2013年10月9日星期三

香港獨立媒體: 佔中網絡攻防:Tech-activist 能乘勢而起嗎?

 
Interested in creating incredible beauty looks?

Enroll in this online course where you will learn to harness the power of color while mastering makeup techniques and application.
From our sponsors
佔中網絡攻防:Tech-activist 能乘勢而起嗎?
Oct 9th 2013, 14:22, by 小兔黑黑

過去一兩年,不論是港大民意調查還是香港的網上媒體,均經常被黑客攻擊,而這些攻擊的政治動機越見明顯。普選的提名門檻爭議日益激烈,港大鍾庭耀再次以全民民意調查的方式去為普選方案做公投,民間則為為2014年7月佔領中環做好各方面的準備,網絡的攻防成為其中一大關鍵。

港大民意調查被黑的經驗

大家最擔心的,當然是港大全民民意調查系統會否再一次被黑客攻擊,港大民意研究計劃科技經理馬晉彥在10月4日晚「獨立媒體(香港)」舉辦的離線沙龍上解釋策劃2012年323民間全民投票時所面對的攻擊:「其實在投票之前好幾天,與計劃有關的電郵戶口中已收到附件中包含特洛伊木馬程式(Trojan Horse)的電郵,後來電郵的密碼也被更改。到了3月21日,我們先在學界投票測試系統,港大電腦中心已通知我們,進入港大網絡的封包(packets),已過百萬封,幸好港大的防火牆已把大部份含攻擊性的封包擋住。到了323當日,發現有人編製程式,自動透過網絡投票,令伺服器不勝負荷。」

民意調查中心所遭遇到的攻擊,就是所謂的 DDoS攻擊,資深資訊保安專家楊和生在沙龍上解釋這種攻擊的手法:「策動DDoS的攻擊者會利用第三者的個人電腦、雲端伺服器等做「喪屍」來攻擊目標伺服器,目的是癱瘓網站。」不過除了 DDoS外,楊指出有些攻擊不是以停站為目的,而是更改站內的資料來誤導讀者。這些攻擊背後主要涉及商業或政治利益。

泄密與私隱的憂慮

面對攻擊,港人民意調查中心於24日零晨報警,並按中心整理的登入記錄 (log) 即日調查並拘捕疑犯。第二天,警方再到港大搜證落口供,過程中要拷貝伺服器裡所有的資料 (cloning)。

沙龍的主持方鈺鈞即時插嘴提問,「這種 Cloning 的做法,會否造成泄密?如投票者的個人資料及投票意向?又或者說,若伺服器內有兒童色情照,會否被檢控?」

一直有參與警察培訓工作的楊和生解釋,一般來說,在刑事調查,警察都會拷貝伺服器內所有內容,但只會調查該特定的案件,即使發現兒童色情,都不能直以用於檢控。至於涉及企業的民事案,企業會有律師,要求 Cloning的一方簽署一份保密文件,保證所有資料在調查後都會銷毁。不過由於現在很多網上平台都使用雲端伺服器,這是不能 Clone 的,可以只提供 log給警方調查。

低成本的保安手段

吸取了上次被攻擊的經驗,港大民意調查中心已組成了技術支援小組,小組成員之一鄭斌彬透露,這次中心會利用雲端服務,並利用Cloudfare來阻止含攻擊性的流量,並會想辦法加快處理數據的速度。但鄭指出,這些方法都是在緊絀的資料下的應變,目前整個民間公投計劃只有80萬預算。

相對港大,小型的NGO情況豈不更壞?鄭斌彬對小團體的建議是:不要自己搭建伺服器,盡量租用一些為特定內容管理平台而設計的網站寄存服務,因為這些服務會自動修復系統漏洞。至於如何得悉自己的個人電腦有否被入侵並變成「喪屍」,楊和生指出電腦變慢是其中一個線索,特別如果沒有連接互聯網時會明顯加快,就要小心留意。

Tech-activist:沒有對話,何來發展?

當互聯網越來越重要,而很多社會行動又要以網絡來溝通,科技介入社運變得必要,方鈺鈞指出在外國有不同的組織如Tactical Tech Collective或民間網站寄存服務Nearly Free Speech等,然而在香港,民間幾乎沒有這些方面的支援,究竟問題出在哪裡?

鄭斌彬認為主要是民間社會未意覺到科技介入社運的重要性,絕少機構會願意集合資源去支持 Tech-activist 的工作,「一人俾一蚊,人數夠多的話,可以幫助社運團體去發展新的工具和做好保安,但大家似乎覺得這個範疇不重要。」

不過台下的林藹雲則認為科技界應透過介入一些重要的社會事件,如佔中,令民間看到科技介入的重要性:「年年六四大家的手機都發不出訊息,若佔中時通訊失效,如何是好?一般人不會預先去想這些問題,亦不懂得處理,但科技界可以主動想方法啊!」

問題一提出,在場的技術老手們就即時提出可以用 Android的 Serval mesh app去建立電訊網絡通訊。也許問題在於對話的缺席,最明顯的是,這個關於網絡安全的離線沙龍,出席人數可謂寥寥可數,且均是搞技術的多,並沒社運團體代表出席。

編輯:林藹雲

You are receiving this email because you subscribed to this feed at blogtrottr.com.

If you no longer wish to receive these emails, you can unsubscribe from this feed, or manage all your subscriptions

没有评论:

发表评论