愛沙尼亞遭受前所未有的網路攻擊,誰是幕後主使者?
《讀者文摘 2008年12月》 JOSHUA DAVIS 撰
愛沙尼亞是全歐洲網路化程度最高的國家,去年遭受空前的網路攻擊,背後主使者是誰?下一個遭殃的又會是誰?
北歐國家愛沙尼亞的國防部長雅克.阿維克索盯著螢幕上「無法顯示網頁」的訊息,無法打開該國最大報紙《郵差報》的網站,連其他幾家報紙的也全都看不到。
一名助理拿著報告匆匆走進辦公室。原來,除了報紙網站外,政府的通訊系統也掛掉了。主要銀行遭受網路攻擊,官方網站及警方通訊全都受到影響,自動提款機無法使用,手機等隨身通信設備也被駭客以垃圾郵件塞爆。敵人已經入侵,而且對眾多目標發動攻擊。阿維克索的助理解釋,他們正遭到一個居心不良的網路進犯。這個所謂的「殭屍網路」(botnet)已從該國防備最弱的一環──網際網路──步步進逼了。
其後幾個月,全球各地的評論家紛紛回顧這一刻,並探討其意義。不過對阿維克索而言,道理再明白不過。他後來對我說:「這起以愛沙尼亞主要網路基礎設施為目標的攻擊,是殭屍網路第一次威脅到整個國家的安全。」第一次網路大戰(Web War One)正式爆發了。
移走銅像:
這次數位大戰的導火線發生在前一天。二○○七年四月二十七日拂曉時分,愛沙尼亞當局把位於首都塔林中央一尊兩公尺高的銅像遷往他處。前蘇聯把納粹黨人趕走後,於一九四七年建立了這座解放紀念碑,紀念他們戰死沙場的子弟。不久,俄羅斯人在此落戶定居,大批愛沙尼亞人被放逐到西伯利亞。對許多愛沙尼亞人來說,這座銅像是暴虐占領的象徵,獨立十六年後(該國於一九九一年獨立),他們不理會俄羅斯政府的抗議,堅持把銅像遷移到近郊的一座軍人公墓。
早在移走之前,塔林街頭便爆發了騷動。一千多名以俄羅斯裔人(俄羅斯裔約占愛沙尼亞總人口的四分之一)為主的暴民砸碎商店櫥窗,搗毀汽車,並朝防暴警察丟擲石塊,後來有數百人被捕。然而暴動才剛平息,另一種攻擊卻開始席捲全國。
正當國防部長阿維克索與其他部會首長會面,商討該如何擊退殭屍網路之際,《郵差報》資訊科技主管亞果.瓦西發現報社伺服器因受到二百三十萬次的點閱而應接不暇,已當機了二十次。
他辦公室牆上的平面螢幕顯示,頻寬容量(bandwidth consumption,這裡指從愛沙尼亞境內及世界各地流向《郵差報》的網路流量)還有百分之二十到百分之三十的空間,但這個數字正逐步下降:百分之二十、 百分之十、 百分之五。等它降到零時,網站便無法登錄,任誰也看不到網站上的新聞。
這起攻擊在愛沙尼亞將會產生重大影響。該國一百三十萬人口當中,約有四成每天閱讀網路報,有九成以上的銀行交易在網路上進行,而且當局已決定採用網路投票。愛沙尼亞到處安裝了免費的無線網路(Wi-Fi),手機可以用來支付停車費或購買午餐,位於塔林郊外的Skype總部已取代了國際電話業務。有朝一日,世界其他地區網路化的程度,也會像這個波羅的海小國一樣普及。
果真如此,未來看來危機重重。
殭屍網路的自動電腦程式繼續把無數訊息張貼到《郵差報》的評論網頁上,因而造成伺服器不堪負荷。瓦西發現駭客不斷惡意向伺服器發出瀏覽請求,並避過了他所撰寫的過濾軟體。背後的黑手不論是誰,都十分老練高明,而且動作敏捷。
五天來,他的伺服器遭到一波又一波的攻擊,但他努力「應戰」,使伺服器保持在良好狀態。五月二日星期三,網站流量又開始暴增,主要來自國外訪客。瓦西起初以為這是由於國際間對銅像遷移的爭議感興趣,可是他察看流量的來源,發現訪客人數最多的國家是埃及,其次是越南和秘魯。他不明白怎麼會有這麼多愛沙尼亞人突然從東南亞與南美洲冒出來。中午,可用的頻寬降為零──網站終於掛掉了。
瓦西嘗試打開其他媒體的網站,但同樣無計可施。現在他只有一個選擇,就是切斷國際連線。他輸入幾行代碼,按下輸入鍵,然後所有其他國家瀏覽這份網路報的請求都會遭到拒絕。在世人眼中,《郵差報》網站已消失無蹤;同時,顯示網路頻寬使用率的指示燈則瞬間轉綠。這個網站在愛沙尼亞境內又可以再度被瀏覽了,不過世界其他地方則無法透過它,得知這個國家發生了什麼事情。這就像有一隻無形的手,按下一個按鈕,然後愛沙尼亞消失了。
祕密聯盟:
同一天,希拉.艾瑞雷在塔林舊城外一家昂貴的餐廳用晚餐。艾瑞雷是愛沙尼亞電腦網路安全應變小組(即該國網路防衛隊)負責人,他原為警探,後被經濟事務與通訊部網羅,專門對付網路攻擊。
坐在餐桌對面的是克提斯.林科維斯,他是瑞典斯德哥爾摩Netnod的負責人之一。Netnod是全球十三個根網域名稱伺服器(root domain name server)之一,這些伺服器管理全球網際網路的流量。林科維斯今年三十三歲,喜歡打羽球,下巴有一個酒窩,頭髮剪得非常短,是某個網際網路菁英聯盟的成員之一,這個組織有權切斷全球網際網路的流通。他們這些所謂的「網路診療師」(the Vetted),是被全球各大網路服務供應者(ISPs)所信賴的極少數人,可以請求ISPs把圖謀不軌的電腦用戶從網路上剔除。
林科維斯與幾個網路診療師正好在塔林與歐洲網路業者開會,艾瑞雷於是趁機向他們求助。為了對殭屍網路的殭屍(即傀儡電腦)還擊,艾瑞雷必須追蹤來源,並要求ISPs把攻擊者列入黑名單,否則愛沙尼亞的頻寬會招架不住。但大部分的ISPs從未聽過希拉.艾瑞雷,難免會懷疑他本身是不是駭客。因此,艾瑞雷希望網路診療師能代自己出征。
晚餐結束時,林科維斯答應幫忙。另外兩位網路診療師,瑞典的派崔克.法斯壯與美國的比爾.伍考克其後也同意伸出援手。
多方攻擊:
接下來一星期的網路攻擊時斷時續,此起彼落。那些入侵的「步兵」稱為「腳本小子」(script kiddies),他們相對而言沒那麼老練高明,只是從駭客網站上一行一行抄襲別人寫的程式。他們主要的武器是ping(向網路伺服器要求回應的簡單指令),每秒鐘重複數百次。當大批駭客同時對一個伺服器展開ping攻擊時,就可能使這個伺服器癱瘓。
這些腳本小子在一個俄語聊天室裡熱烈討論,起初的話題是遷移戰爭紀念碑,一週後,數百封在網站上張貼的訊息呼籲在五月九日午夜十二點,也就是俄羅斯慶祝第二次世界大戰獲勝的這一天,準時發動攻擊。這些訊息列出清晰的指示,說明如何對指定的愛沙尼亞網站發動ping攻擊。
然後還有空中部隊──殭屍網路。這個龐大的中隊由世界各地數以千計受駭客控制的個人電腦組成。這些被稱為殭屍的傀儡電腦,會以垃圾郵件湧入指定的網址塞爆網路,等同數位版的地毯式轟炸,也稱為阻絕服務攻擊(DDoS)。
最後,是特種部隊,也就是可以滲透個人網站、刪除原本內容,並任意張貼訊息的駭客。他們在網上的公共論壇裡暗示攻擊的意圖:「DDoS現仍在進行,不過更強的攻勢快來了。」一個名叫S1B的駭客說:「五月九日的大規模攻擊,要令愛沙尼亞的網路……完全癱瘓。」
夢幻組合:
五月八日晚上十點,林科維斯、法斯壯和伍考克抵達愛沙尼亞電腦網路安全應變小組的總部。他們三人可說是一支電腦怪傑的夢幻組合:伍考克穿著在美國蒙大拿州訂製的牛皮馬靴;綁著馬尾的法斯壯以前是瑞典海軍的軟體工程師,現在是瑞典政府的網路安全顧問;伍考克把他的手提電腦舉到空中,然後叫艾瑞雷和林科維斯過來,用內建的相機拍了一張照片傳到網路上,向其他網路診療師證明艾瑞雷確有其人。
網路上看來一切如常,進入愛沙尼亞的流量在晚間這個時候並無異樣,每秒約兩萬個數據包(packets)。他們猜想,也許網路所說的攻擊計畫只是惡作劇。
晚間十一點整,流入愛沙尼亞的數據包突然飆增至兩百倍,每秒達四百萬以上。全球將近一百萬部電腦突然開始登入愛沙尼亞不同的網站,從外交部到大銀行都有,令整個國家的頻寬容量出現沉重負荷。
艾瑞雷和他的小組開始往上游追蹤來源,短短數分鐘內,追蹤到一個以美國一批傀儡電腦為主的殭屍網路。艾瑞雷找到網址後,伍考克和林科維斯立刻發出電郵給世界各地的網路業者,請求從源頭把這IP網址封鎖掉。他們一個又一個地攔截這些「殭屍」,到黎明時,已使攻擊者和進入愛沙尼亞的網路流量,降低到略高於正常水準。
當天早上,太陽在莫斯科升起時,紅場戒備深嚴。不久,戰機直線穿破雲天,同時有七千名士兵列隊經過總統普丁(又譯普京)面前,慶祝俄羅斯戰勝納粹德國的紀念日。普丁表示:「那些想要褻瀆戰爭英雄紀念碑的人,是在侮辱自己的同胞,並在國家與人民之間挑撥離間。」
那一天,殭屍網路又在愛沙尼亞相繼展開五十八次的攻擊。
俄羅斯當局否認與這些攻擊有關,但是有兩個發動攻擊的電腦來自俄羅斯,其中一個更位於普丁總統在克里姆林宮外的辦公室。不過,這些電腦也可能和來自美國的電腦一樣,是受到控制的傀儡。伍考克說,當使用者打開一個感染病毒的附件,或瀏覽一個會自動安裝惡意軟體(malware)的網站時,電腦就會受到操縱。
然而,俄羅斯的IP地址赫然出現,令不少愛沙尼亞人感到憤怒。愛沙尼亞外交部長烏爾馬斯.白也特就一直指控普丁政府直接參與其事。他說:「歐盟正遭受攻擊,因為俄羅斯正在攻擊愛沙尼亞。這些虛擬的心理攻擊實實在在發生了。」
之前數星期,有人對西洋棋大師蓋瑞.卡斯帕洛夫領導的俄羅斯反對黨聯盟展開類似攻擊,使這些政黨的網站癱瘓。
於此同時,俄羅斯政府宣佈更改反對派的集會地點。卡斯帕洛夫因無法利用網站通知他的支持者,於是不少群眾依舊去了原訂地點示威,卡斯帕洛夫因此為領導非法集會而被捕。
國際網路保全公司艾博網絡(Arbor Networks)的丹尼.麥克法森說,與這兩次阻絕服務攻擊有關的網路出現部分重疊。攻擊俄羅斯反對派網站的殭屍網路,有一部分被用來攻擊愛沙尼亞。
五月中旬,入侵愛沙尼亞的主要殭屍網路突然停止攻擊。
背後動機:
許多證據顯示,俄羅斯與這些攻擊有關。很多俄羅斯語的電子佈告欄敦促網友捍衛祖國,而且有駭客用「俄羅斯駭客入侵」這句話,取代了至少一個愛沙尼亞網站的原始首頁。但俄羅斯當局卻無意追蹤境內的罪魁禍首。
去年六月我到莫斯科,會晤了莫斯科大學通訊安全研究所副所長瓦勒瑞.耶先科。這個研究機構負責針對網路恐怖主義,向克里姆林宮提供建言。我問他對愛沙尼亞的網路攻擊有何看法,他說:「我對這件事毫無興趣,也不打算研究;這只是一次無足輕重的個案。」
小型俄羅斯語刊物《駭客》宣稱自己是俄羅斯駭客圈的代表。雜誌編輯派遣一名二十一歲、名叫阿敏.艾西索夫的小伙子,向我解釋愛沙尼亞網路大戰的前因後果。
我們走到附近的一座公園,在長椅子上坐了下來。艾西索夫說,他看到駭客們公開和私底下計畫攻擊,強調俄羅斯當局並未參與其中。這些駭客的父祖輩,不少在第二次世界大戰期間曾經為祖國做出重大犧牲。殭屍網路通常以謀利為目的,但是參與這次網路攻擊的殭屍網路分文未取。這件事關乎俄羅斯的尊嚴,與金錢無關。
艾西索夫說:「俄羅斯的電腦專家知識淵博,經驗豐富,足以破壞所有國家主要的伺服器;他們是世界一流的。」
那些駭客是俄羅斯當局的工具嗎?這個問題仍然懸而未決。去年十二月,俄羅斯裔愛沙尼亞人德米崔.葛陸希凱維奇因為對愛沙尼亞執政改革黨的網站發動網路攻擊,而被愛沙尼亞法院裁定罪名成立,罰款一千一百歐元。
攻擊演習:
六十三歲的恩娜.愛爾瑪是愛沙尼亞的國會議長,她懷疑這次網路攻擊是一次測試:「愛沙尼亞是北大西洋公約組織成員,攻擊我們,不失為對該組織防禦能力的一次測試。」
愛爾瑪在俄羅斯研究天體物理學多年,目睹世界隨核子技術的發展而出現轉變。她認為,網路戰爭是全球歷史上另一個重要關鍵。她說:「核爆與愛沙尼亞五月所遭受的攻擊,在我眼中分別不大。與核輻射一樣,網路戰爭不見血,但同樣可摧毀一切。」
如果還能看見彩虹
2 年前
沒有留言:
張貼留言