過去一兩年,不論是港大民意調查還是香港的網上媒體,均經常被黑客攻擊,而這些攻擊的政治動機越見明顯。普選的提名門檻爭議日益激烈,港大鍾庭耀再次以全民民意調查的方式去為普選方案做公投,民間則為為2014年7月佔領中環做好各方面的準備,網絡的攻防成為其中一大關鍵。
港大民意調查被黑的經驗
大家最擔心的,當然是港大全民民意調查系統會否再一次被黑客攻擊,港大民意研究計劃科技經理馬晉彥在10月4日晚「獨立媒體(香港)」舉辦的離線沙龍上解釋策劃2012年323民間全民投票時所面對的攻擊:「其實在投票之前好幾天,與計劃有關的電郵戶口中已收到附件中包含特洛伊木馬程式(Trojan Horse)的電郵,後來電郵的密碼也被更改。到了3月21日,我們先在學界投票測試系統,港大電腦中心已通知我們,進入港大網絡的封包(packets),已過百萬封,幸好港大的防火牆已把大部份含攻擊性的封包擋住。到了323當日,發現有人編製程式,自動透過網絡投票,令伺服器不勝負荷。」
民意調查中心所遭遇到的攻擊,就是所謂的 DDoS攻擊,資深資訊保安專家楊和生在沙龍上解釋這種攻擊的手法:「策動DDoS的攻擊者會利用第三者的個人電腦、雲端伺服器等做「喪屍」來攻擊目標伺服器,目的是癱瘓網站。」不過除了 DDoS外,楊指出有些攻擊不是以停站為目的,而是更改站內的資料來誤導讀者。這些攻擊背後主要涉及商業或政治利益。
泄密與私隱的憂慮
面對攻擊,港人民意調查中心於24日零晨報警,並按中心整理的登入記錄 (log) 即日調查並拘捕疑犯。第二天,警方再到港大搜證落口供,過程中要拷貝伺服器裡所有的資料 (cloning)。
沙龍的主持方鈺鈞即時插嘴提問,「這種 Cloning 的做法,會否造成泄密?如投票者的個人資料及投票意向?又或者說,若伺服器內有兒童色情照,會否被檢控?」
一直有參與警察培訓工作的楊和生解釋,一般來說,在刑事調查,警察都會拷貝伺服器內所有內容,但只會調查該特定的案件,即使發現兒童色情,都不能直以用於檢控。至於涉及企業的民事案,企業會有律師,要求 Cloning的一方簽署一份保密文件,保證所有資料在調查後都會銷毁。不過由於現在很多網上平台都使用雲端伺服器,這是不能 Clone 的,可以只提供 log給警方調查。
低成本的保安手段
吸取了上次被攻擊的經驗,港大民意調查中心已組成了技術支援小組,小組成員之一鄭斌彬透露,這次中心會利用雲端服務,並利用Cloudfare來阻止含攻擊性的流量,並會想辦法加快處理數據的速度。但鄭指出,這些方法都是在緊絀的資料下的應變,目前整個民間公投計劃只有80萬預算。
相對港大,小型的NGO情況豈不更壞?鄭斌彬對小團體的建議是:不要自己搭建伺服器,盡量租用一些為特定內容管理平台而設計的網站寄存服務,因為這些服務會自動修復系統漏洞。至於如何得悉自己的個人電腦有否被入侵並變成「喪屍」,楊和生指出電腦變慢是其中一個線索,特別如果沒有連接互聯網時會明顯加快,就要小心留意。
Tech-activist:沒有對話,何來發展?
當互聯網越來越重要,而很多社會行動又要以網絡來溝通,科技介入社運變得必要,方鈺鈞指出在外國有不同的組織如Tactical Tech Collective或民間網站寄存服務Nearly Free Speech等,然而在香港,民間幾乎沒有這些方面的支援,究竟問題出在哪裡?
鄭斌彬認為主要是民間社會未意覺到科技介入社運的重要性,絕少機構會願意集合資源去支持 Tech-activist 的工作,「一人俾一蚊,人數夠多的話,可以幫助社運團體去發展新的工具和做好保安,但大家似乎覺得這個範疇不重要。」
不過台下的林藹雲則認為科技界應透過介入一些重要的社會事件,如佔中,令民間看到科技介入的重要性:「年年六四大家的手機都發不出訊息,若佔中時通訊失效,如何是好?一般人不會預先去想這些問題,亦不懂得處理,但科技界可以主動想方法啊!」
問題一提出,在場的技術老手們就即時提出可以用 Android的 Serval mesh app去建立電訊網絡通訊。也許問題在於對話的缺席,最明顯的是,這個關於網絡安全的離線沙龍,出席人數可謂寥寥可數,且均是搞技術的多,並沒社運團體代表出席。
編輯:林藹雲
没有评论:
发表评论