十三萬人無懼中共打壓,抵抗白皮書文攻,熬過網絡黑客武鬥,創下本港民間公投奇蹟,以選票向北京說不。
為減低政改公投構成的政治壓力,連日來官方媒體、香港高官和北京政治打手,出盡法寶抹黑公投,更指責占中搞手自編自導被黑客攻擊。但本刊獲得一份攻擊港大公投系統的黑客網絡位址( ip address)分析報告,發現首三位攻擊分別來自北京中國科學院轄下中國科技網、中國移動及俄羅斯科學院網絡,兩間「中字頭」機構已占攻擊量四成,北京打壓公投可謂證據確鑿。
中國科技網(占20.76%攻擊量)隸屬中國科學院、前身為「中關村教育與科研示範網路」,曾建造中國最早的國際網際網路,現為中國四大網際網路骨幹網絡之一,其辦公室位於中科院軟體研究所。
中國移動通訊(占18.36%攻擊量)中移動是全球最大流動電話網絡商,用戶人數超過七億,為國務院國有資產監督管理委員會管理的中央企業。是次攻擊的網絡位址屬於集團旗下中國移動香港有限公司及中國移動國際有限公司。
除了公投系統外,負責管理及註冊本地「.hk」域名的香港網際網路註冊管理有限公司透露,自民間公投開始,本地域名伺服器被黑客連番攻擊,周日實體投票舉行期間,伺服器流量高達平時的一百倍,顯示黑客正與全港市民為敵。
占中發起人之一陳健民坦言,近日大規模攻擊若無國家資源配合難以做到,但對中科院明目張胆違法攻擊,感到匪夷所思,促請警方嚴肅處理。
「黑客好聰明,好有計劃,知我哋開機準備預先登記,就已經發動小規模攻擊,試探我哋防禦措施。」網際網路協會網絡保全及私隱小組召集人、為「和平占中」公投系統擔任網絡保全顧問的楊和生憶述,黑客自本月十三日政改全民投票開放預先登記時便發動小攻擊,至翌日晚上摸清系統布局,便進行第一波大規模攻擊,分別瞄準系統設於美國及香港的伺服器。「嗰時無諗過咁大規模,以為真系會投唔到票。」他形容,連續兩日攻擊幾近令系統癱瘓,亦令其中兩間美國及香港提供伺服器服務的公司退出。
本刊取得的分析報告顯示,攻擊政改公投的黑客來自七十多個網絡供應商,頭三位已占五成攻擊量。
伺服器死前留 IP
據悉,黑客分多路進攻系統,除了發動大批虛擬的假網絡位址( ip address)進行近百億次查詢,意圖塞死伺服器入口,又發動擁有真實位址的電腦,假扮香港本地用戶,成功突破占中投票系統對境外位址的封鎖,攻擊背後的主伺服器,幾近令系統癱瘓。不過,有關伺服器「臨死」前,記錄了該批黑客的真實位址資料,為追查黑客身份提供重要線索。
據瞭解,該批網絡位址為數約五百個,雖然無法核實個別位址的登記人資料,但能追查位址由哪個網絡服務供應商或機構登記,經過詳細分析,結果可謂出人意表。本刊取得的黑客分析報告顯示,雖然該批黑客透過多達七十多個網絡供應商進行攻擊,但出奇地近五成位址集中於三個網絡供應商及機構,包括北京中國科學院轄下的中國科技網、中國移動及俄羅斯國家科學院轄下的系統分析研究院,兩間中資機構更占攻擊量四成,其他供應商所占比例相對極小,亦非國家級機構。
本刊將分析報告交給楊和生,他認為位址分布集中於個別機構極不尋常,亦與過往 DDoS(分散式阻斷服務攻擊)劫持民間電腦的攻擊模式有很大分別,「過往攻擊嘅網絡相對比較平均,因為以黑客嘅角度嚟講,如果側埋一邊,人哋相對會較易預防。」
楊和生分析,排名首位的中國科技網及第三位的俄羅斯科學院,並非向大眾提供收費服務的網絡供應商,理論上其位址只限機構內部使用,網絡保全亦理應較嚴密,黑客植入木馬程式繼而劫持發動攻擊的機會極微,但他承認,無法證明該機構有預謀發動攻擊,「見到攻擊主要來自呢啲來源,系咪代表呢啲人直接做呢樣嘢呢?又唔一定系嘅,可能佢哋啲電腦都系被人利用緊㗎啫。」
本月中占中開放系統讓市民預先登記,旋即引來黑客大規模攻擊,有關伺服器曾一度被癱瘓,卻同時記錄了黑客的網絡位址。
排名第二位的中行動網路捲入黑客攻擊同樣離奇,皆因中移動只提供流動網絡,但手機上網的穩定性相對電腦低,效能亦較差,黑客絕少利用「殭屍」手機發動攻擊。「可能中移動喺香港有其他業務,例如數據中心嘅業務,啲電腦擺咗去數據中心,就有可能俾人變咗做『殭屍』電腦嚟做攻擊。」但全國最大流動網絡公司的數據中心電腦被黑客挾持,實在叫人難以置信。
和平占中發起人陳健民得悉攻擊源頭包括中科院轄下的中國科技網後,對國家領導層公然發動違法攻擊,感到匪夷所思:「我一路以為未必系國家最高領導做呢個決定(攻擊),而系個別單位為搏表現而咁做都唔定,但你提到中科院,我就覺得太明目張胆。」
他又指,近日大規模攻擊若無國家資源喺背後支持難以做到,是「不言而喻」的事實,故「無深究系邊個具體單位」,只希望警方嚴肅處理:「警方日日話我哋占中違法,而家有兩件事情違法擺喺眼前,第一系呢啲黑客攻擊,第二就系有啲團體,愛港力,用人哋身份證去嘗試投票,呢啲系盜用他人身份證,我相信系觸犯法律。」
香港網際網路註冊管理有限公司總裁謝達安承認,自公投系統運行後,「.hk」域名伺服器流量比平常高出一百倍,形容黑客想癱瘓「.hk」網站。
黑客為阻礙市民公投,可謂無所不用其極,除了一直猛攻投票系統外,原來兵分多路,同時有系統地向管理「.hk」域名的伺服器進攻,試圖影響香港網站連線,與全港市民為敵,亦擊破建制派指占中運動自編自導被黑客攻擊的謊言。
由政府指定負責管理及註冊「.hk」域名的香港網際網路註冊管理有限公司( HKIRC)行政總裁謝達安接受本刊訪問時證實,其伺服器流量自本月中占中公投系統開放後,便開始出現異常,流量較正常多出二十多倍,至周日實體投票進行當日,更錄得破紀錄流量,較平日多出一百倍。
謝達安形容是次攻擊「(即使)唔系歷來最大,都肯定入十大」,直言能長時間發動大規模攻擊的黑客絕非等閒之輩,估計須動員約三十萬部電腦攻擊,又指黑客攻擊很有技巧,例如將系統查詢「加密」等。
他拒絕揣測黑客的身份及動機,但強調 HKIRC早已實行防禦措施,特地將一個重要伺服器離線操作,並加大副伺服器容量等。雖然「.hk」伺服器遭受攻擊逾一周,但各網站服務未有受阻,「其實攻擊直到而家(六月廿三日)都無停過,但網絡系無拖慢到,我哋都無收到用戶投訴……今次攻擊系針對性嘅,但要癱瘓香港網絡。防衞措施個 ceiling相當高,(成功)可能性好低。」
CloudFlare戰意高昂
立法會資訊科技界議員莫乃光相信,港大公投系統與「.hk」伺服器受攻擊,是由同一批黑客發動,並認為黑客真正目的,仍是攻擊公投系統:「時間上吻合,加上手法 consistent(一致),而呢種攻擊手法以往唔系無,但都比較少見。」他推斷因美國 CloudFlare成功阻截黑客針對投票系統的攻勢,黑客「以為香港網絡保全水平差」容易攻擊,遂以同一手法企圖「成個.hk打冧佢」。
據瞭解,公投系統的保全專家已堵塞了漏洞,黑客不能再用早前的伎倆突襲,加上美國雲端服務公司 CloudFlare不計成本捍衞系統,黑客現時只進行零星攻擊。其行政總裁 Matthew Prince回覆本刊查詢時表示,是次針對政改公投的 DDoS攻擊,規模之大、技巧之精密均不尋常,屬網絡史上最大規模攻擊之一。他又透露 CloudFlare團隊現時戰意高昂,會一直守護公投系統,「我們自視為保護客人免受黑客攻擊的軍隊,無論遇到怎樣的攻勢,我們都不會投訴,這是我們的工作。」
Matthew Prince自公投正式開始後,一直在個人 Twitter以文字「直播」戰事,又上載綁上頭巾、口咬軍刀的相片,以示 CloudFlare已準備好與黑客作戰,其 Twitter吸引不少港人留言,讚揚他捍衞香港民主,他則稱受網民感動,考慮於本港設 CloudFlare亞洲區分部,更稱希望七一前後到訪香港。
本刊向涉及黑客攻擊的三個機構查詢,中移動回覆近日並無出現異常情況,亦沒有收到客戶相關投訴,其餘兩機構則沒有回應。警方則表示,案件已交由科技罪案組跟進,暫未有人被捕。
據悉 CloudFlare為了應付黑客破紀錄的攻擊規模,已將公投系統程式隔離到兩座大型伺服器內,避免牽連其他客戶,誓阻截黑客攻擊。
為公投系統提供伺服器服務的 CloudFlare行政總裁 Matthew Prince(中),上載綁上頭巾、口咬軍刀的相片,以示團隊戰意高昂。
網絡保全專家楊和生透露,吸收了之前民間公投系統受到境外電腦攻擊,今次占中公投系統其中一大保護機制,就是只讓香港本地網絡位址的手機或電腦登記投票,一方面提高公投的認受性,另一方面可阻截外地網絡攻擊。「要辨認系咪香港 ip,其中一個方法就系睇嚇佢系咪經由 HKIX(香港網際網路交換中心)註冊嘅網絡供應商入嚟。」
楊和生解釋,除了較為人熟悉的網絡供應商如電訊盈科或香港寬頻等,不少外地的私營和學術機構都會登記成為供應商,以加快接駁本地網絡的時間,但不能向本港大眾提供服務。今次中國及俄國黑客能繞過對境外電腦的限制,成功突圍並發動攻擊,主因是中國科技網及中移動原來早已登記為本地註冊網絡商,故其轄下線絡位址亦被視為本地電腦。俄羅斯科學院並無註冊,但估計黑客在其他註冊網絡商「協助」下,成功騙過電腦並接駁公投系統的伺服器,但相關漏洞現時已改善。
為占中公投系統擔任網絡保全顧問的楊和生承認,黑客集中來自國家級機構並不尋常,惟是否有預謀發動攻擊則留待警方調查。
港大政改公投系統成功抵禦黑客攻擊後,截至本周二已有七十三萬人透過電腦及手機投票,包括四萬八千人周日冒雨到全港十五個實體票站投票,占中行動以公投爭取真普選氣勢如虹。《人民日報》旗下《環球時報》立即潑冷水,周一發表題為「香港非法公投人再多,也沒13億人多」的社評。但無論大陸怎樣謾罵,也無阻港人投票對真普選表態,早已大幅超越一二年「三二三民間選特首」的二十二萬人紀錄。