學術網路遭駭客攻擊之原因與方式
2019.12.20
瀏覽數
94
壹、新聞重點
香港教育局在2019年12月6日晚間確認,「網上學校行政及管理系統」(Web-based School Administrative and Management Systems;以下稱WebSAMS)遭到駭入,導致駭客順利侵入香港8間學校資訊系統,包括喇沙小學(La Salle Primary School)在內的3間學校檔案與資料外洩。WebSAMS係1994年由香港教育署開發,2006年起香港中小學全面使用該系統管理學生個資、成績、獎懲紀錄,有時甚至用以儲存學校財務資料。這個消息加劇家長對資訊安全管理的恐慌,而香港「立法會教育界功能界別」議員葉建源亦指出,情況恐怕比想像中嚴峻,因為尚不清楚駭客如何駭入WebSAMS,也無法研判短期內是否會有更多學校面臨類似的網路攻擊。
該起事件顯示學術網路的脆弱,即使在資安技術較為先進的美國,其各校學術網路也不能倖免於駭客的犀利攻勢。有鑑於此,同在美國「參議院國土安全與政府事務委員會」(Senate Committee on Homeland Security and Governmental Affairs)的參議員皮特斯(Gary Peters;民主黨,密西根州)與參議員史考特(Rick Scott;共和黨,佛羅里達州)於2019年12月16日提出法案,要求美國國土安全部(Department of Homeland Security)檢驗學校的資訊安全,並提出改善建議與增加防護預算。[1]
貳、安全意涵
學校是駭客網路攻擊的重災區,因為不同於政府與企業,學校通常採行分權化管理機制,難以對使用者制定與執行嚴格安全規範,加上學術網路的頻寬較大,如果使用者資安防範意識不足,駭客很容易趁隙入侵,竊取並兜售教學、專利內容及師生個資。此外,絕大部分初等教育學校並沒有足夠的專職資安員工,即使大學聘用專職網路維修管理人員,也並未賦予他們監控學術網路的完整權限,以全天候預防與因應駭客的網路攻擊。[2]
一、竊取資料仍是駭客網攻學校的主要動機與形式
研究指出,駭客網攻學校以竊取個資和研發成果為主要動機。K12網路安全資源中心(K-12 Cybersecurity Resource Center)從2017年開始發布美國學校遭到網攻的報告,顯示2017年有218起、2018年有124件、2019年至10月31日為止則已有301次網攻。在這些網攻事件中,數據外洩(data breach)是最大宗(31%)、惡意軟體占23%、釣魚攻擊占13%、阻斷服務攻擊占4%。數據外洩泛指未經許可、取得用戶登入權限以獲取特定資料的現象,例如新聞重點所載的香港WebSAMS遭駭事件,雖然尚不明瞭歹徒真實目的,但最嚴重的後果是這些師生的資料流入暗網,任由有心人士交易,造成更進一步且更大規模的數據外洩。其次,惡意軟體也是駭客勒索學校的常見途徑,以往學校大多是駭客攻擊其他基礎設施的跳板,但值得注意的是,近年來學校反倒成為勒索的對象。緊接在後的是釣魚攻擊,乍看之下總次數不多,但由於使用者並不會通報所有釣魚事件,因此實際上發生的頻率可能更高。[3]
二、學校的自由主義風氣使其易成為激進份子網攻標靶
除了內部控管人力與資源短缺,相較於其他關鍵基礎設施,學校還有另一項特色,使其容易遭到激進駭客的網路攻擊。由於學術自由風氣使然,學校通常奉行開放、進步、多元等理念,並扮演自由思想傳播者的角色,然而這些理念不容於社會極端或者保守主義,故在美國時有駭客藉由網攻學校,以散播種族主義仇恨言論,企圖製造校園與社會對立。例如在2016年,美國馬里蘭大學(University of Maryland)與普林斯頓大學(Princeton University)等校共2萬多台聯網印表機,接連遭駭並且印出宣揚反猶與新納粹主義的傳單,引起軒然大波。主事者奧恩海默(Andrew Auernheimer)宣稱此舉乃為喚醒保障白人學生的權益,並揚言持續鎖定其他聯網裝置,儘管當時校方皆迅速予以譴責,已無法阻止其他駭客效尤該起事件手法,駭入麻薩諸塞大學安姆斯特分校(University of Massachusetts, Amherst)等校的印表機,並傳送類似種族主義思想傳單。[4] 雖然種族主義並非所有國家的夢魘,但在學運風起雲湧的當代,不排除有心人士使用同樣網攻學校手法,在學運高峰時製造衝突。
參、趨勢研判
一、隨著國際間科技競爭態勢升高,駭客網攻學校機率將更高
大專院校擁有創新研發實力,因此常與政府或軍隊合作專案計畫,然而其防護措施卻不夠牢固,隨著政府與軍事承包商資安防護網的提高以及科技競爭局勢加劇,導致境外駭客如欲竊取機密,鎖定大學反而更容易得手。跨國管理顧問公司埃森哲(Accenture)旗下的資安情報部門iDefense在2019年3月發布報告,揭露中國駭客組織至少從2017年4月開始,針對麻省理工學院(Massachusetts Institute of Technology)在內的27間美國、加拿大、韓國的大學發起網攻。這些大學皆為海事軍用技術研發重鎮,即使未設有相關實驗室或研究中心,至少也有重要師資在這幾所學校服務,可見中國駭客目的是為了竊取水下技術等研發成果,以強化本身軍隊現代化能力。
無獨有偶,美國與伊朗的對峙有增無減,而伊朗為了突破技術封鎖,其駭客組織於2018年也曾仿製歐美等76所大學的首頁,企圖誘騙教師登入以取得帳號密碼。駭客得逞之後會自動將網頁轉入正常的登入後頁面,使得受害者渾然不覺機密已被竊取,據信伊朗至少從這些大學取得將近140兆位元組(terabyte, TB)的尚未出版文件與專利。倘使美國維持抑制中國科技發展以及制裁伊朗的力道,中伊兩國駭客鎖定世界各國大學科研機構的可能性將持續升高。[5]
二、虛擬貨幣的盛行將助長駭客攻擊學校主機的趨勢
網路管制相對鬆散的學校,提供學生或員工利用校園設備與盜取電力,以挖取比特幣(Bitcoin)等虛擬貨幣的誘因,這些挖礦軟體可能暗藏惡意軟體,導致校園網路系統成為駭客侵入的溫床。更有甚者,駭客也會讓大學電腦主機感染挖礦程式,製造殭屍網路(Botnet),據統計因為近年來虛擬貨幣價值的增長,使得殭屍網路在大學校園主機發生的頻率,是一般場所設備的5倍之多。而台灣學術網路危機處理中心亦發現,駭客利用受害大學電腦主機挖礦的行為,自2018年初起益發頻仍,曾有英國駭客暴力破解密碼後入侵校園主機,置入挖礦程式,而且為了避免被使用者偵測,以1分鐘為執行間距,啟動每一次的挖礦作業。[6] 儘管虛擬貨幣價值起伏不定,但擅用學校資源挖礦是個無本生意,後果還可以轉嫁至其他使用者,故只要虛擬貨幣仍然保值,駭客網攻學校主機的趨勢不會有所減緩。
[1]Danny Mok, “Hong Kong schools fall victim to cyberattack, raising fears for private data of pupils,” South China Morning Post, December 7, 2019, https://www.scmp.com/news/hong-kong/law-and-crime/article/3041065/hong-kong-schools-fall-victim-cyberattack-raising; Maggie Miller, “Senators introduce legislation to protect schools against cyberattacks,” The Hill, December 16, 2019, https://reurl.cc/OboLr3.
[2]Michael Alao, “Public School Governance and Cyber Security: School Districts Provide Easy Targets for Cyber Thieves,” SSRN Electronic Journal, November 18, 2013, https://ssrn.com/abstract=2356482; Ion Goran, “Cyber Security Risks in Public High Schools,” City University of New York Academic Works, 2017, https://academicworks.cuny.edu/jj_etds/5.
[3]The K-12 Cybersecurity Resource Center, https://k12cybersecure.com/map/; Barracuda, “Threat Spotlight: Cyberattacks Against Schools,” ISBuzz News, October 31, 2019, https://reurl.cc/0zeljY.
[4]Mary Hui and Susan Svrluga, “Hacker sends anti-Semitic fliers to network printers at Princeton, many other colleges,” Washington Post, March 30, 2016, https://www.washingtonpost.com/news/grade-point/wp/2016/03/29/hacker-sends-anti-semitic-fliers-to-network-printers-at-princeton-many-other-colleges/;吳依恂,〈兼顧安全與自由的學術網路〉,《資安人》,2009年7月13日,https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=5116;羅正漢,〈為什麼學校印表機會被入侵〉,《IT之家》,2017年5月27日,https://www.ithome.com.tw/news/114128。
[5]Dustin Volz, “Chinese Hackers Target Universities in Pursuit of Maritime Military Secrets,” Wall Street Journal, March 5, 2019, https://reurl.cc/qDq4on; Anthony Cuthbertson, “Iranian hackers attack UK universities to steal secret research,” Independent, August 24, 2018, https://reurl.cc/drolOM; 劉宜庭,〈中國盜海事軍用機密 2年駭全球27大學〉,《自由時報》,2019年3月7日,https://news.ltn.com.tw/news/world/paper/1272337。
[6]〈大學應提防加密貨幣挖礦攻擊網路系統〉,《大學世界新聞》,814期,2018年4月12日,https://epaper.edu.tw/windows.aspx?windows_sn=21096;〈校園Linux 主機感染挖礦程式事件分析報告〉,台灣學術網路危機處理中心團隊,2018年5月,https://portal.cert.tanet.edu.tw/docs/pdf/2018052502050404129385033631215.pdf。