十三万人无惧中共打压,抵抗白皮书文攻,熬过网络黑客武斗,创下本港民间公投奇迹,以选票向北京说不。
为减低政改公投构成的政治压力,连日来官方媒体、香港高官和北京政治打手,出尽法宝抹黑公投,更指责占中搞手自编自导被黑客攻击。但本刊获得一份攻击港大公投系统的黑客网络位址( ip address)分析报告,发现首三位攻击分别来自北京中国科学院辖下中国科技网、中国移动及俄罗斯科学院网络,两间“中字头”机构已占攻击量四成,北京打压公投可谓证据确凿。
中国科技网(占20.76%攻击量)隶属中国科学院、前身为“中关村教育与科研示范网路”,曾建造中国最早的国际互联网络,现为中国四大互联网骨干网络之一,其办公室位于中科院软件研究所。
中国移动通讯(占18.36%攻击量)中移动是全球最大流动电话网络商,用户人数超过七亿,为国务院国有资产监督管理委员会管理的中央企业。是次攻击的网络位址属于集团旗下中国移动香港有限公司及中国移动国际有限公司。
除了公投系统外,负责管理及注册本地“.hk”域名的香港互联网注册管理有限公司透露,自民间公投开始,本地域名伺服器被黑客连番攻击,周日实体投票举行期间,伺服器流量高达平时的一百倍,显示黑客正与全港市民为敌。
占中发起人之一陈健民坦言,近日大规模攻击若无国家资源配合难以做到,但对中科院明目张胆违法攻击,感到匪夷所思,促请警方严肃处理。
“黑客好聪明,好有计划,知我哋开机准备预先登记,就已经发动小规模攻击,试探我哋防御措施。”互联网协会网络保安及私隐小组召集人、为“和平占中”公投系统担任网络保安顾问的杨和生忆述,黑客自本月十三日政改全民投票开放预先登记时便发动小攻击,至翌日晚上摸清系统布局,便进行第一波大规模攻击,分别瞄准系统设于美国及香港的伺服器。“嗰时无谂过咁大规模,以为真系会投唔到票。”他形容,连续两日攻击几近令系统瘫痪,亦令其中两间美国及香港提供伺服器服务的公司退出。
本刊取得的分析报告显示,攻击政改公投的黑客来自七十多个网络供应商,头三位已占五成攻击量。
伺服器死前留 IP
据悉,黑客分多路进攻系统,除了发动大批虚拟的假网络位址( ip address)进行近百亿次查询,意图塞死伺服器入口,又发动拥有真实位址的电脑,假扮香港本地用户,成功突破占中投票系统对境外位址的封锁,攻击背后的主伺服器,几近令系统瘫痪。不过,有关伺服器“临死”前,记录了该批黑客的真实位址资料,为追查黑客身份提供重要线索。
据瞭解,该批网络位址为数约五百个,虽然无法核实个别位址的登记人资料,但能追查位址由哪个网络服务供应商或机构登记,经过详细分析,结果可谓出人意表。本刊取得的黑客分析报告显示,虽然该批黑客透过多达七十多个网络供应商进行攻击,但出奇地近五成位址集中于三个网络供应商及机构,包括北京中国科学院辖下的中国科技网、中国移动及俄罗斯国家科学院辖下的系统分析研究院,两间中资机构更占攻击量四成,其他供应商所占比例相对极小,亦非国家级机构。
本刊将分析报告交给杨和生,他认为位址分布集中于个别机构极不寻常,亦与过往 DDoS(分散式阻断服务攻击)劫持民间电脑的攻击模式有很大分别,“过往攻击嘅网络相对比较平均,因为以黑客嘅角度嚟讲,如果侧埋一边,人哋相对会较易预防。”
杨和生分析,排名首位的中国科技网及第三位的俄罗斯科学院,并非向大众提供收费服务的网络供应商,理论上其位址只限机构内部使用,网络保安亦理应较严密,黑客植入木马程式继而劫持发动攻击的机会极微,但他承认,无法证明该机构有预谋发动攻击,“见到攻击主要来自呢啲来源,系咪代表呢啲人直接做呢样嘢呢?又唔一定系嘅,可能佢哋啲电脑都系被人利用紧㗎啫。”
本月中占中开放系统让市民预先登记,旋即引来黑客大规模攻击,有关伺服器曾一度被瘫痪,却同时记录了黑客的网络位址。
排名第二位的中移动网络卷入黑客攻击同样离奇,皆因中移动只提供流动网络,但手机上网的稳定性相对电脑低,效能亦较差,黑客绝少利用“僵尸”手机发动攻击。“可能中移动喺香港有其他业务,例如数据中心嘅业务,啲电脑摆咗去数据中心,就有可能俾人变咗做‘僵尸’电脑嚟做攻击。”但全国最大流动网络公司的数据中心电脑被黑客挟持,实在叫人难以置信。
和平占中发起人陈健民得悉攻击源头包括中科院辖下的中国科技网后,对国家领导层公然发动违法攻击,感到匪夷所思:“我一路以为未必系国家最高领导做呢个决定(攻击),而系个别单位为搏表现而咁做都唔定,但你提到中科院,我就觉得太明目张胆。”
他又指,近日大规模攻击若无国家资源喺背后支持难以做到,是“不言而喻”的事实,故“无深究系边个具体单位”,只希望警方严肃处理:“警方日日话我哋占中违法,而家有两件事情违法摆喺眼前,第一系呢啲黑客攻击,第二就系有啲团体,爱港力,用人哋身份证去尝试投票,呢啲系盗用他人身份证,我相信系触犯法律。”
香港互联网注册管理有限公司总裁谢达安承认,自公投系统运行后,“.hk”域名伺服器流量比平常高出一百倍,形容黑客想瘫痪“.hk”网站。
黑客为阻碍市民公投,可谓无所不用其极,除了一直猛攻投票系统外,原来兵分多路,同时有系统地向管理“.hk”域名的伺服器进攻,试图影响香港网站连线,与全港市民为敌,亦击破建制派指占中运动自编自导被黑客攻击的谎言。
由政府指定负责管理及注册“.hk”域名的香港互联网注册管理有限公司( HKIRC)行政总裁谢达安接受本刊访问时证实,其伺服器流量自本月中占中公投系统开放后,便开始出现异常,流量较正常多出二十多倍,至周日实体投票进行当日,更录得破纪录流量,较平日多出一百倍。
谢达安形容是次攻击“(即使)唔系历来最大,都肯定入十大”,直言能长时间发动大规模攻击的黑客绝非等闲之辈,估计须动员约三十万部电脑攻击,又指黑客攻击很有技巧,例如将系统查询“加密”等。
他拒绝揣测黑客的身份及动机,但强调 HKIRC早已实行防御措施,特地将一个重要伺服器离线操作,并加大副伺服器容量等。虽然“.hk”伺服器遭受攻击逾一周,但各网站服务未有受阻,“其实攻击直到而家(六月廿三日)都无停过,但网络系无拖慢到,我哋都无收到用户投诉……今次攻击系针对性嘅,但要瘫痪香港网络。防衞措施个 ceiling相当高,(成功)可能性好低。”
CloudFlare战意高昂
立法会资讯科技界议员莫乃光相信,港大公投系统与“.hk”伺服器受攻击,是由同一批黑客发动,并认为黑客真正目的,仍是攻击公投系统:“时间上吻合,加上手法 consistent(一致),而呢种攻击手法以往唔系无,但都比较少见。”他推断因美国 CloudFlare成功阻截黑客针对投票系统的攻势,黑客“以为香港网络保安水平差”容易攻击,遂以同一手法企图“成个.hk打冧佢”。
据瞭解,公投系统的保安专家已堵塞了漏洞,黑客不能再用早前的伎俩突袭,加上美国云端服务公司 CloudFlare不计成本捍衞系统,黑客现时只进行零星攻击。其行政总裁 Matthew Prince回覆本刊查询时表示,是次针对政改公投的 DDoS攻击,规模之大、技巧之精密均不寻常,属网络史上最大规模攻击之一。他又透露 CloudFlare团队现时战意高昂,会一直守护公投系统,“我们自视为保护客人免受黑客攻击的军队,无论遇到怎样的攻势,我们都不会投诉,这是我们的工作。”
Matthew Prince自公投正式开始后,一直在个人 Twitter以文字“直播”战事,又上载绑上头巾、口咬军刀的相片,以示 CloudFlare已准备好与黑客作战,其 Twitter吸引不少港人留言,赞扬他捍衞香港民主,他则称受网民感动,考虑于本港设 CloudFlare亚洲区分部,更称希望七一前后到访香港。
本刊向涉及黑客攻击的三个机构查询,中移动回覆近日并无出现异常情况,亦没有收到客户相关投诉,其余两机构则没有回应。警方则表示,案件已交由科技罪案组跟进,暂未有人被捕。
据悉 CloudFlare为了应付黑客破纪录的攻击规模,已将公投系统程式隔离到两座大型伺服器内,避免牵连其他客户,誓阻截黑客攻击。
为公投系统提供伺服器服务的 CloudFlare行政总裁 Matthew Prince(中),上载绑上头巾、口咬军刀的相片,以示团队战意高昂。
网络保安专家杨和生透露,吸收了之前民间公投系统受到境外电脑攻击,今次占中公投系统其中一大保护机制,就是只让香港本地网络位址的手机或电脑登记投票,一方面提高公投的认受性,另一方面可阻截外地网络攻击。“要辨认系咪香港 ip,其中一个方法就系睇吓佢系咪经由 HKIX(香港互联网交换中心)注册嘅网络供应商入嚟。”
杨和生解释,除了较为人熟悉的网络供应商如电讯盈科或香港宽频等,不少外地的私营和学术机构都会登记成为供应商,以加快接驳本地网络的时间,但不能向本港大众提供服务。今次中国及俄国黑客能绕过对境外电脑的限制,成功突围并发动攻击,主因是中国科技网及中移动原来早已登记为本地注册网络商,故其辖下网络位址亦被视为本地电脑。俄罗斯科学院并无注册,但估计黑客在其他注册网络商“协助”下,成功骗过电脑并接驳公投系统的伺服器,但相关漏洞现时已改善。
为占中公投系统担任网络保安顾问的杨和生承认,黑客集中来自国家级机构并不寻常,惟是否有预谋发动攻击则留待警方调查。
港大政改公投系统成功抵御黑客攻击后,截至本周二已有七十三万人透过电脑及手机投票,包括四万八千人周日冒雨到全港十五个实体票站投票,占中行动以公投争取真普选气势如虹。《人民日报》旗下《环球时报》立即泼冷水,周一发表题为“香港非法公投人再多,也没13亿人多”的社评。但无论大陆怎样谩骂,也无阻港人投票对真普选表态,早已大幅超越一二年“三二三民间选特首”的二十二万人纪录。
