假新闻等关键基础设施攻击将会更加泛滥,全民需提高发觉异常意识

论及关键基础设施,许多人可能会先想到与民生需求相关部分,像是供应油、水、电力的单位,一旦遭受攻击,便会严重影响社会整体功能的运行,并且造成人民的财产损失,甚至是重大伤亡。然而,不只有形的关键基础设施受到黑客觊觎,对于一般人们获得重大信息的渠道,也成为攻击者下手的主要目标。趋势科技安全研究群核心技术部资深协理张裕敏(Ziv)认为,接下来的2年内,散播假消息或是假新闻的攻击手法,将会更加泛滥,因此,在2019台湾安全大会之前,该公司于3月18日举办的媒体团访中,张裕敏特别以关键基础设施遭受攻击为题,探讨所带来的影响与因应之道。

到底关键基础设施遭受攻击会带来的影响会有多严重?张裕敏以最近传出疑似遭受网络攻击导致大停电的委内瑞拉为例,供应该国8成电力的古里(Guri)水力发电厂出现异常,使得委内瑞拉全国顿时陷入了大停电,但至今原因仍然不明。

委内瑞拉大停电发生之后,随之而来的是公部门与医疗院所停摆,人们也因马达无法运行,导致没有水可用;再者,冰箱内的食物只能任其腐败,但即使当地居民想要购买食物,由于收银机不能使用,商店交易竟要求以美金交易,上述的情况,随着该国一个多星期电力时好时坏,变得更加恶化,严重影响该国人民的民生。此外,该国总统马杜洛(Nicolas Maduro)直指反对派与美国是主谋,这起停电还引发美国和中国之间的政治角力。

张裕敏指出,光是水利设施遭受攻击,自公元2000年至今,可说是不断发生,他也举出了近年来多起发电厂、石油公司等,被黑或是遭到控制的事件。

然而,一如现今的安全情势攻防不对等,张裕敏说,无论黑客需要作案工具、攻击手法、可利用的漏洞,乃至于寻找目标,都有现成的资源可用。

以作案工具而言,黑客在GitHub上,就能取得Industrial Exploitation Framework等软件;而攻击手法的部分,ICS ATT&CK Matrix则提供了各式能运用的方式;由于许多关键基础设施里的设备缺乏定期安装修补软件,黑客可以从美国的ICS-CERT,找到已经被公开的漏洞;最后是攻击目标的部分,攻击者可从物联网搜索引擎Shodan找寻,甚至这个搜索引擎还分门别类,能让黑客寻找指定品牌的设备下手。

针对关键基础设施的范围,张裕敏说,其实相当的广泛。他引用了我国行政院《国家关键基础设施安全防护计划指导纲要》的定义,不光是水资源和能源,还包含了政府机关、高科技园区、金融单位、医疗院所、交通,以及通信传播等方面。因此,虽然许多能源设施受到黑客攻击,是与工业控制的操作科技(OT)安全有关,但其实与大众“知”有关的通信传播,也同样面临严重的威胁。

上述的8大类型关键基础设施中,通信媒体与其他形态所面临的攻击,相当不同。张裕敏指出,针对这种类型的关键基础设施攻击,黑客可能会针对电视台、网络媒体,以及社群媒体下手之外,其实最容易听到的,莫过于所谓的假新闻、假信息,借由数据再加工的作法--例如张冠李戴、过度解读等,进而操控特定信息,不只可能会导致错误决策,还会造成大众的恐慌,甚至是引发人们对政府的不信任危机,换言之,后续带来影响程度最广泛的,其实是这种通信传播基础设施威胁。近期影响最大的事件之一,就是2016年美国总统大选期间,出现了大量滥发假消息的推特帐号。

由于这种攻击会摧毁人民对于政府的信任,因此包含台湾在内的许多国家,都打算祭出相关的法规,但是,新闻媒体和社群网络的内容,又涉及到人民的言论自由,各国政府想要加以防范假消息的推波助澜,就变得更加困难。

再者,张裕敏指出,金流与网络基础设施,也是黑客近期下手的重要目标。前者黑客可锁定后端的信息系统或ATM,使得无法正常交易;由于现代人几乎不能没有网络,因此从DNS、路由器、无线网络、4G或5G网络下手,也成为黑客入侵、窃取隐私,或是进行诈骗的渠道。

至于因应关键基础设施攻击涉及范围如此广大、黑客又容易发动攻击的情势,张裕敏则提出了心法,包含了关键基础设施单位与一般人们的层面--针对上述的单位而言,他认为要参考各国所制订的纲要、指引文件,还有防护的措施,并且寻求安全公司的协助等,进而强化信息安全;而对于一般人们而言,若是能在发现不寻常的现象时,提高警觉,并进行通报,或许可以阻止一场攻击关键基础设施的事件。

张裕敏举例,像是台北市的智能公共汽车站中,可能预备了提供维护所用的USB端口,若是发现有不明人士链接了USBU盘,人们通报警方到场关切,很可能就避免了这类交通系统遭受入侵的情况。