奥运会等重大体育赛事的网络安全威胁评估

就在2018年2月举办的韩国平昌奥运会开幕前,网络安全公司迈克菲(McAfee)的报告称,黑客组织已针对平昌奥运会部署了鱼叉式网络钓鱼攻击,可能会涉及财务和其他敏感信息。据报道,许多与平昌奥运会相关的组织都收到了钓鱼信息。此外,美国加利福尼亚大学研究人员近期也发出警告,预计将会有更多针对重大体育赛事的网络攻击。因此,分析重大体育赛事网络攻击产生的动因,探讨此类网络攻击的目标、类型、特征,构建防范重大体育赛事的应急响应机制,对赛事相关各方具有重要意义。

一、重大体育赛事网络攻击的动因

针对重大体育赛事的网络攻击,其背后有复杂的动因,不仅涉及政治、经济,还涉及网络恐怖主义和网民情绪等。美国加州大学伯克利分校长期网络安全中心(CLTC)的《奥运会网络安全:新机遇新风险》(The Cybersecurity of Olympic Sports: New Opportunities, New Risks)报告提出三个主要发现:第一,随着数字技术对奥运会的影响越来越大,新的安全威胁很可能会带来更严重的后果;第二,影响体育诚信的黑客攻击特别令人担忧;第三,将新技术引入大型体育赛事带来潜在网络安全风险。

1. 线下诉求线上反映的政治目的

在线下,一些人希望外界倾听自己的声音,然而当这种意愿得不到满足的时候,他们则会转至线上发布诉求,甚至发动网络攻击。2012年初,网络黑客组织“匿名者”(Anonymous)对世界一级方程式锦标赛(F1)官网进行攻击,并在事后强调,攻击行为主要针对巴林政府侵犯人权。随后,Anonymous声称对F1官网展开新一轮攻击,破坏F1网站的转储服务器和数据库,甚至包括F1服务器的信用卡客户资料。由于加拿大魁北克当地的学费被大幅提高引发多次集会抗议事件,Anonymous对当局不满,于是决定在F1加拿大分站进行期间攻击F1网站,从而引发全球关注。2014年巴西世界杯期间,黑客组织制定“攻击世界杯行动”计划,主要目的是对巴西的贫困现象、腐败和警方暴力表示抗议。该黑客组织在推特发文宣布,他们已经实施了一百多次网络攻击,包括巴西足球协会、巴西司法部、圣保罗军事警察机构、巴西银行等机构的网站。

2. 窃取财务票务网络数据的经济目的

有分析认为,“奥运期间大量产生的经济交易就像磁铁一样吸引来各种网络经济犯罪”。由于支付、票务、财务系统的网络化,其面临网络攻击的风险越来越多,相关案例经常见诸媒体,由此带来用户财务数据泄露情况经常发生,特别是电子支付方式,其潜在风险不容忽视。在2012年伦敦奥运会期间,收到电子邮件通知赢得奥运相关彩票的收件人,被要求支付“手续费”进行兑奖。2018年1月,英国广播公司报道,在过去数次针对平昌冬奥会的网络攻击中,黑客曾试图窃取密码及财务数据。

3. 实现网络威胁和恐吓目的

2017年10月,恐怖组织“伊斯兰国”(ISIS)发布图片,威胁将于2018年俄罗斯世界杯期间发动恐怖袭击。该图片的背景为2018年世界杯的一处比赛场馆,场馆前为一名手持枪械的“圣战”分子、炸弹以及世界杯的图标。简氏防务曾警告说,2018年世界杯可能会成为“伊斯兰国”特别关注的目标。简氏防务中心负责人亨曼(Matthew Henman)说:“成功的袭击将为‘伊斯兰国’及其战斗人员和支持者提供巨大的宣传推动力,尽管其丧失了领土,但依然具有较大的国际威胁。”此前,针对2016年里约奥运会,包括“伊斯兰国”在内的恐怖组织通过暗网论坛和加密社交媒体应用Telegram和Twitter等,公开宣扬在巴西发动恐怖袭击。从重大体育赛事的历史进程看,尽管在各方的努力下这类安全威胁事件未能真实上演,但是,未来恐怖分子通过互联网技术和恐怖袭击对人身安全造成的威胁依然存在。

4. 网民情绪发泄和泄愤目的

2008年,日本选手浅田真央在韩国高阳举行的世界滑冰锦标赛上击败韩国选手金妍儿之后,韩国网站VANK因遭到日本网民的攻击而瘫痪。有报道说,这是对此前韩国部分网民集中攻击日本网站的回击。美国媒体评论说,看来攻击对手的网站已经成为韩日两国庆祝滑冰比赛胜利的方式。韩国民间团体、网络外交使节团VANK团长朴基泰表示,如果对此置之不理,国际社会就会误解一直正面宣传韩国国家形象的VANK为“恐怖组织”,过去所付出的努力就会化为泡影。2016年里约奥运会期间,国际奥委会禁止100多名俄罗斯运动员参赛,并对俄罗斯全员禁赛残奥会。虽然俄罗斯运动员也许有服用禁药的事实,但是世界反兴奋剂机构(WADA)如此严厉的行为,让俄罗斯人感到不公。2016年9月,俄罗斯黑客组织“奇幻熊”(Fancy Bears)入侵世界反兴奋剂机构服务器的行为,似乎是对此事件的回应。

二、重大体育赛事的网络攻击目标

1. 赛事组织主办方

针对赛事主办方的网络攻击发生频率最高。2008年北京奥运会开幕之前,“暗鼠行动”(Operation Shady RAT)黑客曾攻击了一些体育管理机构网站。2014年世界杯期间,巴西官员遭到“黑客行动主义者”的网络钓鱼攻击,攻击者成功地入侵参与组织世界杯赛事的外交部许多官员的电子邮件账户。在2016年里约奥运会开幕之前,Anonymous上传至 YouTube两段英语和葡萄牙语的视频,宣布将向巴西政府和奥运会主办方发起网络攻击。同时,发布在Anonymous Brazil的Facebook主页上的一份目标名单,号召其他黑客也发起攻击。虽然这些网站遭遇了“拖库”攻击,但并未泄露政府、私人敏感信息。据报道,参与2018年平昌冬奥会的部分相关组织,包括与冰球项目相关的组织、提供基础设施以及担任活动支持的机构等,在奥运会开幕全就已收到恶意邮件。

2. 裁判员和运动员

针对裁判员和运动员的网络攻击主要会影响裁判员对比赛结果的判断和运动员的赛程表现。一方面,网络攻击通过修改评分系统,在不被发现的情况下修改体育赛事成绩,可以直接或间接影响比赛的公平。另一方面,黑客攻击可以影响运动员的表现,例如操纵运动员的营养配餐和医疗护理等,也可能攻击运动员佩戴的电子设备和决定比赛结果的成绩判定显示系统等。此外,有关运动员的个人信息,也可成为黑客攻击的目标。2016年9月,俄罗斯黑客组织“奇幻熊”在网上公开世界反兴奋剂机构数据库泄露信息,包括威廉姆斯姐妹、体操名将拜尔斯在内的部分参加里约奥运会美国女运动员的保密医疗数据等。

3. 赛事观众和游客

由于重大体育赛事中使用网络设备人群数量的增加,赛事观众和游客的智能终端设备也可能成为网络攻击的目标,包括通过连接手机充电设备的USB连接线,获取设备的型号、IMEI信息、电话号码等;通过虚假充电站或接入点快速获取设备的root访问权限;通过假冒WiFi接入点或入侵合法的WiFi网络拦截或获取用户上网数据等敏感信息。2014年索契冬奥会期间,就曾发生过索契球迷个人设备遭遇黑客攻击事件。

4. 其他赛事相关方

重大体育赛事的互联网服务提供商(ISP)、赞助商、在线商店、酒店,甚至主办国家或城市的管理系统都是潜在的攻击目标。黑客和网络犯罪分子通过发起SQL注入攻击窃取数据库,随后在网上出售与会者、赞助商或运动员的信息。网络犯罪分子还可能使用虚假应用和网站攻击赞助者,使用跨站脚本等攻击信息载体,攻击与赛事相关的漏洞网页等。此外,赛事相关工作人员也是重要的攻击目标。2014年巴西世界杯期间,安全工作人员从域名监控系统发现使用恶意域名伪装成国际奥委会内网门户的网站,攻击者的目的是窃取在巴西工作的国际奥委会雇员的认证信息。

三、重大体育赛事的网络攻击类型

1. 对赛事传播系统的网络攻击

赛事传播系统的网络攻击主要包括对赛事主办方官网、赛事直播与报道媒介以及网络服务器等的域名攻击、DDoS攻击、数据信息篡改、非法链接插入、非法信息插播等。在巴西世界杯和里约奥运会期间,赛事相关体育网站都遭遇了DDoS攻击。2016年8月,Anonymous 波兰分支对世界反兴奋剂机构和国际体育仲裁法庭(CAS)网站服务器发起网络攻击,泄露相关数据,并发布其成员攻击CAS服务器过程的视频。随着新媒体和社交媒体的广泛应用,包括Facebook、Twitter等都出现了声称赠票的欺诈网页链接等。虚拟现实用于媒介传播后,可使观众全方位体验赛场环境,但是此类系统遭到攻击后,也会使不良画面和恐怖信息直接推送给观众,其所造成的影响则远不限于体育场内的观众。

2. 对财务票务系统的网络攻击

对赛事期间的票务、财务系统的网络攻击旨在获取经济利益,可能手段包括钓鱼攻击、域名攻击、假冒票务网站、财务敲诈等,例如以承诺赠送新车和门票为幌子而达到窃取用户信用卡数据的钓鱼攻击等。2014年巴西世界杯期间,网络犯罪分子以免费门票为诱饵发送恶意电子邮件,链接直接指向钓鱼网站。2015年,黑客策划劫持橄榄球世界杯网上门票销售系统,通过二级市场转售进而抬高票价。随着越来越多的票务与零售支付的捆绑发展,购票者在付款结算时也会遭到网络攻击。在巴西世界杯期间,网络犯罪分子在里约热内卢的ATM和零售终端系统部署读卡器等设备,记录ATM用户的银行卡信息,并在黑市出售。虽然为了打击信用卡克隆,巴西银行采用了先进的芯片技术,然而,巴西网络犯罪分子仍会找到交易漏洞,劫持芯片卡信息。

3. 对赛事支持系统的网络攻击

对赛事支持系统的网络攻击是重大体育赛事举办过程的核心威胁。对赛事支持系统的网络攻击包括对体育比赛赛程安排、运动设施、计分系统等的攻击,进而影响体育赛事的完整性和比赛结果。此类系统包括跟踪游泳者转身的计时板、长距离项目采用的GPS跟踪计时系统、田赛中的测量得分系统、跟踪用于铁饼、标枪和其他投掷运动的嵌入式RFID技术等。这些电子系统,一方面可以帮助解决比赛过程中出现的争议,同时,其脆弱性也会被网络攻击者利用,例如在2000年悉尼奥运会跳马比赛中器械被设置为不正确的高度就是一例。

4. 对赛事安保系统的网络攻击

对赛事安保系统的网络攻击目标包括关键信息基础设施、安检系统、电力系统、交通工具、医疗监测设备等保障体育赛事顺利进行的能源设施。2012年,伦敦奥运会主办方收到将在开幕式期间遭到黑客攻击关闭电源的警告。虽然幸运的是,这个威胁警告并未成为现实,但是随着关键基础设施系统的数字化程度越来越高,其他通过电子设备控制关键维护系统受到威胁可能会继续扩散。虽然早在数字技术出现之前,体育赛事期间发生恐怖袭击、机动车辆事故或人群挤压事件的风险已经存在,但是随着汽车的智能化发展,如果失控的运输车辆被远程控制进入比赛场地,就可能造成更大的伤害。在安检环节,如果全身扫描仪、面部识别系统等安检设备被黑客攻击,那么携带武器的恐怖分子有可能借机进入比赛场地,后果不堪设想。

四、重大体育赛事的网络攻击响应

重大体育赛事期间的网络攻击频率高、速度快。2008年北京奥运会期间,赛事组织方每日需要面对近一千二百万次网络攻击,并对可能产生重大威胁的事件做出响应。2012年伦敦奥运会报道了六起重大安全事件,其中五个事件涉及DDoS攻击或类似的攻击。专家预测,未来会出现更多针对体育赛事的黑客攻击事件。既然网络攻击无法避免,那么能够对重大体育赛事期间网络攻击做出及时响应和处置,就显得更为重要。

1. 构建体育赛事网络安全风险框架

《奥运会网络安全》报告借用“失效模式与效应分析”(FMEA)方法,以奥运会为例,从严重性、可能性和可探测性三个维度出发,提出评估数字技术在体育运动中潜在风险的理论框架,并强调那些重大体育赛事的安全官员应优先考虑评估网络安全风险的方法。报告认为,网络攻击的严重性和可能性密切相关,恐怖袭击、大规模断网、比赛成绩干预、财务风险和声誉损失等情况发生的可能性逐次递增;而从可探测性维度看,无法检测到的网络攻击则可以造成长时间的可持续伤害。虽然这个框架从理论层面为构建重大体育赛事风险评估提供了可供参考的范式,但是在实践中可能涉及更多更细的环节,需综合考虑各方因素,构建体育赛事网络安全风险框架。

2. 构建网络攻击应急响应生态系统

网络攻击应急响应生态系统,包括赛事主办方建立专门机构应对网络攻击,赛事相关机构采取适合的手段保护联网设备、计算机系统以及网络数据等。与巴西世界杯期间相比,针对2016年里约奥运会的网络攻击数量减少,主要原因在于国际奥委会组建了一个应对处理网络攻击、报告钓鱼网站和恶意软件的安全运营中心(SOC)。此外,各国针对本国的体育赛事也成立专门机构,以应对网络攻击。2011年,英国成立特别小组专门负责应对针对奥运会的网络攻击。针对2020年东京奥运会,日本陆续推出相关政策和措施:2015年10月,日本东京都成立统筹信息汇总与训练等的组织,与东京奥组委和中央政府合作加强对策;2015年11月,日本政府内阁会议决定筹备与运营2020年东京奥运会和残奥会的基本方针,包括加强应对恐怖主义的措施以确保观众安全等内容;2018年1月,日本政府预定在例行国会会议期间提交有关设立新组织的网络安全基本法修正案,并考虑把新组织秘书处设在内阁网络安全中心(NISC)。此外,日本政府还加强举措防止中央各府省厅使用的电脑和智能手机等终端的信息外泄。

3. 构建重大赛事国际社会合作机制

既然国际范围的重大体育赛事是各国共同参与的活动,那么赛事期间的国际合作必不可少。一方面,构建赛事主办方的沟通协作机制至关重要,包括加强所有赛事参与方的开放式合作和信息共享机制,避免因无法了解相关威胁就不能准确评估和应对赛事整体风险的情况发生。为迎接2020年东京奥运会和残奥会,日本政府打算建立确保匿名性的通报机制。另一方面,发挥赛事参与各方力量,特别是互联网企业等的作用,促进应对网络攻击。在2012年伦敦奥运会期间,美国全国广播公司(NBC)与谷歌针对在比赛期间可能出现的网络攻击等问题,采用“战争游戏”方式应对,包括对广播编码器、视频传输的灵活调度,调整从广播电视到数字流媒体格式等的完整预案。

五、防范重大体育赛事的安全风险

从本质上说,重大体育赛事都面临无限的网络攻击可能。一方面,赛事风险管理者应采取措施尽可能减少网络攻击的可能;另一方面,赛事主办方也有责任确保重大体育赛事完整性并应对面临的各种风险;此外,还需要建立相应的惩罚机制,例如美国联邦法院曾关闭过一些虚假票务网站,因为这些网站受到售卖北京奥运会门票和信用卡欺诈的指控。

一方面,应提升赛事相关方风险评估能力。赛事相关方的风险评估能力直接关系到赛事的顺利进行与否以及赛事参与者的生命安全。负责赛事场馆团队要对网络设备进行严格检查,防御赛事进行中可能出现的威胁,包括确保硬件更新、进行网络检测等。此外,赛事安全保障团队应提供有效应对网络攻击的防护措施,包括可以保护基础架构防御多载体攻击的安全解决方案、建立健全监控安全警报系统,以及网络安全应急响应计划的工作流程等。

另一方面,应平衡考量新技术可能带来的潜在安全风险。特别是物联网、智能设备等的扩散,数字技术在被纳入运动体验的同时,也在改变体育赛事的网络安全维度。赛事相关方可以从以往大型体育赛事中吸取教训,尽量避免赛事相关环节被操纵的风险,并对参与重大体育赛事相关人员进行培训。另外,还需提升参与赛事各相关人员的安全意识,提升规避网络攻击风险的能力等,使其尽可能了解并规避潜在的安全风险。


来源:中国信息安全

作者:王丹娜