梁兆昌
公共專業聯盟
www.procommons.org.hk
8月10日,香港聯交所「披露易」網站受到分散式阻斷(DDoS)攻擊,七間上市公司因為不能在該網站向公眾披露財務信息,被迫停止交易一整天。翌日,披露易網站回復運作,但黑客懂得變招攻擊,網站服務一度不穩定。
攻擊精準 「披露難」
聯交所事後透露,攻擊來自香港以外,只癱瘓服務而未有侵入系統內部。至於被攻擊的形式和被利用的漏洞、佔用的頻寬,似乎就屬於「披露難」。雖然有報章言之鑿鑿,說只有幾百台中、美、俄、韓的電腦參與攻擊,不過日常光顧網站的人何止上千,幾百台攻擊者斷不會令聯交所這般頭痛,估計是更多的源頭先後參與攻擊,混在正常用戶之中難以區分,而攻擊更可能有針對網站的程式漏洞,才會難以應付。
攻擊者出招顯然經過精密計算,他們針對一個發布資訊的附屬系統,保安措施可能相對較少,未有觸及主網站和交易系統等較敏感的系統,而且選擇在多個成份股公布業績的日子發功,在最脆弱的日子攻擊最脆弱的一點,一擊即中。
警方在8月19日拘捕一名疑犯,落案控以不誠實使用電腦罪。究竟被捕人士是攻擊的元兇抑或跟風客,有待証實。但是,如果攻擊真是由職業黑客策劃,利用大量殭屍電腦從世界各地分散攻擊,偵查工作應該會十分困難。
風險評估過於樂觀
聯交所的系統應該一向有風險評估,也投資了不少在保護控制上,而且定期有保安審計,為甚麼仍會滑鐵盧?
首先,所有保安工作,都是建基於良好的風險評估; 現實世界不斷轉變,黑客的技術能力迅速提升,尤其是近年殭屍網絡十分猖獗,黑客控制數以百萬計的電腦,如果進行DDoS攻擊,難以簡單阻擋。況且,倫敦證券交易所去年八月遭遇網絡攻擊,導致至少五家公司股價崩潰,而美國納斯達克去年也受過黑客攻擊。紐約、倫敦證券交易所先後受襲,香港又豈能心存僥倖? 雖然披露易網站的資訊毫無秘密,但由於披露過程關乎公平交易,其敏感程度仍是很高的。如果披露易網站的保安風險評估過於樂觀,那麼,隨後的保護、延續計劃和事故回應的要求便不足夠,就算保安審計過關,仍然不能應付未有預見的威脅。
其次,聯交所未受過大規模的攻擊,有沒有預備電腦系統癱瘓時的半人手或全人手運作?事故回應的準備是否有足夠鍛鍊?上報的機制是否有效率?
事件證明,聯交所整個系統過份倚賴披露易網站,對DDoS攻擊手足無措,缺乏周詳的延續計劃,又延至晚上才報警,反應較慢。
不過,聯交所在這次處理上還沒有亂,謹慎地找到問題所在、影響範圍和解決方法,讓系統回復正常。
改變思維 應對新威脅
納斯達克CEO格菲特曾說,證券系統的攻擊無日無之。在2009年,Google和另外二十家公司被專業黑客入侵偷取信息。2011年,黑客入侵為政府和企業提供安全技術服務的RSA公司的網絡,盜取了保安編碼技術的信息,導致RSA要更換所有客戶的保安編碼器。資訊保安公司McAfee在八月發表的報告證實在過去五年,十四個國家遭受先進和持久的攻擊,構成經濟損失和威脅國家安全。
我們須要超越傳統的思維,假設系統會被入侵來制定策略。首先,對自己的系統,可以黑客的思維和攻擊模式進行滲透測試,加強對防禦措施的壓力。第二,制定被成功入侵時的對策,包括如何使用其他途徑披露資料,而且,要定期進行演習,加強回應的能力。至於難以制止和阻截的DDoS攻擊,惟有把內容「全球性」分散,和事先引進防DDoS的技術,「清洗」攻擊。
本年初惡意軟件Stuxnet無聲無息地鑽入伊朗核電廠的控制系統,顯示黑客有能力滲透內部網路,比外部攻擊更可怕。所以要持續留意攻擊的發展,修正保護策略。
「披露易」網站癱瘓,不只是給聯交所的教訓,更是給政府的教訓: 在信息時代,保護關鍵的基礎設施(發電廠、供水設施、金融機構、股票市場等)免受網絡攻擊是必要的手段。在歐美和某些亞洲國家,政府在關鍵的建設和資訊基建的保護,極為積極,制定統一的策略,設立專責部門去協調各機構、設立信息交換平台、制定標準、檢閱應變計劃和進行演習。目前香港的政府、金融、證券、各基礎設施各自進行防禦工作,港府好應該馬上檢討現行的關鍵基礎設施的保護工作是否充足。