一樁中國刻意「秀肌肉」的駭客事件,造成國內民眾一陣驚恐。
但為何在眾多專家眼中,這次攻擊,其實只是一個「柿子挑軟的吃」的便宜行事之舉?
「那個電視牆喔,那天被『駭客』之後,昨天還被吊車吊下來檢查!」手指著一座大型LED戶外看板,一位竹山紫南宮的駐廟警衛向我們描述,8月3日美眾議院議長裴洛西訪台隔天,這座看板被駭的「災後」現場。
不只這座正對紫南宮的看板,包括竹山鎮5座戶外看板、台鐵新左營站的大廳看板,也在同一天被指控裴洛西是「老巫婆竄訪台灣」的簡體字覆蓋;以及,也是讓不少台灣人驚恐的,是全台擁有6千多家7-ELEVEn的統一超商,多家門市螢幕都在8月3日這天,被駭入並覆蓋「戰爭販子裴洛西滾出台灣」的字樣。
用中國軟體出包?
被駭不單純,但沒那麼驚悚
由於統一超商、台鐵、紫南宮,都是台灣人潮聚集的公共場所,不僅格外讓人毛骨悚然,駭客刻意展現自身戰力、「秀肌肉」之心,亦不言而喻,而當晚的行政院記者會,是這樣定調這起駭客事件的:
「7-ELEVEn還有台鐵(遭駭)的案例,根據初步調查結果,是因為這些廣告媒體在系統裡面,有使用到中國的軟體。」國家通訊傳播委員會(NCC)主委翁柏宗說。
因為用「中國軟體」,所以被「中國駭客」攻擊,這是政府為這次事件定義的因果關係;但,我們身邊充斥中國製造的硬體何其多,當中亦不乏夾雜陸商撰寫的軟體與韌體,難道,台灣已經被中國無孔不入了嗎?
其實,沒那麼驚悚。
「在我們經手的攻擊個案,很少是因為使用中國軟體而被駭。」台灣資安業龍頭趨勢科技的一名高階主管分析,駭客攻擊能否成功,主要與資安的漏洞多寡有關,漏洞愈多,譬如密碼太簡單,或是灌了防護力不足的防毒軟體,被駭客攻陷的可能性也愈高,「不管哪一國的軟體,只要有漏洞,就有被攻擊的可能。」他強調。
「難道後來總統府網站癱瘓,也是因為用中國軟體嗎?」資安專家、開放文化基金會董事長李柏鋒反問。
這座被駭的LED戶外看板,就是位於與高鐵緊密相連的台鐵新左營站,人潮熙來攘往。(圖/取自王浩宇臉書)
鎖定大公司軟肋!
外包廣告資安弱,一打見效
事實上,就趨勢科技、李柏鋒等資安專家的眼中,這次對岸駭客攻擊事件,論手法,其實並不高竿,「反而喔,他們有點是柿子挑軟的吃,專挑好打的打。」
怎麼說呢?表面上,統一超、台鐵,都是台灣大型的民營與國營事業,當這些「大咖」的廣告看板遭駭,的確會有一種巨人歌利亞被擊倒之感;但實際上,如果進一步去看,其實真正被駭的,是它們的外部供應商,而非其本身。
以台鐵為例,其唯一被駭的新左營站大廳看板,是一家名為「宣揚廣告」的廣告業者所租下,經過台鐵與檢調調查,這家資本額5百萬元、在人力網站揭露員工人數僅8人的中小企業,就是這次被駭客攻擊的主體。
「駭客入侵的電視螢幕牆,是宣揚廣告公司標租的廣告版面,廠商以外部網路介接,並未介接台鐵局公務網路。」台鐵資產開發中心副總經理劉睿紘說:「台鐵局內部資訊系統及資安防護未受到影響。」
竹山鎮的部分,該鎮公所連同紫南宮在內的5個戶外看板,則是由一家資本額1千3百萬元的戶外廣告看板商「久億光電」所供應,「這次是他們的後台被攻擊,不是我們鎮公所這邊,」竹山鎮公所主任祕書黃錦杰向我們表示。
至於統一超,其廣告聯播系統OPEN CHANNEL,則是委託資本額9千5百萬元、員工人數60人的「前線媒體」,這家聚焦AI廣告分析的業者代為營運。
中小企業、本業不在資安、難以配置許多資安人力,是這次被駭業者的共同特色,「我們最常遇到發生資安的,就是資源相對匱乏、沒辦法有很多人去維護資安的中小企業,甚至我們遇過到了現場,發現那家中小企業幾乎沒有做任何(資安)防護。」趨勢科技資深技術顧問簡勝財說。
「像7-ELEVEn本身的伺服器,因為他們要處理金流,所以資安一定比較嚴格,但是,承接他們LED看板服務的業者,(對資安)可能就沒那麼嚴謹。」李柏鋒分析,「像台灣很多診所的網路叫號燈,大多也是外包給廠商,(叫號系統)也沒什麼設密碼,就很容易被攻擊。」
也就是說,面對大企業、政府的網路後台,有著大批的資安人員防護,那些疑似來自對岸的駭客,為了迅速取得資訊戰「戰果」,進而恫嚇民眾,最快的途徑,就是轉而攻擊那些承接大企業訂單、沒那麼多資源維護資安的中小企業。
「這也是一種針對『供應鏈』的攻擊,」一名資安公司的主管向我們分析,「就是駭客先從一家企業的供應商做攻擊,再看能否進而攻入這個企業本身。」
除了「挑好打的打」,在資安專家的眼中,這次留下的駭客證據,許多是有如「急就章般」的粗糙。
只被爛圖片嚇到…
威脅手段拙劣,恐只是交差
「像那些7-ELEVEn被放的圖片,你可以看到那些圖的尺寸、解析度,並沒有很合螢幕(的尺寸與解析度),這代表那個駭客很急,所以隨便放了一張圖,連解析度都沒有調,他人就跑了。」李柏鋒認為,假如是埋伏許久、且整個系統都被攻陷的駭客行為,不會如此不細膩。
再者,他指出,如果是要恫嚇人,「7-ELEVEn的廣告看板還有裝人臉攝影機耶,今天如果是我,就會進一步駭那個人臉辨識系統,然後把某個政要的照片,譬如他去全台灣每個的照片,全部投射在螢幕上,這才嚇人!」
但結果是沒有,顯示這次的駭客,並無暇做出上述那種更細膩的駭客工事,反而似乎是為了「跟長官交代」,草草放了一張圖片後,就迅速逃逸。
這次承接台鐵新左營站的宣揚廣告、竹山鎮公所的久億光電,都被查出使用同一家中國業者「卡萊特」的軟體,因而讓外界有「使用中國軟體所以被駭」的推論,但若細究這家陸商,會發現另一個隱藏鮮少被討論的危機。
因為用中國軟體所以被駭,是行政院對這次駭客事件的解釋。(圖/行政院提供)
深圳商制霸LED
產品「一條龍」,台灣難拆招
總部位於深圳、2012年成立的卡萊特,其實不是一家軟體商,而是97%營收來自於硬體、僅3%為軟體的公司。它在對岸被稱為「LED顯示控制系統第一股」,專門做LED戶外顯示器的控制設備,產品分為LED顯示控制系統、視頻處理設備、聯網播放器三類,又以前兩者為主,加總的營收占比近九成。
卡萊特的下游客戶,是LED戶外顯示器的終端業者,前三大客戶為強力巨彩、利亞德、洲明科技,這三家中國業者,也剛好是全球LED戶外顯示器市占前三的業者;事實上,在該市場,陸商合計拿下逾60%的全球市占率,且前8大業者,有七家都是中國公司。
如果再看LED顯示器的上游:LED晶片,不僅龍頭三安光電拿下近半市占率,整體陸商加總更超過七成,換言之,LED就如同太陽能,是另一個在上中下游、從晶片到控制設備到終端,都被中國業者一手「宰制」的產業。
這次宣揚廣告、久億光電所使用它的軟體,極可能是附屬在其聯網播放器的硬體裡,而且以卡萊特的客戶都是前三大LED戶外顯示器廠來看,其市占率與產品通用性都高,台灣的戶外廣告業者,很難不會買到該公司的設備。
「LED戶外顯屏大陸做很多,再加上市場都在大陸,這次是一個警訊。」台灣LED業者隆達總經理唐修穆說。這個評論,也點出當一個產業上中下游都被同一國控制,並且挾其軟硬整合的產品行銷世界時,假若這個國家與我國是敵對關係,台灣有足夠的產業養分與政策工具,拿出另一套我們可以自主生產的產品嗎?