專家警告：黑客瞄準船舶系統或致嚴重海難

大家經常都會聽到黑客在網絡上發動的攻擊所做成的經濟損失等等，然而這些攻擊往往只會令目標所提供的服務受阻又或者令被目標損失一定的金錢；但假如黑客發動的攻擊已成功入侵一些基建設備的控制系統又或者是一些能操控公共設施的系統的話，那所出現的影響便不是單單在金錢上，分分鐘更會出現人命傷亡。

近日便有安全廠商針對一套專門用作管理全球性船舶的追蹤系統「船舶自動辨識系統」(Automatic Identification System，簡稱 AIS) 發出警告，同時更指這類系統一旦遭到入侵，現有的船隻通訊即可能遭到挾持，進而出現虛假船隻、觸發假的求救訊號或撞擊警示。

由於 AIS 是所有載客 (無論噸數和大小) 及 300 公噸以上的商用 (非漁業) 船隻皆需配備的追蹤系統，因此其風險不單是財務損失，還包含遭遇海盜及其他犯罪活動。

為何 AIS 通訊協定系統會出現漏洞？

有關漏洞資訊由安全廠商趨勢科技提供，主要有四大問題，包括：

1. 缺乏合法性檢查：由於缺乏地理合法性檢查，使得發訊端可從任何地點為另一地點的船隻發送 AIS 訊息。
2. 缺乏時間性檢查：由於訊息當中缺乏紀錄時間資訊，網絡罪犯可以任意更改及重新發送合法的 AIS 資訊。
3. 缺乏認證：由於 AIS 通訊缺乏認證機制，任何人只要有能力製作 AIS 封包，就能假冒任何船隻發出訊息。
4. 缺乏一致性檢查：所有 AIS 訊息皆以未加密且未經簽署的形式傳送，因此很容易遭到攔截及修改。

私自更改 AIS 通訊協定資訊導致船隻迷航

攻擊的切入點有二個：其一是 AIS 網際網絡服務主要供應商，其二是硬體收發器 AIS 通訊協定的實際內容。

專家發現負責收集及公開散布 AIS 資訊的 AIS 網絡主要供應商存在著可讓攻擊者私自改動合法 AIS 資料，並注入非法 AIS 資料的漏洞。這包括修改船隻的所有詳細資料，從位置、航向、貨物、掛旗國家、速度、名稱以及水上行動業務識別碼 (Mobile Maritime Service Identity)。攻擊的方式包括產生及修改浮標及燈塔等助航設施造成港口入口阻塞，甚至造成船難！有了私自改動資訊的能力，網絡罪犯就能操縱船隻，造成無法想像的後果。

由於所有規定船隻所採用的 AIS 通訊協定內容被發現漏洞，專家亦同時警告主管機關應注意假冒身分、假警報或是發送錯誤訊息以引起意外的情形。其他的攻擊手法還有永久停用船隻 AIS 通訊，使得船隻及船員無法收到主管機關的警告，更容易遭到海盜突襲。網絡罪犯也可能發出假的「最近交會點」(Closest Point of Approach) 警示來啟動碰撞警報，並且可能使得船隻為了避開碰撞而改變航向，往歹徒的方向前進。

專家呼籲航海及船運產業保持警戒，定期利用其他資訊來源核對 AIS 所提供的資訊，例如手動導航系統。此外，廠商若希望改進現有的 AIS 系統，專家建議應從合法性、認證及加密三方面加強防禦。