立即捐款

社運

信息安全研究員:警察低調不執法,民間團體網上挨打

信息安全研究員:警察低調不執法,民間團體網上挨打
廣告

廣告

〔圖片說明:根據 Prolexic.com 這間網絡防禦公司的24小時偵查系統顯示,在5月23至24日之間,共錄得875個進行 DDoS攻擊的「機械程式」(bots)〕

原來香港這個小小的地方,在世界發動「分散式阻斷服務」(DDoS)的源頭國排名榜上,一直在30名之內。很多被用來發動 DDoS 攻擊的電腦,是一些中了毒的辦公室電腦,所以 DDoS的攻擊,在上班日子特別熾熱,放假關電腦後,「喪屍」(Botnet zombies) 的數目會大為減少。

挨打的民間團體
從事信息安全研究工作的 Anthony,除了幫助銀行和企業加強網絡保安,他亦幫助一些被攻擊的非政府組織和維權網站做「死因研究」。

他指出:「很多民間和維權的網站,都面對 DDoS 的攻擊,這些團體一般缺乏資源,而大部份針對 DDoS 防禦的公司都不會有非牟利的服務。更甚的是,他聽說有一家頗具名氣的 DDoS 防衞公司,拒絕了一個人權機構的免費體驗服務 (free trial) 申請,因為那公司在大陸有生意,怕得罪國內的客戶。」

令 Anthony 感到憤怒的是,香港警察絕少調查這些所謂「沒有造成經濟損失」的攻擊事件:「不論從加強本地網絡保安的角度,還是從保護小市民免受騷擾的角度,警察都應該主動調查並公佈調查結果。」

警察低調不執法
雖然很多 DDoS 的攻擊都是來自其他國家,但即使不能跨境執法,也應該調查並公開攻擊來源,讓市民得悉誰在背後騷擾我們。Anthony 估計,「他們也許害怕結果會令攻擊來源的國家感到尷尬」。

此外,他又指出,其實有不少進行 DDoS 攻擊的喪屍,是本地被入侵的電腦,不少防禦公司都會公佈了它們錄得的喪屍 IP,只要警察循著這些 IP 資料,主動通知這些登記用戶清除木馬病毒,若對方不處理,再採取進一步的行動,就能減少本地喪屍數目。其實警方是有能力扣查攻擊者的伺服器,如2012年9月的港交所被攻擊的案件,警方就輕易地偱 IP 找到攻擊者。Anthony 認為,即使該伺服器不在香港,亦應追查和分析來源,以累積經驗,避免日後更大規模的攻擊發生。

根據 Prolexic.com 這間網絡防禦公司的24小時偵查系統顯示,在5月23至24日之間,共錄得875個進行 DDoS攻擊的「機械程式」(bots),而香港在 DDoS 攻擊來源的排名是第25,長期高踞榜首的,則是來自中國的喪屍。

然而香港特區警察卻絕少主動調查,只有當被攻擊的對像是政府網站和金融機構,又或一些令全港市民憤怒的事件如鍾庭耀的民間公投,警察才「高調執法」,對民間和維權團體的騷擾,不論是 DDoS 還是進階持續性威脅 (Advanced Persistent Threat),若沒有構成經濟損失,均不會主動行使調查權,低調地不執法。

中港法規有別,小心保護個人通訊
除了 DDoS 的攻擊,入侵網站管理系統及盗取密碼和資料等手法,也經常出現。Anthony 就曾經處理過黑客把整個網站的內容全都刪除掉的案例:「一般民間或維權團體,都會使用一些開放的內容管理系統,這些系統經常出現漏洞,要定期升級,否則就會形成缺口,讓黑客入侵盗取資料。此外,網站管理員的密碼要以字母和數字作組合,定期更換,並要好好管理好電郵系統,以免黑客透過入侵電郵而獲取密碼,最好的方法是透過雙重驗證的方法,鎖定進入郵箱的電腦和手機。」

當然,最重要的是確保自己的機器沒有間諜或木馬程式:「不要隨便打開電郵附件,即使它是從你的朋友寄來的也要先以電話確認才打開。大部份木馬或間諜都是針對 window 系統和 Microsoft word 等工具,要定期更新,或使用其他系統如 Ubuntu 或 Linxu。若你的電腦有間諜軟件,它能透過你的鍵盤,取得所有密碼。」

中文世界在電腦和手機應用程式的市場融合得很快,但因為兩岸四地法制有別,也會反映在電腦操作系統、軟件和應用程式的設計上。Anthony 提醒大家,「在下載軟件和應用程式前,要先上網查看它的安全性。因為國內要求互聯網服務供應商遵守審查和監控的法律,他們的產品會有一些相關的設置,譬如說QQ的對話會屏閉了敏感詞,也有報導說國內 we chat 用戶被監聽。其實最好的方法是開一部作上網用,買一個舊款手機作對話。此外,重要的聯絡,不要放在上網用的手機上,也不要開通『一卡兩號』的中港通電話服務,畢竟國內電訊經營者要遵從內地的法規運作。」

若大家遇上 DDoS 或其他針對性入侵,除報警及接觸互聯網服務供應商外,亦可向香港電腦保安事故協調中心報告。一般的互聯網資訊科技訊息見香港政府的資訊安全網

廣告