問:Cloudflare近日對殭屍網絡蝦蛄(Mantis)進行研究,發現它只由五千部機組成,卻可以作出每秒二千六百萬次的加密攻擊,情況十分之嚇人。照說加密HTTP請求其實是更消耗頻寬以及運算能力,蝦蛄如何能夠做到以遠比以往其他的殭屍網絡少的機器數目,作出規模恐怖得多的HTTP DDoS攻擊?
李建軍:其實這個蝦蛄網絡之所以如此恐怖,因為這個網絡的組成,主要都是主機級別的電腦,或虛擬機器,而非以往的物聯網機器。物聯網機器,數目確實相當龐大,但由於運算能力以至頻寬都相當有限,要作出頻密的攻擊不易,更何況加密的攻擊。像Cloudflare一類的公司,對舊式的人海戰術式攻擊可以輕鬆化解。只不過,當攻擊發起的背後是主機級別的電腦,可以很快作出經加密的請求,還要有數據中心級別的頻寬,所以五千部機所造成的挑戰,遠大於十萬個物聯網設備所帶來的攻擊。
問:Cloudflare對分析指,組成蝦蛄的機器都是被黑客挾持。你有何評價?
李建軍:由攻擊對象來看,被攻擊的主要是電訊網絡,以及出版界。由此分析,被蝦蛄用作發動攻擊的機器,有部分可能是遭到騎劫。但我相信有部分被用作發動攻擊的主機,可能是黑客自行租用,甚至是政府行為——因為一般俄羅斯、中國一類敵視新聞自由的政府最愛對傳媒發動攻擊。
問:假如說有黑客專門租賃主機級別的電腦去從事網絡攻擊,那為何有數據中心肯將主機租予黑客呢?難道不怕被執法部門查到?
李建軍:一直以來,都存在所謂「防彈」數據中心,不少所謂暗網服務都與這些數據中心有關。另外,它們的服務對象也包括加密貨幣的礦工。這些數據中心的營運者透過複雜的公司架構隱藏實際擁有人身份,以避過執法部門耳目。
在以往加密貨幣相當有利可圖時,黑客一般都會將運算能力強大的主機,無論是自己租用,還是挾持他人的機用作挖礦。但近日加密貨幣價格大跌,不少挖礦人士放棄租用數據中心挖礦後,數據中心出現相當大數目剩餘運算力和頻寬。有部分被放棄的主機,有可能被黑客劫持,但有部分黑客主機被轉為用作從事收費攻擊任務殊不為奇。加密貨幣前景不明時,主機級別電腦的運算能力被用於其他犯罪活動,其實是預計得到。
問:對一般人來說,這種攻擊意味甚麼?對翻牆人士而言,又有甚麼負面影響?這個問題因否引起關注?
李建軍:由於這類攻擊首要對象是電訊公司,因此,不少西方國家網絡變慢,這其實亦變相影響翻牆的人,因為翻牆是依賴西方國家電訊網絡,如果你用作翻牆的主機身處的數據中心,恰好是黑客的攻擊對象,或黑客用作攻擊之用,肯定會影響你的翻牆速度。因此,這些事對翻牆人士,肯定有著相當負面的影響。
另一方面,這類攻擊亦針對新聞機構,事故這種情況也會有損新聞自由。
很多人翻牆上網的目的,都是為了獲得未經政府審查的第一手消息。雖然暫時這類攻擊針對的都是與烏克蘭戰事有關的新聞內容,但不排除日後在一些政治敏感時刻,會有更多媒體的主機受到這類DDoS攻擊。
譬如在中國,近日多個省市都有業主集體停止爛尾樓花的按揭供款,而中共二十大又召開在即,這些深遠影響社會的事件發生期間,當局聘用黑客針對個別新聞機構的主機發動攻擊亦不令人意外。
甚至,這類攻擊還可以向社交媒體發動進攻。這次蝦蛄有五千部主機,已經做到每秒二千六百萬次的攻擊,若當局調動更多主機,製造每秒上億次的攻擊,都並非甚麼怪事。
蝦蛄事件已敲響警鐘,查出由哪些人發動攻擊,並在未來禁止有份參與這類攻擊的公司繼續營運數據中心,對各國民眾的資訊自由都十分之重要。