• 發布單位:TWCERT/CC
• 更新日期:2020-03-27
• 點閱次數:439

英格蘭薩福克郡一名30歲的居民，勞里-洛夫(Lauri Love)，。他和未被點名的同伙相對輕松地就獲得了美國能源部系統的“無限訪問權限”，並在能源部的電腦上進行了超過600次檢索。利用Adobe公司ColdFusion軟件程序的一個已知(但未修補)的漏洞，這些被指控的駭客得以闖入系統，竊取了美國能源部超過10.4萬名現任及前任僱員的個人信息。洛夫還涉嫌使用同樣的手段侵入了美聯儲(Federal Reserve)、美國國家航空航天局(NASA)、美國國家環境保護局(EPA)、美國陸軍(US Army)和美

英格蘭薩福克郡一名30歲的居民，勞里-洛夫(Lauri Love)，。他和未被點名的同伙相對輕松地就獲得了美國能源部系統的“無限訪問權限”，並在能源部的電腦上進行了超過600次檢索。利用Adobe公司ColdFusion軟件程序的一個已知(但未修補)的漏洞，這些被指控的駭客得以闖入系統，竊取了美國能源部超過10.4萬名現任及前任僱員的個人信息。洛夫還涉嫌使用同樣的手段侵入了美聯儲(Federal Reserve)、美國國家航空航天局(NASA)、美國國家環境保護局(EPA)、美國陸軍(US Army)和美國導彈防御局(MDA)。

雖然後果很嚴重，但像能源部遭駭客攻擊之類的事件並不罕見。美國各政府機構的脆弱性一直不難發現。美國議員將駭客攻擊激增視為新冷戰的證據，而美國正在輸掉這場戰爭。無論攻擊者是一個國家(中國據信要對美國人事管理局遭侵入負責)，還是像洛夫及其同伙之類的小群體，對手往往比美國政府更懂技術，也更加靈活。英國《金融時報》對政府機構監察長、美國政府問責局(Government Accountability Office)以及白宮行政管理和預算局(Office of Management and Budget)發表的幾十份報告的分析表明，多年來，在24家被要求報告自身網路防御情況的聯邦機構中，超過半數沒有採取最基本的安全措施。這些措施包括安裝軟件補丁以堵住漏洞、使用強認証技術，以及不間斷監測系統以保障其採集的僱員、退役軍官及政府計劃數據。根據白宮行政管理和預算局的數據，自2006年以來，聯邦機構遭遇“事故”的次數(包括網路釣魚、惡意軟件附件以及未經授權的僱員訪問)上升了1100%，至2014年的67168次。

奧巴馬政府近年漸進增加了聯邦政府的信息技術支出，從2013年的786億美元增至2016年預算提案中的863億美元。對2015年，奧巴馬政府起初建議削減3%的預算，後來才增加預算。在預算問題上與國會的爭吵以及對削減開支的關注加劇了困難。雖然更多資金將有所幫助，但官員們也指出了一些問題，比如招聘中的官僚主義壁壘、具有挑戰的採購流程和糟糕的預算編制(數千萬美元被浪費在了搞砸的軟件升級上)。

在“和平”涉嫌發動網路攻擊的半年前，美國能源部內部的一個部門就已識別了軟件漏洞。但該部監察長發現，該機構推遲支出4200美元購買新版軟件。根據能源部監察長的計算，網路入侵事件造成了至少370萬美元的信用監督和生產力損失。羅伯特‧布雷澤(Robert Brese)是美國能源部IT系統的負責人，他哀嘆美國政府的IT技術比私營部門落後了10年。布雷澤于2014年離開了能源部。他表示：“與私營部門最優秀、最明智的機構相比，美國政府在老設備現代化，以及構建安全、強韌的系統方面，有很多地方要落後若干年甚至10年。我指的還不是谷歌(Google)和亞馬遜(Amazon)這樣的科技先驅，而是像福特(Ford)這樣的老牌企業。”

參考連結：

http://finance.sina.com.hk/news/-18-7869013/1.html