香港民众民主抗争至今,除了用身躯抵挡橡皮弹、催泪弹外,西方媒体最近揭露,他们还必须用智慧抵抗中共发射的网络弹。网络专家表示,中共“大炮”正试图使连登(LIHKG)网站瘫痪,但不太可能成功。
戴维·温德(Davey Winder)是一位具有三十年经验的资深网络安全技术媒体人,并一直是英国著名电脑杂志《PC Pro》自1994年发行以来的特约编辑。12月5日,福布斯(Forbes)网站发布了温德的文章《中共向香港民主运动发射网络“大炮”》。
温德在文章中将中共的网络攻击称为大炮,他表示,中共的大炮并不经常发射,但一旦发射,对被它瞄准的人造成的后果会非常严重。这种在中共防火墙后面操作的大炮很少使用,因为它会产生大量负面的新闻。这种大炮不发射物理弹,而是网络弹:一种由政府操作的分布式拒绝服务(Distributed Denial of Service,简称DDoS)网络武器,现在它被用来针对香港民主运动抗议者使用的、以帮助协调示威活动的在线论坛LIHKG,其非官方中文名为连登讨论区。
中共借助防火墙制作网络大炮
温德介绍,在网络界,DDoS工具虽然不如低轨道离子炮(Low Orbit Ion Cannon,简称LOIC)出名,但匿名黑客组织曾在攻击如维基解密(WikiLeaks)网站时,非常有效地使用了DDoS工具。温德认为,中共的DDoS大炮具有更大的威胁,它可以通过劫持来自中共控制防火墙范围内用户的网络流量,并将该流量重新定向到其外部网站,并通过将恶意JavaScript代码“注入”中国用户访问的HTTP连接中来实现。这种拦截使网络武器的运营商可以通过DDoS来选定一个网络资源作为攻击目标。
多伦多大学蒙克学院公民实验室(Citizen Lab)2015年的一份报告指出,中共的“大炮”和防火墙共享代码,并且位于同一服务器上,这表明该工具是在中共政府的直接监督下开发和运营的。
DDoS攻击目标:导致网站瘫痪
温德介绍,DDoS攻击是英文“分布式拒绝服务攻击”的缩写,是指威胁者向目标网站服务器发送超过其技术处理能力的各种技术风格的访问请求。同时发送这些表面上“真正”的请求越多,网站正常运行的难度就越大;攻击越大,目标站点处理普通用户链接请求的速度就越慢,最终导致该站点瘫痪。
此类攻击曾使一些最大、最知名的网站瘫痪。最近、最臭名昭著的例子或许是全球第七大流行网站维基百科(Wikipedia)成为大规模DDoS攻击的受害者。
温德认为,在LIHKG论坛攻击的例子中,恶意JavaScript文件看起来是通过URL(Uniform Resource Location,即:统一资源定位符)来提供的,URL通常提供分析跟踪脚本。中共“大炮”一直在忙于将这些脚本请求与包含恶意代码的请求进行对换。
中共“大炮”瞄准香港示威者
12月4日,根据美国电话电报外国实验室(AT&T Alien Labs)的安全研究员克里斯·多曼(Chris Doman)的报告,中共“大炮”于11月25日发起了目前的这次攻击,这是继8月31日首次攻击后的第二次。温德认为,LIHKG论坛成为目标是因为香港民主抗议运动的成员用此来协调示威活动。
对于8月31日DDos攻击,LIHKG发布官方声明指出,当天的服务器请求总数超过15亿。声明证实:“由于极大流量而造成网络挤塞及令服务器一度超出超负荷,使一般用户发生间歇性无法正常浏览的情况。但请各位放心,网站数据及会员资料未受影响。”
根据多伦多大学蒙克学院公民实验室2015年的报告,恶意的JavaScript代码在用户的浏览器中执行,并秘密访问目标站点,从而为受害者及其网络服务器产生巨大的流量峰值。
多曼在“大炮已经重新部署”(Great Cannon Has Been Deployed Again)的报告中说:“大炮目前正试图使LIHKG网站瘫痪。”
中共“大炮”有漏洞 攻击不会得逞
中共“大炮”对LIHKG的攻击在当前情况下不太可能成功,多曼分析表示,部分原因是LIHKG实施了强大的反DDoS缓解措施,“部分是由于恶意JavaScript代码存在漏洞,我们不会在此处讨论”。
LIHKG于8月发布的官方声明也指出:“一直以来LIHKG都有受到不同程度的网络攻击,因此我们已多番加强服务器保安。DDoS攻击并无绝对的防护手法,本次的攻击发生后我们已立即于短时间内采取紧急应变措施,首轮攻击于一小时内已被阻挡,令服务暂时回复正常;于过去十多个小时直至目前为止管理团队密切监察一波接一波的攻击,并因应攻击手法作出对应措施。”
温德指出,尽管恶意JavaScript代码存在漏洞,但这并没有减少它所带来的不安,而且这显示中共并没有放弃使用“大炮”。
尽管有报导说“大炮”在LIHKG攻击发生之前两年都没有使用过,因为中共使用“大炮”攻击GitHub和GreatFire.org后,使其声名狼藉。但多曼表示,“大炮”对一家中文新闻网站的攻击去年一直在进行。这些攻击始于2017年8月,使用了2015年针对Github网站攻击的DDoS代码,并对此进行了强大的更新。
温德提醒,虽然多曼指出的当前攻击代码中与2017年的几乎含有相同的漏洞,但是如果中共决定重启网络“大炮”以进行更猛烈的攻击,那些攻击代码将会得到加强,使其更难防御。而且,诸如此类的地缘政治网络“大炮”的发射总是会带来潜在的商业破坏风险。
(大紀元:https://www.epochtimes.com/gb/19/12/6/n11706291.htm)