2022年8月11日星期四

林雨蒼:面對中國網路攻擊 台灣不能心存僥倖

 / 思想坦克 2022 年 8 月 9 日

隨著美國眾議院議長裴洛西訪台,中國也宣布在裴洛西離開台灣後,對臺海周邊進行演習;而網路戰爭也隨即開打。

中國在告訴我們,他們隨時可以發動網攻

在網路上,台灣正面臨一波波地網路攻擊。總統府、外交部與國防部網站都面臨DDoS攻擊;同時,網路上也開始出現大量假消息,知名網站PTT就出現三篇由被盜用的帳號所貼出的文章,並快速被推爆,再轉載至部分台灣媒體進行渲染。另外還有一波攻擊,入侵超商車站南投竹山鎮公所的看板,以及民視的節目,投放宣揚中國國威的圖片或影音。映入眼簾的統戰文宣讓人怵目驚心,我們該問的是,台灣的資安,真的準備好要應對兩岸之間的軍事衝突了嗎?

圖片來源:翻攝自華視新聞YouTube頻道

面對對岸的資訊網攻,這幾年政府確實已經在努力強化,從總統參與駭客年會活動宣誓強化資安,到政府內部資安規範的強化,確實都有達成一定程度的效果,也讓總統府、外交部與國防部等網站在面對DDoS攻擊時有一定程度的抵抗能力,或能在短時間內恢復

但是,縱使政府官方已經強化了相關資安作為,也透過法律約束民間具有一定規模的公司要強化資安,但為何此次仍有看板遭到入侵?根據NCC的調查,這些廣告媒體系統裡面使用了中國製的軟體,很可能就遭到中國駭客的利用。其中竹山鎮公所就表示,他們原本想透過遠端系統讓電子看板恢復正常,但發現無法更新,關機後又被駭入重開,只好關掉電源。這表示,該系統應該有後門或遭到木馬感染,駭客才能堂而皇之的進入系統投放統戰文宣。

在超商的部份,則是其廣告投放系統遭到入侵,投放了統戰文宣。這並非首次有企業的廣告系統遭到入侵。2016年7月時,第一銀行就因為駭客先入侵倫敦分行的伺服器後,再透過ATM的軟體派送系統在ATM中植入木馬,遭到駭客遠端控制ATM自動吐鈔後,由來自俄羅斯等地的十多名負責領錢的車手領走後先後出境,第一銀行累計總共遭到盜走8,327萬7,600元。雖然追回多數贓款,但是此事震驚了全台,也讓許多公司開始重視公司內部資訊系統的資安問題。

但是,很多公司的系統並非都由自己撰寫,有許多公司會選擇把部分系統外包給外面的廠商。若是這些廠商貪小便宜,在寫程式的時候寫出了漏洞、使用含有漏洞的中國製軟體、或軟體沒有即時更新,就可能造成系統的資安漏洞。

中小企業少有資安認知

台灣雖然有強大的資安產業,但這些產業的客戶多是國際客戶,台灣的中小企業卻常常在資安方面缺乏認知。很多中小企業連投入數位轉型的資金都可能不足,更遑論注意到資安方面的問題。在導入資安時,企業常會面臨許多困境。首先,資安的投資往往難以快速見效,唯有公司發生了資安事件,才能看到資安投資的成效;再者,很多資安政策都會讓員工抱怨連連,比如密碼管理的措施等等,這讓資安強化的作為常常引發公司內部員工的抗拒,也讓中小企業的資安難以強化。這些中小企業的資安漏洞,一旦在兩岸發生衝突時,就可能遭到中國的網軍利用。

若是分析此次看板遭到入侵事件,就會發現,投放中國統戰文宣的作法其實十分粗糙。畢竟,文宣的投放很快就會被人們發現,而這些荒謬的文宣並不會讓台灣人感到「心向祖國」,只會讓台灣人反感罷了。但是,如果駭客入侵看板以後,投放的是錯誤的資訊──比如偽裝成新聞或是偽造政府公告,引導民眾產生恐慌行為,那影響就大了。

在烏克蘭遭入侵後,烏克蘭內部的電信系統就遭到入侵,駭客投放烏克蘭軍隊投降的錯假訊息,甚至導引人們到即將遭到轟炸的地方避難,這些錯假消息不只是欺騙人們,更可能導致人們喪命。

另外,有經驗的駭客在入侵系統後,也不一定會大方地投放消息,昭告自己的「戰果」;更可能會在內部埋下木馬,或以此機器作為中繼站,入侵更多機器,直到發動戰爭時,才串連起來癱瘓系統。北韓2013年就向南韓發動「DarkSeoul」行動,埋伏在政府網站、銀行系統、電視台的木馬協同攻擊,導致提款機、電視等畫面遭到北韓掌握。

這些資安的漏洞,都可能在兩岸衝突進一步加劇的時候,遭到中國軍隊利用,進而導致台灣民眾的恐慌,甚至性命喪失。面對這些資安問題,我們還能怎麼做?

首先,我們還是應該先思考怎麼針對中小企業的環節進一步強化。中小企業常常使用其他軟體公司開發的軟體,我們應該引入國際的資安認證,讓這些中小企業在使用其他公司軟體的時候,能有一定程度的資安保障;而針對台灣的軟體公司,也應協助其強化軟體的資安,包含要有資安維護合約,軟體本身也要經過第三方資安檢測證明,確認程式碼的安全性經過檢測。對於軟體開發者,也要協助他們建立資安意識,落實在寫程式的過程當中。

更重要的是,我們應要求關鍵基礎設施的軟體絕對不可使用中國製造的軟體。這些軟體很可能在開發時被有意或無意地埋入後門,導致容易遭到中國方面的利用,進而癱瘓台灣的基礎設施。

而針對民眾,我們也要建立基本的資安意識。此次有幾個PTT貼文就是因為當事人的帳戶遭到盜用而貼出。盜用者透過盜取一般人的帳號,就可以隱匿他的行蹤,進而造成追查上的斷點,而在台灣投放錯假消息。除了發文外,被盜取的個人帳號也可能拿來對重要人士或組織發出釣魚信件,引誘其點選有問題的連結而被埋入木馬。

這次幾個看板遭到入侵的狀況雖然引起注意,但所幸並未造成很大的損失;但我們應該更進一步審視各個層面的資安作為,提高中國方面網路攻擊的成本。面對中國的軍事威脅,我們不能心存僥倖。

感謝Allen Own協助審閱

没有评论:

发表评论

页面