「佔領中環」運動計劃在本周日(22/6)以網上投票和實體票站的形式,舉行模擬的全民公投,但卻引來黑客以分散式阻斷服務(DDoS)攻擊,網站服務一度癱瘓。雖然港大民研計劃宣稱未有市民資料外洩,但癱瘓服務其實已令黑客達到目標。DDoS 攻擊其實非常貼身,而且目標並不只有政治人物,早前 Feedly 和 Evernote 就同樣遭到黑客以 DDoS 攻擊勒索。在網路打開門做生意的中小企,又如何應對這些威脅?
有史以來最大規模攻擊
為讓巿民熟習全民投票電子投票系統,香港大學民意研究計劃在上周五(13/6)啟動了手機投票平台,讓巿民下載應用再模擬投票及預先登記。據港大民研的新聞稿表示,該系統由三家國際及本地機構提供網絡服務,包括 Amazon Web Services(AWS)、CloudFlare 及 Udomain。
該系統在順利運作 30 小時後,三家機構突然全部遭受規模罕見的 DDoS 攻擊,據記錄顯示,AWS 的域名伺服器(DNS)在 20 小時內錄得超過 100 億個系統查詢,而 CloudFlare 及 UDomain 則分別錄得每秒 75Gb 及 10Gb 的 DDoS 攻擊,規模遠超過去對投票系統的攻擊,而且後者絕大部分來自本地互聯網服務供應商。
據網絡保安專家分析指,是次攻擊規模之大及時間之長,是香港有史以來已公開的類似個案中最嚴重的。即使以互聯網使用高峰期來計算,全港互聯網的每秒流量最多也只是 400Gb 至 500Gb,故是次攻擊或已佔用全香港約兩成頻寬。在遭受攻擊前系統已成功接受超過二萬名市民預先登記,港大民研計劃表示由於黑客攻擊力強大且持續 20 多小時,三個供應商先後罕有地暫停提供服務,但強調儲存的市民資料沒有受到影響。
Q1:香港僵屍網絡規模驚人?
其實舉行民間公投已非首次,上次亦遭受到惡意的 DDoS 攻擊,據事後分析大多數攻擊 IP 均來自包括中國在內的海外地區。因此今次的系統已特地加入 IP 限制,只允許來自香港的 IP 登入,但結果仍然遭到來自香港的 IP 的大規模攻擊。
一般 DDoS 攻擊大多來自僵屍網絡(Bot-Net)的攻擊。所謂僵屍網絡是指黑客透過在網路散播惡意程式,由於這些惡意程式大都事前經黑客測試,不會被防毒軟件認到,因此能神不知鬼不覺植入到中招者的電腦中,然後再自行在網絡中散播。潛伏對像不一定是 Windows 電腦,就算是 Mac 以至伺服器系統都有可能,叫人防不勝防。
這些中了招的僵屍電腦(Zombie Computer)會成為黑客用以攻擊的工具,就像在僵屍電影的僵屍一樣,不受控地集體向目標攻擊。而一般人在使用這些僵屍電腦時往往都發現不到問題,因為程式都在背後運作,使用者其實很難發現已經中招。換言之,如果中小企在保安管理上疏忽,不僅有機會成為黑客攻擊對象,甚至可能成為黑客攻擊的跳板而不自知。
Q2:怎樣才知自己是否已成為僵屍網絡成員?
香港華爾基利信息安全研究組織電腦保安研究員賴灼東向媒體表示,估計黑客要做到如此大規模 DDoS 攻擊,背後的僵屍網絡最少需要 5,000 部電腦,甚至過萬部或更多,反映香港僵屍網絡問題非常嚴重。香港電腦保安事故中心(HKCERT)數據顯示,2013 年共接獲 1,593 宗網絡信息安全事故,去年第四季度更發現有超過 8,300 部僵屍電腦。
該中心亦經常發表保安公布,上周五就估計香港約有 2,400 部電腦受感染成為 GameOver Zeus(GOZ)殭屍網絡成員。而 2009 年出現的 Conficker 至今仍然是香港最多人中招的僵屍網絡,估計全港仍有超過 4,000 部電腦受控制。
目前已知的較知名僵屍網絡程式都能被保安軟件偵測出來,但如果有新變種就未必有效。如機構想進一步了解自己的電腦有否中招,除了到訪 HKCERT 網站下載偵測和清除程式外,其實坊間亦有多家保安方案商有提供顧問服務,免費掃描和協助清理惡意程式。就算你最終未必有幫襯,但最低限度可得到一個安心。
Q3:我不碰政治議題,應該不會受到攻擊吧?
大錯特錯的想法。雖然會登上報紙的 DDoS 攻擊案例,大多涉及政治議題,但這不代表只有政治議題會受到 DDoS 攻擊。國家級的黑客攻擊時有聽聞,早前中美爭拗便涉及有關議題,而今次港大民研計劃遭受的攻擊亦懷疑是來自中國黑客組織。但早前 Feedly 和 Evernote 都受到 DDoS 攻擊,顯示對象從來都不限於政治。
上星期網上 RSS 閱讀器 Feedly 和網上筆記服務 Evernote,都遭受到 DDoS 攻擊,而且黑客更趁此勒索要求贖金,換取不再遭受 DDoS 攻擊。Feedly 不妥協,因此在受到攻擊被逼將網站暫時離線並重啟服務。Feedly 和 Evernote 的業務運作全得靠網路進行,如果網路服務因為 DDoS 攻擊而停止,那就不能為客戶提供服務,不僅影響商譽,更隨時要向客戶賠償損失。
這並不是遠在天邊的罪案,2012 年香港金銀業貿易場就同樣遭到黑客以 DDoS 攻擊勒索。由於金銀業貿易場的交易都要靠網路進行,網路受攻擊將令關鍵業務完全停擺。雖然最後警方成功破案並抓到攻擊的黑客,但這些威脅仍然存在,值得同樣以網路為業務關鍵的機構,尤其是中小企業的正視。
Q4:我要靠網路來做生意,應該怎樣防範 DDoS 攻擊?
首先要知道,傳統防火牆產品是很難防禦 DDoS 攻擊的。據 Akamai 公布的今年首季全球 DDoS 攻擊報告,針對基礎架構攻擊(Layer 3 & 4)的攻擊,去年同期相比上升 68%;而針對應用層(Layer 7)的攻擊,亦比去年同期上升 21%。其中針對應用層的攻擊特別難防,傳統防火牆和 IPS 都對此無能為力,用實體商店舉例的話,就像攻擊者找一堆閒人湧入你店內但不消費,阻礙你的真正客人使用,從而癱瘓你的業務。
就算你找保安員在門外把守,但仍難在大量閒人中篩選出真正的顧客,導致客人因長時間等待而放棄離開。由於大多數以網路為業務重心的機構,大都依賴網路應用(Web Application)工作,例如網媒的 WordPress、討論區的 Discuz,或是網上商店、拍賣網、團購等都有自己的專用網路應用程式。由於這些應用都打開大門,因此必須依靠「網路應用防火牆」來防範 DDoS 和數據庫注入攻擊等威脅。
如果是資源較少,或是缺乏 IT 經驗的一般中小企,可以考慮把 IT 基建外判出去,例如直接使用 AWS 來架建網站,這樣就能一併把 IT 保安的風險外判。由於這些服務供應商具備足夠資源,能提供比中小企自行管理來得更高的保安水平。而一旦出現針對性的攻擊,也可用相對低廉的價格得到其他技術支援。
Q5:那我把網站放到 AWS 上就可以一勞永逸囉?
非常遺憾,答案是「否」。在港大民研計劃的 DDoS 案件中,AWS 就是其中一家承接服務的供應商,但經過長時間攻擊後,AWS決定不再提供 DNS 服務,而本地公司 UDomain 亦退出網絡保安服務,只餘下 CloudFlare 繼續提供有限服務。
Amazon 那麼大的服務供應商都「投降」,可能令不少人到驚訝或失望。但考慮到事件可能涉及國家級攻擊,而港大民研也沒有足夠的金錢資源配合,AWS 停止對港大民研計劃提供支援,未必是因為 Amazon 真的承受不來。但從中小企的角度考慮,其實也同樣未必有足夠預算,應付因為突發 DDoS 攻擊而需要付出的額外支出,因此除了靠 AWS 的 Marketplace 租用虛擬的防火牆,其實還可找其他雲端保安廠商協助,例如 Cloudfare、Incapsula、NeuStar、Prolexic 等。透過將網站的 DNS 伺服器轉移到他們提供的 DNS 服務,將 DDoS 流量轉移到這些專門應付 DDoS 攻擊的公司,他們會過濾走問題的 IP 連接後,再將正常的訪問流量導回,從而阻隔 DDoS 攻擊。
由於這些公司本身就以解決 DDoS 為前題,所以大多擁有海量的頻寬,足夠承載 DDoS 攻擊的巨大流量,緩和 DDoS 攻擊。當然就算「讓專業的來」,由於黑客愈來愈先進,可以「以小敵大」,利用反射及放大攻擊工具來加強攻擊威力,因此專家也未必抵擋得住,這時就可能要靠國家級層面協助。不過,恐怕一般中小企未必會如此「榮幸」吧?
Should have mention using authentication can effectively block DDoS attack by given resource only to those who have valid credentials, and make authentication itself quick. Captcha can be good for checking if the requester is actually a human and serving captcha can be largely offloaded to Google.
成件事都唔關 authentication 事,所有問題都出現係有 http connection 之前…..