视台、网络媒体,以及社群媒体下手之外,其实最容易听到的,莫过于所谓的假新闻、假资讯,借由资料再加工的作法--例如张冠李戴、过度解读等,进而操控特定资讯,不只可能会导致错误决策,还会造成大众的恐慌,甚至是引发民众对政府的不信任危机,换言之,后续带来影响程度最广泛的,其实是这种通讯传播基础设施威胁。近期影响最大的事件之一,就是2016年美国总统大选期间,出现了大量滥发假消息的推特账号。
由于这种攻击会摧毁人民对于政府的信任,因此包含台湾在内的许多国家,都打算祭出相关的法规,但是,新闻媒体和社群网络的内容,又牵涉到人民的言论自由,各国政府想要加以防范假消息的推波助澜,就变得更加困难。
再者,张裕敏指出,金流与网络基础设施,也是骇客近期下手的重要目标。前者骇客可锁定后端的资讯系统或ATM,使得无法正常交易;由于现代人几乎不能没有网络,因此从DNS、路由器、无线网络、4G或5G网络下手,也成为骇客入侵、窃取隐私,或是进行诈骗的管道。
至于因应关键基础设施攻击涉及范围如此广大、骇客又容易发动攻击的情势,张裕敏则提出了心法,包含了关键基础设施单位与一般民众的层面--针对上述的单位而言,他认为要参考各国所制订的纲要、指引文件,还有防护的措施,并且寻求资安公司的协助等,进而强化资讯安全;而对于一般民众而言,若是能在发现不寻常的现象时,提高警觉,并进行通报,或许可以阻止一场攻击关键基础设施的事件。
张裕敏举例,像是台北市的智慧公车站中,可能预备了提供维护所用的USB埠,若是发现有不明人士连接了USB随身碟,民众通报警方到场关切,很可能就避免了这类交通系统遭受入侵的情况。
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09