最新消息與洞察
NEITHNET 實驗室
2022年8月2日晚間,美國聯邦眾議院議長裴洛西(Nancy Pelosi)訪臺,此事全球矚目。早在裴洛西訪臺消息傳出後,中國政府就不斷放話,揚言要對臺灣不利,也一如預期開始對臺灣祭出各種禁令(如禁止百家食品業、水果、海鮮輸入中國)。而在資安方面,砲火更是猛烈。臺灣政府單位或民間單位的網站被攻擊的不曾間斷,並且是以往數十倍以上的流量。
除總統府及其他政府部門網站遭DDoS的攻擊外,在8月2日至3日這兩天內較多民眾知道的事件,當屬7-11及臺鐵新左營車站電子看板被置換的攻擊事件。被置換成的內容分別是針對裴洛西的攻擊,以及宣揚中國主權。此類型的攻擊事件,表面上是針對數位看板廣告,但其實影響的層面遠超出一個電子看板。換掉的是只是一個數位看板內容,但影響到所有看過的民眾,看過的民眾越多,引發的效應就更廣,這也是這類型事件之所以會廣為人知的原因。由於裴洛西訪台所引發的同類型事件,還有8月7日臺灣大學部分網頁遭到竄改也是屬於此類。另外在國際上也有相似的置換內容攻擊,2021年伊朗駭客變更火車站資訊系統的內容,宣布火車因網路攻擊而誤點,並要求乘客打電話投訴,但投訴電話是伊朗最高領袖的辦公室電話。
儘管我們都知道看板置換相較於勒索攻擊等其他攻擊,對系統本身的損害是較小的,但不可以忽視此種對民眾認知的攻擊,可能會是所有攻擊當中對社會層面影響最大的。民眾的恐慌、心理壓力,一點一點累積下來,星星之火也是可以燎原。然而不只在臺灣,在多數國家中,數位看板都相當普及,大街上隨處可見,而提供這些服務的業者,是否有足以因應防護自身系統安全的資安管理能力?有多少場域業者使用電子看板時是自身去控管?有多少是全權委任廣告業者負責?普遍來說,不管是場域業者或是數位看板服務業者,對於資安管理的能力都稍嫌不足。此次電子看板攻擊事件,多數專家推測應該是內容撥放系統被入侵或系統本身存在漏洞,雖然確切的結果還需要進一步的調查,但不管基於何種原因,這都應該是早就存在的弱點,只是在裴洛西訪台的時間點,同時被利用。
不過兩三天的時間,極大量且密集的攻擊,接二連三曝露在大眾的眼前,資安攻防達到沸點。就像一個木桶能裝多少水,取決於最短的木板一樣,在資安的戰役裡,能阻擋多少攻擊,同樣取決於最短處的高度。攻防本就聚焦在各種弱點上,彌補弱點、增強短處當然能達到更好的防禦效果。此次裴洛西訪台所引發的事件,全臺民眾振聾發聵,恰巧成為了提升短版高度的契機。
環環相扣的資訊時代,每一個環節都同樣重要,任何一個弱點被攻擊都可能引發後續一連串的事件,破壞整個系統的穩定。而要如何將危機變成契機再變成轉機,政府與資安人員責無旁貸,但民眾們也該一起努力,共同維護該屬於我們的平穩而安全的資訊生活。