第一次網路大戰

愛沙尼亞遭受前所未有的網路攻擊，誰是幕後主使者？
《讀者文摘 2008年12月》 JOSHUA DAVIS 撰

愛沙尼亞是全歐洲網路化程度最高的國家，去年遭受空前的網路攻擊，背後主使者是誰？下一個遭殃的又會是誰?

北歐國家愛沙尼亞的國防部長雅克．阿維克索盯著螢幕上「無法顯示網頁」的訊息，無法打開該國最大報紙《郵差報》的網站，連其他幾家報紙的也全都看不到。

一名助理拿著報告匆匆走進辦公室。原來，除了報紙網站外，政府的通訊系統也掛掉了。主要銀行遭受網路攻擊，官方網站及警方通訊全都受到影響，自動提款機無法使用，手機等隨身通信設備也被駭客以垃圾郵件塞爆。敵人已經入侵，而且對眾多目標發動攻擊。阿維克索的助理解釋，他們正遭到一個居心不良的網路進犯。這個所謂的「殭屍網路」（botnet）已從該國防備最弱的一環──網際網路──步步進逼了。

其後幾個月，全球各地的評論家紛紛回顧這一刻，並探討其意義。不過對阿維克索而言，道理再明白不過。他後來對我說：「這起以愛沙尼亞主要網路基礎設施為目標的攻擊，是殭屍網路第一次威脅到整個國家的安全。」第一次網路大戰（Web War One）正式爆發了。

移走銅像：

這次數位大戰的導火線發生在前一天。二○○七年四月二十七日拂曉時分，愛沙尼亞當局把位於首都塔林中央一尊兩公尺高的銅像遷往他處。前蘇聯把納粹黨人趕走後，於一九四七年建立了這座解放紀念碑，紀念他們戰死沙場的子弟。不久，俄羅斯人在此落戶定居，大批愛沙尼亞人被放逐到西伯利亞。對許多愛沙尼亞人來說，這座銅像是暴虐占領的象徵，獨立十六年後（該國於一九九一年獨立），他們不理會俄羅斯政府的抗議，堅持把銅像遷移到近郊的一座軍人公墓。

早在移走之前，塔林街頭便爆發了騷動。一千多名以俄羅斯裔人（俄羅斯裔約占愛沙尼亞總人口的四分之一）為主的暴民砸碎商店櫥窗，搗毀汽車，並朝防暴警察丟擲石塊，後來有數百人被捕。然而暴動才剛平息，另一種攻擊卻開始席捲全國。

正當國防部長阿維克索與其他部會首長會面，商討該如何擊退殭屍網路之際，《郵差報》資訊科技主管亞果．瓦西發現報社伺服器因受到二百三十萬次的點閱而應接不暇，已當機了二十次。

他辦公室牆上的平面螢幕顯示，頻寬容量（bandwidth consumption，這裡指從愛沙尼亞境內及世界各地流向《郵差報》的網路流量）還有百分之二十到百分之三十的空間，但這個數字正逐步下降：百分之二十、 百分之十、 百分之五。等它降到零時，網站便無法登錄，任誰也看不到網站上的新聞。

這起攻擊在愛沙尼亞將會產生重大影響。該國一百三十萬人口當中，約有四成每天閱讀網路報，有九成以上的銀行交易在網路上進行，而且當局已決定採用網路投票。愛沙尼亞到處安裝了免費的無線網路（Wi-Fi），手機可以用來支付停車費或購買午餐，位於塔林郊外的Skype總部已取代了國際電話業務。有朝一日，世界其他地區網路化的程度，也會像這個波羅的海小國一樣普及。

果真如此，未來看來危機重重。

殭屍網路的自動電腦程式繼續把無數訊息張貼到《郵差報》的評論網頁上，因而造成伺服器不堪負荷。瓦西發現駭客不斷惡意向伺服器發出瀏覽請求，並避過了他所撰寫的過濾軟體。背後的黑手不論是誰，都十分老練高明，而且動作敏捷。

五天來，他的伺服器遭到一波又一波的攻擊，但他努力「應戰」，使伺服器保持在良好狀態。五月二日星期三，網站流量又開始暴增，主要來自國外訪客。瓦西起初以為這是由於國際間對銅像遷移的爭議感興趣，可是他察看流量的來源，發現訪客人數最多的國家是埃及，其次是越南和秘魯。他不明白怎麼會有這麼多愛沙尼亞人突然從東南亞與南美洲冒出來。中午，可用的頻寬降為零──網站終於掛掉了。

瓦西嘗試打開其他媒體的網站，但同樣無計可施。現在他只有一個選擇，就是切斷國際連線。他輸入幾行代碼，按下輸入鍵，然後所有其他國家瀏覽這份網路報的請求都會遭到拒絕。在世人眼中，《郵差報》網站已消失無蹤；同時，顯示網路頻寬使用率的指示燈則瞬間轉綠。這個網站在愛沙尼亞境內又可以再度被瀏覽了，不過世界其他地方則無法透過它，得知這個國家發生了什麼事情。這就像有一隻無形的手，按下一個按鈕，然後愛沙尼亞消失了。

祕密聯盟：

同一天，希拉．艾瑞雷在塔林舊城外一家昂貴的餐廳用晚餐。艾瑞雷是愛沙尼亞電腦網路安全應變小組（即該國網路防衛隊）負責人，他原為警探，後被經濟事務與通訊部網羅，專門對付網路攻擊。

坐在餐桌對面的是克提斯．林科維斯，他是瑞典斯德哥爾摩Netnod的負責人之一。Netnod是全球十三個根網域名稱伺服器（root domain name server）之一，這些伺服器管理全球網際網路的流量。林科維斯今年三十三歲，喜歡打羽球，下巴有一個酒窩，頭髮剪得非常短，是某個網際網路菁英聯盟的成員之一，這個組織有權切斷全球網際網路的流通。他們這些所謂的「網路診療師」（the Vetted)，是被全球各大網路服務供應者（ISPs）所信賴的極少數人，可以請求ISPs把圖謀不軌的電腦用戶從網路上剔除。

林科維斯與幾個網路診療師正好在塔林與歐洲網路業者開會，艾瑞雷於是趁機向他們求助。為了對殭屍網路的殭屍（即傀儡電腦）還擊，艾瑞雷必須追蹤來源，並要求ISPs把攻擊者列入黑名單，否則愛沙尼亞的頻寬會招架不住。但大部分的ISPs從未聽過希拉．艾瑞雷，難免會懷疑他本身是不是駭客。因此，艾瑞雷希望網路診療師能代自己出征。

晚餐結束時，林科維斯答應幫忙。另外兩位網路診療師，瑞典的派崔克．法斯壯與美國的比爾．伍考克其後也同意伸出援手。

多方攻擊：

接下來一星期的網路攻擊時斷時續，此起彼落。那些入侵的「步兵」稱為「腳本小子」（script kiddies），他們相對而言沒那麼老練高明，只是從駭客網站上一行一行抄襲別人寫的程式。他們主要的武器是ping（向網路伺服器要求回應的簡單指令），每秒鐘重複數百次。當大批駭客同時對一個伺服器展開ping攻擊時，就可能使這個伺服器癱瘓。

這些腳本小子在一個俄語聊天室裡熱烈討論，起初的話題是遷移戰爭紀念碑，一週後，數百封在網站上張貼的訊息呼籲在五月九日午夜十二點，也就是俄羅斯慶祝第二次世界大戰獲勝的這一天，準時發動攻擊。這些訊息列出清晰的指示，說明如何對指定的愛沙尼亞網站發動ping攻擊。

然後還有空中部隊──殭屍網路。這個龐大的中隊由世界各地數以千計受駭客控制的個人電腦組成。這些被稱為殭屍的傀儡電腦，會以垃圾郵件湧入指定的網址塞爆網路，等同數位版的地毯式轟炸，也稱為阻絕服務攻擊（DDoS）。

最後，是特種部隊，也就是可以滲透個人網站、刪除原本內容，並任意張貼訊息的駭客。他們在網上的公共論壇裡暗示攻擊的意圖：「DDoS現仍在進行，不過更強的攻勢快來了。」一個名叫S1B的駭客說：「五月九日的大規模攻擊，要令愛沙尼亞的網路……完全癱瘓。」

夢幻組合：

五月八日晚上十點，林科維斯、法斯壯和伍考克抵達愛沙尼亞電腦網路安全應變小組的總部。他們三人可說是一支電腦怪傑的夢幻組合：伍考克穿著在美國蒙大拿州訂製的牛皮馬靴；綁著馬尾的法斯壯以前是瑞典海軍的軟體工程師，現在是瑞典政府的網路安全顧問；伍考克把他的手提電腦舉到空中，然後叫艾瑞雷和林科維斯過來，用內建的相機拍了一張照片傳到網路上，向其他網路診療師證明艾瑞雷確有其人。

網路上看來一切如常，進入愛沙尼亞的流量在晚間這個時候並無異樣，每秒約兩萬個數據包（packets）。他們猜想，也許網路所說的攻擊計畫只是惡作劇。

晚間十一點整，流入愛沙尼亞的數據包突然飆增至兩百倍，每秒達四百萬以上。全球將近一百萬部電腦突然開始登入愛沙尼亞不同的網站，從外交部到大銀行都有，令整個國家的頻寬容量出現沉重負荷。

艾瑞雷和他的小組開始往上游追蹤來源，短短數分鐘內，追蹤到一個以美國一批傀儡電腦為主的殭屍網路。艾瑞雷找到網址後，伍考克和林科維斯立刻發出電郵給世界各地的網路業者，請求從源頭把這IP網址封鎖掉。他們一個又一個地攔截這些「殭屍」，到黎明時，已使攻擊者和進入愛沙尼亞的網路流量，降低到略高於正常水準。

當天早上，太陽在莫斯科升起時，紅場戒備深嚴。不久，戰機直線穿破雲天，同時有七千名士兵列隊經過總統普丁(又譯普京）面前，慶祝俄羅斯戰勝納粹德國的紀念日。普丁表示：「那些想要褻瀆戰爭英雄紀念碑的人，是在侮辱自己的同胞，並在國家與人民之間挑撥離間。」

那一天，殭屍網路又在愛沙尼亞相繼展開五十八次的攻擊。

俄羅斯當局否認與這些攻擊有關，但是有兩個發動攻擊的電腦來自俄羅斯，其中一個更位於普丁總統在克里姆林宮外的辦公室。不過，這些電腦也可能和來自美國的電腦一樣，是受到控制的傀儡。伍考克說，當使用者打開一個感染病毒的附件，或瀏覽一個會自動安裝惡意軟體（malware）的網站時，電腦就會受到操縱。

然而，俄羅斯的IP地址赫然出現，令不少愛沙尼亞人感到憤怒。愛沙尼亞外交部長烏爾馬斯．白也特就一直指控普丁政府直接參與其事。他說：「歐盟正遭受攻擊，因為俄羅斯正在攻擊愛沙尼亞。這些虛擬的心理攻擊實實在在發生了。」

之前數星期，有人對西洋棋大師蓋瑞．卡斯帕洛夫領導的俄羅斯反對黨聯盟展開類似攻擊，使這些政黨的網站癱瘓。

於此同時，俄羅斯政府宣佈更改反對派的集會地點。卡斯帕洛夫因無法利用網站通知他的支持者，於是不少群眾依舊去了原訂地點示威，卡斯帕洛夫因此為領導非法集會而被捕。

國際網路保全公司艾博網絡（Arbor Networks）的丹尼．麥克法森說，與這兩次阻絕服務攻擊有關的網路出現部分重疊。攻擊俄羅斯反對派網站的殭屍網路，有一部分被用來攻擊愛沙尼亞。

五月中旬，入侵愛沙尼亞的主要殭屍網路突然停止攻擊。

背後動機：

許多證據顯示，俄羅斯與這些攻擊有關。很多俄羅斯語的電子佈告欄敦促網友捍衛祖國，而且有駭客用「俄羅斯駭客入侵」這句話，取代了至少一個愛沙尼亞網站的原始首頁。但俄羅斯當局卻無意追蹤境內的罪魁禍首。

去年六月我到莫斯科，會晤了莫斯科大學通訊安全研究所副所長瓦勒瑞．耶先科。這個研究機構負責針對網路恐怖主義，向克里姆林宮提供建言。我問他對愛沙尼亞的網路攻擊有何看法，他說：「我對這件事毫無興趣，也不打算研究；這只是一次無足輕重的個案。」

小型俄羅斯語刊物《駭客》宣稱自己是俄羅斯駭客圈的代表。雜誌編輯派遣一名二十一歲、名叫阿敏．艾西索夫的小伙子，向我解釋愛沙尼亞網路大戰的前因後果。

我們走到附近的一座公園，在長椅子上坐了下來。艾西索夫說，他看到駭客們公開和私底下計畫攻擊，強調俄羅斯當局並未參與其中。這些駭客的父祖輩，不少在第二次世界大戰期間曾經為祖國做出重大犧牲。殭屍網路通常以謀利為目的，但是參與這次網路攻擊的殭屍網路分文未取。這件事關乎俄羅斯的尊嚴，與金錢無關。

艾西索夫說：「俄羅斯的電腦專家知識淵博，經驗豐富，足以破壞所有國家主要的伺服器；他們是世界一流的。」

那些駭客是俄羅斯當局的工具嗎？這個問題仍然懸而未決。去年十二月，俄羅斯裔愛沙尼亞人德米崔．葛陸希凱維奇因為對愛沙尼亞執政改革黨的網站發動網路攻擊，而被愛沙尼亞法院裁定罪名成立，罰款一千一百歐元。

攻擊演習：

六十三歲的恩娜．愛爾瑪是愛沙尼亞的國會議長，她懷疑這次網路攻擊是一次測試：「愛沙尼亞是北大西洋公約組織成員，攻擊我們，不失為對該組織防禦能力的一次測試。」

愛爾瑪在俄羅斯研究天體物理學多年，目睹世界隨核子技術的發展而出現轉變。她認為，網路戰爭是全球歷史上另一個重要關鍵。她說：「核爆與愛沙尼亞五月所遭受的攻擊，在我眼中分別不大。與核輻射一樣，網路戰爭不見血，但同樣可摧毀一切。」