• 2020年网络安全界的三只黑天鹅:新冠、大选、奥运;

  • 每一次奥运,面临的网络攻击威胁都是上一届的N倍;

  • 国家黑客攻击的目标不仅仅是奥运IT系统,还包括孙杨药检事件的主角之一——国际反兴奋剂机构(WADA),后者导致俄罗斯再次被奥运会“隔离”;

  • 平昌奥运会黑客攻击事件表明黑客已经从“魔法攻击”跨界到“物理攻击”和“心理攻击”;

  • 日本准备重用人工智能技术提升安保水平。

距离东京奥运会的开幕式只有不到四个月时间,除了新冠病毒的威胁,一场几乎无可避免的大规模网络攻击也正在逼近。

进入新世纪以来,奥运会的网络安全危机逐步累积,攻击矢量、数量、影响范围和威胁等级也不断上升,直到2018年平昌冬奥会,网络攻击将奥运IT安全运维人员的恶梦变成了现实。

东京奥运会

平昌冬奥会:奥运安保的切尔诺贝利

2018年2月9日晚,平昌冬奥会开幕式在即,奥组委技术部门却发现,奥运会IT基础架构骨干网络的域服务器大面积瘫痪!紧接着,是开幕场馆的WIFI全部掉线,现场记者无法回传新闻,互联网IP电视直播中断,官网数字门票APP失联,甚至通往所有馆场的RFID安全门全部失灵……直到凌晨,技术部门才艰难决定将平昌奥运会的整个网络从互联网上断开,暂时关闭所有服务,专注寻找、清除已经入侵的恶意威胁。这也是之后,奥运会官网、票务等系统被外界发现曾在那段时间无法正常访问的原因。

事件发生后12小时,问题才得到了彻底的解决,关键服务器完成了重建,服务通道正式重启。

以上听起来是不是特别耸人听闻?但很不幸,这可能只是奥运会未来要面对的大规模阵地战前的一次小的遭遇战。

在这场惊心动魄的“对抗”之前,平昌冬奥会网络安全小组从2015年就开始进行数十次会议推演和大规模“安全演习”,但依然没能抗住黑客的第一波打击。

事后,一位不愿公布姓名的美国官员向《华盛顿邮报》透露,因为不满索契禁药事件后俄罗斯被国际奥委会禁赛,俄罗斯军事机构GRU执行的这次伪装攻击行动入侵了数百台平昌冬奥会相关电脑和路由器。

平昌奥运的网络攻击事件表明,黑客攻击已经从“魔法攻击”跨界到“物理攻击”,通过对物联网系统的渗透,黑客不但可以让奥运会“掉线”,还能让工控系统和物理设施“掉链子”,在特定战术下,甚至让奥运观众、参与者和主办方遭受“心理打击”。

东京奥运,兵临城下

东京奥运会

近日,分别有两拨威胁专家表示,国家级的黑客活动将对东京奥运会发起大规模破坏性攻击。

根据网络威胁联盟(CTA)2月20日发布的评估,在即将于今年7月在东京举行的夏季奥运会期间,日本在亚太地区的竞争对手可能会发起网络攻击和散布虚假信息。

CTA首席分析官尼尔·詹金斯(Neil Jenkins)表示:

根据2018年韩国平昌奥运会的攻击经验,攻击者很可能针对奥运会的基础设施破坏性的网络攻击和分布式拒绝服务(DDoS)攻击。此外,对与奥运会有关组织(例如孙杨‘药检门’中为国人所熟知的世界反兴奋剂机构WADA)的攻击也可能会在比赛之前进行。

东京奥运的网络威胁雷达图:优先级最高的是外国情报机构(包括国家黑客)和网络恐怖分子

詹金斯认为:

最令人担忧的威胁来自俄罗斯、朝鲜等国家黑客的破坏性网络攻击和虚假信息宣传,虚假信息近年来是国家黑客的常见操作策略。谣言和虚假信息不但可导致针对性的数据泄露,而且会让主办方的声誉和人设崩塌。

兰德威胁分析报告则强调,奥运会不只是国与国之间的体育竞技舞台,政治紧张局势下各方势力的“角力”往往也会蔓延到网络空间战场。兰德将2020年东京奥运会面临的威胁分为四大类:

四大类威胁:

  • 针对性攻击:针对高价值奥运资产和个人或组织。

  • DDoS攻击:针对东京奥运会基础设施和网络。DDoS的攻击者可以是国家黑客这样的高级攻击者,也可以是黑客独狼和技术爱好者。关注的重点是DDoS方法,以及基于物联网的僵尸网络。

  • 勒索软件攻击:勒索软件攻击将影响甚至瘫痪大面积的设备、服务和基础设施,包括交通、会议电子设备和销售终端。

  • 网络谣言与舆论误导:网络谣言和舆论操纵不但能给个人、组织和国家造成巨大声誉损失,甚至可能导致奥运会本身被中断。

根据JPCERT/CC提供的2012-1016年网络威胁报告(上图),钓鱼网站呈现明显的上升势头,此外JPCERT的报告还指出,近年来专门针对日本的针对性黑客攻击组织主要有三个:Daserf APT、Operation Dust Storm和Operation Quantum Entanglement,这三家黑客组织瞄准的是日本的电力、石油天然气、建筑、金融和交通等关键基础设施。

根据RAND《2020年奥运会威胁评估报告》,在2008、2010、2012年奥运会上,在线攻击仅限于欺诈和普通黑客行为,但2012年开始,奥林匹克公园电力系统遭受长达40分钟的拒绝服务攻击,此外黑客从90个IP地址对奥运会服务器发起洪水般的攻击。

兰德公司在报告中指出:

奥运会吸引了来自200多个国家的媒体和运动员,上千万的外国游客,是一个攻击目标极大丰富的环境。如此高的知名度使奥运会成为一个极具诱惑力的目标,无论攻击者的动机是寻求造成政治影响,还是通过网络犯罪一战成名,或者单纯地与韩国为敌。

企业数据安全公司SecureAge的首席运营官杰里·雷(Jerry Ray)说,俄罗斯黑客很可能会攻击奥运会,在与日本发生领土纠纷以及与世界反兴奋剂组织WADA的长期交锋后,俄罗斯不仅有能力而且有破坏东京奥运会的意愿和动机。

在2月20日的声明中,安全公司FireEye也得出类似结论,并进一步认定俄罗斯情报集团GRU Unit 74455对平昌奥运会的袭击负有责任。该组织也称为Sandworm,被认为是攻击乌克兰基础设施和2016年美国大选的幕后黑手。(参考阅读:俄罗斯人黑了冬奥会 却试图嫁祸朝鲜人)

FireEye情报分析高级主管约翰·霍尔特奎斯特在声明中指出:

除了选举干扰、乌克兰停电和NotPetya事件外,我们认为该组织还是平昌奥运会黑客攻击的幕后黑手。值得注意的是,他们没有因试图破坏奥运会而受到公开谴责,我们担心这些攻击者的下一个目标是今年的东京奥运会。

雷说:

俄罗斯再次对WADA采取行动只是时间问题。这些攻击很可能是数据泄漏和虚假信息的结合,目的是向参加比赛的运动员公开私人或医疗信息,并将其更改以使其他国家或反兴奋剂官员感到尴尬。

CTA的詹金斯说:

由于大量潜在受害者利用在线系统开展业务,因此最有可能的威胁是在线欺诈、钓鱼等犯罪活动。运动员、观众、赞助商和官员都必须保持警惕,并注意以奥运会为诱饵的骗局,网络钓鱼电子邮件和欺骗性网站。

东京奥运安保:人工智能的首次大规模应用

面对史上网络安全形势最为严峻的一届奥运会,日本的网络安全形势不容乐观,根据CTA的报告,日本企业的网络安全成熟度也全面落后于美国和欧洲企业,很多日本企业都欠缺必要的安全治理、业务流程和IT架构,人才短缺更是让日本的网络安全问题雪上加霜。

因此,如何借助奥运会提升国家网络安全竞争力也是日本安倍晋三政府的重点计划之一,在2018年颁布的新一代网络安全战略中,日本政府鼓励企业界积极投资网络安全相关的业务运营、风险管理和技术创新。

东京奥运会上,日本对人工智能的大规模应用充满信心,其中也包括人工智能安保技术。

人工智能安保技术首次大规模应用

2020年东京奥运会和2020年残奥会将是AI安全应用程序的首个大规模应用案例,意义已经超过了奥运会本身。已经开发和部署的人工智能安全技术包括:实时监控与自动识别(包括人脸识别)、人工智能预测系统、人工智能警察巡逻系统。

人工智能技术是日本的国家科技战略投资重点,过去多年日本政府一直在与科技公司合作,利用AI技术极大提高奥运安保系统安全性,例如企业界与东京都警察局合作部署的恐怖分子智能识别系统(上图,实时监控和自动识别系统),主要用于过境到达点以及人群涌入活动场地时的监控识别与身份验证,该系统中的面部识别系统由NEC开发,是目前识别准确率最高的系统之一。

此外还有预测系统,有助于改善活动场所及其周围的人员流动和运输效率。人群预测系统还可以用于在奥林匹克运动会结束时激进的人群一起离开时,实时管理场馆周围的行人和车辆流量。该系统将利用预先收集的实时数据来访问会场周围的情况,预测每个点的拥堵情况,预测流量,并使用电子标志和/或智能手机消息将观众引导至最佳出口路线。

东京奥运的人工智能警察巡逻系统由日本安全公司ALSOK开发,由安装摄像头的自动漫游机器人和情感可视化系统组成。该系统不仅能识别可疑包裹,还可以监控人群的“情绪波动”。

研究表明,参与犯罪或恐怖活动的人经常表现出抽搐、颤抖、脸红、行为起伏等生理迹象。ALSOK的AI系统会根据身体信号(例如抖动)来测量心理状态,在显示屏上对周围环境中的人进行编码和色值标注。

安全普查与安全教育

日本已经准备在奥运会前进行更多的网络活动。作为2014年旨在改善其基础设施网络安全的法律的一部分,该国成立了一个委员会来研究应采取的安全措施。2019年,政府宣布扫描全国2亿个互联网连接设备的漏洞(全民网络设备漏洞普查,此举因涉嫌侵犯公民隐私受到电子前沿基金等组织指责)。

SecureAge的雷认为:

奥运开幕已经进入倒计时,目前可以做的最有效的事情就是在全国范围推动公民和游客的安全意识教育,提高自我保护能力,因为人为因素通常是网络安全链中最薄弱的环节。

【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】