【 全文可訂閱到Patreon閱讀 ;如果想支持網主更新本blog、Twitter、Facebook等平台,歡迎訂閱我的Patreon,月費只是7.21美元】
[全文可訂閱到Patreon閱讀;如果想支持網主更新本blog、Twitter、Facebook等平台,歡迎訂閱我的Patreon,月費只是7.21美元]
有人(其實一定是以色列)向黎巴嫩真主黨發動「call機連環爆炸」襲擊,目前估計最大機會是在call機做了手腳,擅自在機中加入了炸藥。這是保安專家一直警告會出現的供應鏈攻擊,這種攻擊有先例,以色列也做過不少,但像今次事例卻很罕見。
首先,之前同類襲擊沒有這麼大規模。而且,坊間一般所說的供應鏈攻擊是指數碼攻擊,並非今次的硬件攻擊。
供應鏈攻擊一般分為3種,包括硬件、軟件和韌體(firmware,另譯固件),最常見的是軟件攻擊,最著名的例子是震網(Stuxnet),這是一種Windows平台上的電腦蠕蟲,是美國在以色列協助研發出來的數碼武器,成功破壞伊朗納坦茲的核設施,令伊朗核計劃進度推遲。
軟件的攻擊可由黑客遙距入侵電腦系統來完成,硬件攻擊卻一定要有人實際對這些裝置做手腳(或者在零件和原料供貨上扮作供應商),一般需要實際更改裝置的微碼,或者在電路板添加另一個組件,以便控制相關裝置或生產程序,所以硬件供應鏈攻擊是很高難度的。
除非在生產過程中就出手,否則要在這些call機、對講機「正常出貨」後,在送貨期間截取這批貨,秘密改裝數以千計的裝置,難度可想而知。
供應鏈攻擊一向存在,但以色列把這個風險「發揚光大」,由國家級機構出手,影響理論上面向消費者的產品,這令大家對各類「正常」日用品都有戒心,擔心被加入炸藥或其他什麼奇怪東西。
現在電子裝置流行,又有物聯網(IoT),很多物品互相連繫,例如手機可以控制家中的電燈開關,要遙距控制這些裝置——竊聽、幫你駕駛中的汽車扭軚盤撞車、甚至引爆,其實不難。
可以想像,美國等西方國家一定有人會問,如果中國也像以色列,對出口西方的產品的供應鏈做手腳,這對西方構成嚴重國安風險;中國也同樣會對西方有這種質疑,甚至積極向發展中國家灌輸這種疑慮。
這代表跨國貿易進一步增添國家安全的色彩,零部件最受關注,當中又以電子零件最關鍵。以晶片為例,美國目前只就最高端、可作AI用途的晶片限制出口至中國,但如果美國擔心中國進行供應鏈攻擊的話,那就要同時限制大部份中低端中國晶片進口,限制國內生產、甚至進口至美國的產品不能用中國晶片。