close
業界專訪資訊保安

CloudFlare 創辦人訪港揭秘 Matthew Prince:黑客攻擊非常聰明

兩月前因為港大民研 PopVote 而引發全城對 DDoS 攻擊的討論。事件中為「白武士」的 CloudFlare 不僅在港一役成名,也因而受到不同程度的謠言影響,CIA 打手等指控接踵而來。自言「我不懂政治」的 CloudFlare 創辦人 Matthew Prince,上星期便訪港分享了當時一役的真實情況,還透露了不少箇中內幕。

unwire005

 

不覺得屬於「國家級攻擊」

一般的網絡攻擊都針對 Layer 3,以大量流量來塞住網絡,其次是攻擊 Layer 4 和 Layer 7。Matthew Prince 形容黑客攻擊無所不用其極,在投票開始之初便已發動 DNS 查詢攻擊。他認為對手非常熟識整個 Networking 技術,能針對很多弱點來攻擊,當遠距離攻擊失敗後便在 AWS、Azure、Rackspace 等大型雲端服務商租用服務來發動攻擊,幸好 CloudFlare 發現後立即通報上述單位,立即要求對方停止該服務,因此很快便停止了這些攻擊來源。

他表示 CloudFlare 不知道這次黑客攻擊背後是誰在操控,也認為這並非他們需要關心的事,CloudFlare 只需要專注保護好被攻擊的對象就可以,追查背後攻擊來源並非他們的工作。他拒絕評論攻擊是否來自中國,但他引述了攻擊期間的紀綠指出,最多攻擊流量是來自巴西,其次印尼、美國,但因為 CloudFlare 在當地或附近都有數據中心,成功近距離就阻擋了攻擊。

對於有很多傳媒稱該次攻擊為「國家級攻擊」,Matthew 不以為然。他認為雖然流量很大,但卻不是需要大量國家級資源才能發動的攻擊,即使只是一個中學生都可能做得到。雖然是防守一方,但他也讚賞該次攻擊的手法很聰明且反應迅速,當一種方法被防守住就會迅速轉換攻擊戰術,回想起來也是覺得驚險,但幸好最終還成功擋住。

 

Google「不樂意」出手

港大民研計畫總監鍾庭耀博士,在 PopVote 受到攻擊時的記者會上曾提到,一旦 CloudFlare「失手」的話,還會有另一間更大的國際性互聯網公司會出手,但就無提到是哪間公司。當時很多人都猜測應該是 Google,而在是次講座中亦得到證實,但原來這故事背後還有內情。

Matthew 憶述當日親率團隊上陣,試過在一天內收到多達 2.5 億次 DNS 查詢,這數字「多於 Google 任何一刻的查詢量」,毫無疑問是史上最大規模攻擊之一。如此多的 DNS 查詢為其他多家提供服務的 IT 機構帶來壓力,但對 Google 而言其實還是能夠負荷的。

unwire004

 

但最終登上台板的還是 CloudFlare,Matthew 憶述他在投票展開前一日跟 Google 代表通電時的對話,對方表示 Google 不會參與防守,但理由就不涉政治,而是擔心攻擊會影響 Google 的核心業務。Matthew 表示由於 Google 搜尋服務影響全球網民,即使只是受影響數秒也可能引起很多問題,因此最後只能靠 CloudFlare 出手抵擋攻擊。

話雖如此,但 Matthew 表示其實包括 Google 在內,像 Facebook、Yahoo 等國際互聯網巨頭都嚴密關注戰況。因為如果今天能成功攻擊 PopVote,難保自己不會成為下一個目標。事實上當時就有多家傳媒網站受到攻擊,而 Facebook 一度斷線也惹來是否遭到攻擊的疑雲,呈現一片草木皆兵的現像。

 

中立不涉任何政治立場

由於港大民研符合 CloudFlare 的 Project Galileo 的非牟利和公眾利益的定義,因此 CloudFlare 是免費拔刀相助的,鍾庭耀博士在席間也公開表示感激。Matthew Prince表示由於他們的付費服務收費不同,因此很難衡量如果向港大民研收費的話會收多少,但就表示 CloudFlare 在防禦中花費了逾 10 萬美元之多。

Project Galileo 會向非政府及人權組織等團體,或因缺少資源卻需受保護的政治或藝術網站提供免費防禦。他憶述在接下 PopVote 防衛工作前幾天才開展了 Project Galileo,當時一個報導烏克蘭衝突消息的網站受侵襲,卻因無錢購買防禦系統而被逼關閉,他認為這會妨礙公眾知情權,因此出手相助。

但是這並不代表 CloudFlare 有既定的政治立場,他希望 CloudFlare能成為互聯網的「瑞士」,即使在衝突中亦會維護水火不融組織在網絡的發聲權,中立地協助雙方表達自由。從哈馬斯到以色列、烏克蘭的親俄與親歐陣營,均是 CloudFlare旗下客戶。至於 CloudFlare 會否再協助 PopVote 第二輪的全民投票,他表示沒問題,甚至不介意與反佔中組織合作,充分體現保護不同意見的堅持。

 

自稱不懂政治非 CIA 打手

對於被不少香港人奉為「守護言論自由」的英雄,Matthew 同樣不以為然,他認為自己只是做了該做的事而已。他坦言自己並不懂政治,對香港的政治情況「完全不了解」,甚至笑言最初認為 PopVote 是一個有關流行歌曲的投票活動,事前根本不知道會受到如此嚴峻的挑戰。

他憶述在協助烏克蘭的新聞網站後,有加拿大的團體向他們查詢,能否協助 PopVote 投票的防守。他笑言「最初根本不知道甚麼是 PopVote,以為是類似美國《American Idol》的歌唱大賽!」,直到黑客開始瘋狂攻擊他才驚疑自己到底是與甚麼人合作了?

Matthew Prince 認為自己不是英雄,反而香港大學民研團隊才是真正英雄。但出手幫助卻令 CloudFlare 突然多了很多「是非」。中國媒體不斷抹黑 CloudFlare 與美國中情局關係緊密,是收了美國政府錢的 CIA 打手,協助 PopVote 也是有政治目的。但他坦言自己絕對不會是美國政府喜歡的機構,而且中國的客戶卻其實非常多。

原來中國是 CloudFlare 第二大的市場,原因是中國市場的商業競爭手段比想像中更骯髒,很多機構都利用 DDoS 攻擊競爭對手,令對手無辦法維持服務。為了自保,其實很多中國公司都使用了 CloudFlare 的服務。但在中國市場限制卻很多,全國都有網絡防火牆,為他們的營運帶來不少麻煩。

unwire006

 

曾為網絡自由拒絕奧巴馬要求

說到 CloudFlare 與美國政府的關係,Matthew Prince 坦言絕對不會是美國政府喜歡的機構,事實上他們就曾拒絕過美國政府,甚至是總統奧巴馬的要求。他表示自己曾受到一名只有 15 歲的加州少年黑客,入侵其手機和 Gmail 戶口,繼而再控制了 CloudFlare 網絡,令網民登入網站時被重新定向到黑客的 Twitter 賬戶。雖然很快就阻止了他,但 Matthew 發現少年黑客一直是 CloudFlare 用戶,但公司最後也沒有停止給他的服務。

這少年黑客更試過入侵並公開一堆名人的信用紀錄,包括美國第一夫人米歇爾、聯邦調查局局長和多位荷李活巨星等。後來 FBI 探員給 Matthew 電話,表示探員的「上司的上司的上司」要解決問題,因為該少年用作公開名人資料的網站正是使用 CloudFlare 的服務,所以 FBI 要求停止他的服務,而這個「上司的上司的上司」就是現任美國總統奧巴馬。

但就算是總統出聲也不會改變 Matthew 的信念,一口拒絕了 FBI 的要求,並明言除非已獲法院授權,否則恕難從命。雖然他自己也曾受到這少年黑客攻擊,但他認為任意過濾互聯網資訊其實更加危險,互聯網應中立地讓人自由交換意見,因此絕不能答應政府的要求。所以他笑言如果自己真是收了 CIA 錢,又豈能拒絕總統要求?

unwire002

 

希望在亞洲建立據點

在講座尾聲時,Matthew Prince 表示 CloudFlare 有意在亞洲物色地點,開設亞洲部的總部,但就暫時未有任何意向。他表示對香港形象良好,自己也很喜歡香港,但公司內也有人提議新加坡。

他指新加坡政府非常積極,並願意提供極多支援,他更表示當自己在 Twitter 上公開表示想在香港開設辦事處,新加坡政府已經立即向他主動聯絡。不過筆者相信一向「慢半拍」的香港政府恐怕至今仍未留意到這事吧?而且政府會否樂意讓被中國政府指為「CIA 打手」的 CloudFlare 在香港落戶也是一大疑問吧?

 

Tags : cdncloudflareDDOShkupopvote
Catabell Lee

The author Catabell Lee

Leave a Response