8月16日,廣州市中級人民法院官方公眾號發佈了一個17歲少年利用DDOS攻擊某航司的案例判決。該案件披露的部分信息引起了公眾對航空公司計算機信息安全的質疑。
DDOS攻擊下,南航購票系統崩潰4小時
根據法院公眾號中披露的案件細節,2020年6月初,小陳因新冠疫情滯留在國外疫情重區,因無法買到回國機票而產生不滿情緒。他向國內某航空公司發送威脅郵件,並在境外網站購買攻擊套餐,利用DDOS(黑客通過遠程控制服務器或計算機等資源,對目標發動高頻服務請求,使目標服務器因來不及處理海量請求而癱瘓)等攻擊手段,多次、持續攻擊某航空公司客票等計算機系統。
判決結果顯示,考慮到小陳犯罪時已滿十六周歲不滿十八周歲,依法應當減輕或者從輕處罰。綜合考慮小陳犯罪行為的性質、情節、危害後果及認罪態度,判決小陳犯破壞計算機信息系統罪,判處有期徒刑四年;繳獲的作案工具筆記本電腦一台予以沒收。
黑客非法入侵航司系統
法院在公眾號中表示,此次黑客入侵,造成某航空公司對外服務網絡全部癱瘓,包括客票業務、微信直播平台銷售、機場旅客服務、飛行、運控等系統無法正常運作,導致為5000餘萬用戶提供服務的客票等計算機系統不能正常運行達4小時,給某航空公司造成了巨大經濟損失與負面網絡輿論評價。
就在去年6月10日,南航就曾遭遇官網購票系統接近幾個小時的崩潰,但在飛行、運控、旅客服務等系統,並沒有受到明顯的攻擊影響。而目前對於該案件的判處結果以及相關情況,南航暫時沒有回應。
民航數據分析公司李及李創始人李瀚明向澎湃新聞記者表示,該案件披露的信息中提供的圖片顯示攻擊者只訪問了該航空公司的直銷網關和支付網關。李瀚明推斷,該事件中DDOS對航司的影響,主要是官網客票業務崩潰上,而機場旅客服務、飛行、運控等系統等基本沒有受到影響。
對於DDOS的轟炸攻擊,無解?
那這個使大航司接近幾小時票價系統崩潰的DDOS攻擊究竟是什麼?多家航空公司向澎湃新聞記者表示,DDOS這種黑客攻擊方式,就是利用海量數據訪問企業IP,服務器處理不過來就能導致系統崩潰。「不是航空公司不給力,這種攻擊方式比較歹毒,雖說這招對中小型的企業比較好使,但其實不管是哪家一家企業,遇到DDOS攻擊,都會比較頭大。」
多位業內信息安全領域專家向澎湃新聞記者表示,任何系統都有被攻破的可能性,只要黑客捨得花錢購買攻擊套餐,甚至對方不精通計算機技能,也可以花錢請人來進行DDOS攻擊,沒有太大的技術門檻。但唯一的問題是,很容易被鎖定身份被抓到,對於企業和黑客而言是一件兩敗俱傷的事情。
一家航司信息安全部的總經理劉青向澎湃新聞記者表示,「目前各航司遭遇黑客的情況都挺普遍的,攻擊數據觸目驚心。通常目的是獲取旅客數據、薅羊毛等,其中大部分攻擊都已被阻止掉。如果公司是部署在雲上的應用,也會降低風險。南航的技術上應該是比較強的,這個案件中的攻擊事件還是要看具體的案件信息和具體描述,有可能是互聯網帶寬被佔滿了。」
劉青向記者介紹,黑客採用DDOS針對占帶寬的攻擊,會導致航司互聯網出口帶寬被佔滿,間接導致各種面向互聯網的服務受到影響。如果航司沒有購買運營商流量清洗服務,是沒有辦法抵禦的,可以說是一擊致命。需要每年提前向電信、聯通等運營商購買服務,或是受到攻擊再買也可以,沒有什麼難度,只是比較貴,幾十萬左右的價錢。
企業系統安全如何預防攻擊?
面對DDOS的攻擊,一般企業有幾個戰術防範的策略。「國內許多網站禁止國外IP段訪問或者只允許家庭寬帶IP段訪問,就是其中一種稱為『黑白名單』的策略。」李瀚明這樣介紹道。此外,還可以通過對客戶端向服務器發送的請求使用自定義的加密算法的形式,篩選攻擊者製作的重複請求。
在應對DDOS這樣用量來轟炸系統的攻擊手法時,目前航司還存在有誤封的可能。劉青舉例稱,例如在一個小區有很多人要訂票,這個小區用的是同一個IP地址,航司的安全設備或購買的安全服務看到這個IP有大量購票行為,也會認為不正常從而觸發安全規則。「但對於航司而言,誤封也比無法提供服務好。」
企業在面對DDOS攻擊的預防機制上,劉青向澎湃新聞記者介紹,除了針對占帶寬的攻擊外,對於官網本身的DDOS攻擊下,購買流量清洗服務可能也沒有用,要對安全設備做相應的規則抵禦。需要部署waf(web應用防火牆)配合人工流量分析解決,安全設備廠商會持續更新安全規則,航司也會自行升級更新,以此來應對DDOS的攻擊升級。
目前常見的短訊驗證碼登錄、掃碼登錄、人臉識別以及支付時用手機掃碼代替直接輸入信用卡等,都是典型的防範DDOS的機制。李瀚明表示,「這些功能提高用戶體驗的功能在無形上也幫助降低了公司整體的信息安全風險。」
李瀚明表示,除了這些戰略上防範的技術以外,航司也會有很多架設在不同地方的系統,避免單一系統被攻破的風險。「比如票務系統可能在北京、上海和廣州各有一個備份,這樣應對DDOS的能力會更強。」李瀚明還介紹道,「而在面對DDOS已經發起的攻擊時,最穩妥的方法是直接像這次一樣停『機』維修,先暫停提供服務,加強應對DDOS的處理能力,在能力增強以後再上線。」
(應受訪者要求,文中劉青為化名)
來源:澎湃新聞
