裴洛西

【為什麼我們要挑選這篇文章】裴洛西來台當天,台灣數個看板被駭,文字與圖片手法都很拙劣。受害的地方有 7-ELEVEN、台鐵、學府網站等,引起眾人對於台灣資安的討論。究竟駭客是抓到什麼弱點駭進看板裡,真的達成目的了嗎?背後隱藏了什麼更嚴重的問題呢?(責任編輯:洪郁萱)

「那個電視牆喔,那天被『駭客』之後,昨天還被吊車吊下來檢查!」手指著一座大型 LED 戶外看板,一位竹山紫南宮的駐廟警衛向我們描述,8 月 3 日美眾議院議長裴洛西訪台隔天,這座看板被駭的「災後」現場。

不只這座正對紫南宮的看板,包括竹山鎮 5 座戶外看板、台鐵新左營站的大廳看板,也在同一天被指控裴洛西是「老巫婆竄訪台灣」的簡體字覆蓋;以及,也是讓不少台灣人驚恐的,是全台擁有 6 千多家 7-ELEVEn 的統一超商,多家門市螢幕都在 8 月 3 日這天,被駭入並覆蓋「戰爭販子裴洛西滾出台灣」的字樣。

用中國軟體出包?被駭不單純,但沒那麼驚悚

由於統一超商、台鐵、紫南宮,都是台灣人潮聚集的公共場所,不僅格外讓人毛骨悚然,駭客刻意展現自身戰力、「秀肌肉」之心,亦不言而喻,而當晚的行政院記者會,是這樣定調這起駭客事件的:

「7-ELEVEn 還有台鐵(遭駭)的案例,根據初步調查結果,是因為這些廣告媒體在系統裡面,有使用到中國的軟體。」國家通訊傳播委員會(NCC)主委翁柏宗說。

因為用「中國軟體」,所以被「中國駭客」攻擊,這是政府為這次事件定義的因果關係;但,我們身邊充斥中國製造的硬體何其多,當中亦不乏夾雜陸商撰寫的軟體與韌體,難道,台灣已經被中國無孔不入了嗎?

其實,沒那麼驚悚。

「在我們經手的攻擊個案,很少是因為使用中國軟體而被駭。」台灣資安業龍頭趨勢科技的一名高階主管分析,駭客攻擊能否成功,主要與資安的漏洞多寡有關,漏洞愈多,譬如密碼太簡單,或是灌了防護力不足的防毒軟體,被駭客攻陷的可能性也愈高,「不管哪一國的軟體,只要有漏洞,就有被攻擊的可能。」他強調。

「難道後來總統府網站癱瘓,也是因為用中國軟體嗎?」資安專家、開放文化基金會董事長李柏鋒反問。

這座被駭的LED戶外看板,位於與高鐵緊密相連、人潮熙來攘往的台鐵新左營站。(圖片來源:取自王浩宇臉書)

鎖定大公司軟肋!外包廣告資安弱,一打見效

事實上,就趨勢科技、李柏鋒等資安專家的眼中,這次對岸駭客攻擊事件,論手法,其實並不高竿,「反而喔,他們有點是柿子挑軟的吃,專挑好打的打。」

怎麼說呢?表面上,統一超、台鐵,都是台灣大型的民營與國營事業,當這些「大咖」的廣告看板遭駭,的確會有一種巨人歌利亞被擊倒之感;但實際上,如果進一步去看,其實真正被駭的,是它們的外部供應商,而非其本身。

以台鐵為例,其唯一被駭的新左營站大廳看板,是一家名為「宣揚廣告」的廣告業者所租下,經過台鐵與檢調調查,這家資本額 5 百萬元、在人力網站揭露員工人數僅 8 人的中小企業,就是這次被駭客攻擊的主體。

「駭客入侵的電視螢幕牆,是宣揚廣告公司標租的廣告版面,廠商以外部網路介接,並未介接台鐵局公務網路。」台鐵資產開發中心副總經理劉睿紘說:「台鐵局內部資訊系統及資安防護未受到影響。」

竹山鎮的部分,該鎮公所連同紫南宮在內的 5 個戶外看板,則是由一家資本額 1 千 3 百萬元的戶外廣告看板商「久億光電」所供應,「這次是他們的後台被攻擊,不是我們鎮公所這邊,」竹山鎮公所主任祕書黃錦杰向我們表示。

至於統一超商,其廣告聯播系統 OPEN CHANNEL,則是委託資本額 9 千 5 百萬元、員工人數 60 人的「前線媒體」,這家聚焦 AI 廣告分析的業者代為營運。

中小企業、本業不在資安、難以配置許多資安人力,是這次被駭業者的共同特色,「我們最常遇到發生資安的,就是資源相對匱乏、沒辦法有很多人去維護資安的中小企業,甚至我們遇過到了現場,發現那家中小企業幾乎沒有做任何(資安)防護。」趨勢科技資深技術顧問簡勝財說。

「像 7-ELEVEn 本身的伺服器,因為他們要處理金流,所以資安一定比較嚴格,但是,承接他們 LED 看板服務的業者,(對資安)可能就沒那麼嚴謹。」李柏鋒分析,「像台灣很多診所的網路叫號燈,大多也是外包給廠商,(叫號系統)也沒什麼設密碼,就很容易被攻擊。」

也就是說,面對大企業、政府的網路後台,有著大批的資安人員防護,那些疑似來自對岸的駭客,為了迅速取得資訊戰「戰果」,進而恫嚇民眾,最快的途徑,就是轉而攻擊那些承接大企業訂單、沒那麼多資源維護資安的中小企業。

「這也是一種針對『供應鏈』的攻擊,」一名資安公司的主管向我們分析,「就是駭客先從一家企業的供應商做攻擊,再看能否進而攻入這個企業本身。」

除了「挑好打的打」,在資安專家的眼中,這次留下的駭客證據,許多是有如「急就章般」的粗糙。

TO 推薦閱讀:裴洛西訪台,總統府官網流量大爆衝!DDoS 可「事先預防」,台灣資安何時才能真正升級?

只被爛圖片嚇到…威脅手段拙劣,恐只是交差

「像那些 7-ELEVEn 被放的圖片,你可以看到那些圖的尺寸、解析度,並沒有很合螢幕(的尺寸與解析度),這代表那個駭客很急,所以隨便放了一張圖,連解析度都沒有調,他人就跑了。」李柏鋒認為,假如是埋伏許久、且整個系統都被攻陷的駭客行為,不會如此不細膩。

再者,他指出,如果是要恫嚇人,「7-ELEVEn 的廣告看板還有裝人臉攝影機耶,今天如果是我,就會進一步駭那個人臉辨識系統,然後把某個政要的照片,譬如他去全台灣每個的照片,全部投射在螢幕上,這才嚇人!」

但結果是沒有,顯示這次的駭客,並無暇做出上述那種更細膩的駭客工事,反而似乎是為了「跟長官交代」,草草放了一張圖片後,就迅速逃逸。

這次承接台鐵新左營站的宣揚廣告、竹山鎮公所的久億光電,都被查出使用同一家中國業者「卡萊特」的軟體,因而讓外界有「使用中國軟體所以被駭」的推論,但若細究這家陸商,會發現另一個隱藏鮮少被討論的危機。

因為用中國軟體所以被駭,是行政院對這次駭客事件的解釋。(圖片來源:行政院)

TO 推薦閱讀:裴洛西來台、中國軍事行動全球矚目!Y Combinator 創辦人建議台灣這樣抵禦海上封鎖

深圳商制霸 LED!產品「一條龍」,台灣難拆招

總部位於深圳、2012 年成立的卡萊特,其實不是一家軟體商,而是 97%營收來自於硬體、僅 3%為軟體的公司。它在對岸被稱為「LED 顯示控制系統第一股」,專門做 LED 戶外顯示器的控制設備,產品分為 LED 顯示控制系統、視頻處理設備、聯網播放器三類,又以前兩者為主,加總的營收占比近九成。

卡萊特的下游客戶,是 LED 戶外顯示器的終端業者,前三大客戶為強力巨彩、利亞德、洲明科技,這三家中國業者,也剛好是全球 LED 戶外顯示器市占前三的業者;事實上,在該市場,陸商合計拿下逾 60%的全球市占率,且前 8 大業者,有七家都是中國公司。

如果再看 LED 顯示器的上游:LED 晶片,不僅龍頭三安光電拿下近半市占率,整體陸商加總更超過七成,換言之,LED 就如同太陽能,是另一個在上中下游、從晶片到控制設備到終端,都被中國業者一手「宰制」的產業。

這次宣揚廣告、久億光電所使用它的軟體,極可能是附屬在其聯網播放器的硬體裡,而且以卡萊特的客戶都是前三大 LED 戶外顯示器廠來看,其市占率與產品通用性都高,台灣的戶外廣告業者,很難不會買到該公司的設備。

「LED 戶外顯屏大陸做很多,再加上市場都在大陸,這次是一個警訊。」台灣 LED 業者隆達總經理唐修穆說。這個評論,也點出當一個產業上中下游都被同一國控制,並且挾其軟硬整合的產品行銷世界時,假若這個國家與我國是敵對關係,台灣有足夠的產業養分與政策工具,拿出另一套我們可以自主生產的產品嗎?

延伸閱讀
唐鳳出招擊潰中國網攻「網站一秒都沒卡過」如何破解駭客之亂?他用「接線生換機器人」巧喻

國防部外交部每分鐘被攻 1.7 億次!駭客組織「APT27」認對台特別行動、40 秒嗆聲片曝光

從竹科七家半導體廠遭駭,到七家金融業者遭攻擊! 中國駭客全新手法,為何一般資安軟體難抓出?

(本文經合作夥伴 今周刊 授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為〈「裴洛西滾出台灣」小七、台鐵廣告看版被駭,專家:LED從晶片到軟體都被中國掌控,台灣能自主生產?〉。 圖片來源:翻攝自 PTT)