蓝德公司报告:黑客攻击

【明慧网2002年9月15日】一些证据表明,中国(江XX)政府或它内部的机构参与了攻击海外异见人士和反对团体的计算机系统。由于大多数计算机网络入侵的源头具有不确定性,如果没有额外的证据,即使有可能,通常也很难对黑客攻击正式定罪。政府自然可以振振有词地予以否认。1999年8月对台湾及2000年2月对日本来自于中国的攻击就是这样的一例:一个政府有限的或完全的责任,难以仅仅通过侵入数据确定。

更强有力的证据表明:中国(江XX)政府或它内部的机构对由美国、澳洲、加拿大和英国的法轮功修炼者维护的计算机系统发动了一次或多次源于中国的网络攻击。在某些中国安全机构直接攻击的事实被曝光之后,据信后来更复杂的入侵由非官方机构实施,从而更难确定政府介入的程度。发生在2000年冬天、春天的攻击尤其是这样。1999年七月中旬仲夏,中国当局对法轮功展开全国性的镇压,说他是“危险的教派”。由于该团体广泛使用先进的信息技术以及遍布全球的互联网络,使得镇压的消息迅速传播。这些站点提供了在中国一些城市的镇压的即时报导,那是基于法轮功成员的电子邮件和其它通信方式获得的消息。当这些消息渐渐地被全球媒介关注,这些由团体成员零散操作的站点不可避免地在上升的点击率下超负荷运转。服务的减缓是世界性关注下的预期结果,但一些站点开始出现异常的当机。当这些服务器的系统管理员详细检查了这一状况后,他们意识到,他们的网络正遭受一系列复杂的计算机网络攻击。1999年7月对四个国家的法轮功网站的攻击(一个在英国、二个在加拿大、一个在澳洲、两个在美国)受到了更详细的调查。

中国(江XX)政府导演的对法轮功发动的信息战在美国案例中证据最为有力。1999年7月14日,马里兰州法轮功学员鲍博·迈克维建立了www.falunusa.net网站,作为加拿大(www.falundafa.ca和www.minghui.ca)和美国(www.falundada.org)法轮功网站的镜像站点。1999年7月20日,两个加拿大站点由于源于中国的攻击而造成网路堵塞。于是,他们开始把联接请求转到镜象站点FalunUSA。在7月21日至23日期间,美国站点也开始有类似的问题。具体地讲,它受到一种通常称为“拒绝服务”(DOS)的攻击,被攻击的目标机器收到连连不断的残缺不全的数据请求而无法应付,最终当机。追溯到1999年7月27日的一次类似攻击,查出这次攻击来源的IP地址是202.106.133.101,网址在中国。查询亚太网络信息中心(APNIC)的数据库揭示了此地址所有者的信息。

这个组织的名字“北京新安信息服务中心”,听起来无伤大雅,但地址就是另一回事了。这个地址,北京东长安街14号,属于中国公安部──中国的内部安全机构,它因1999年4月万名法轮功学员突然出现在中央极权所在地──中南海而深感难堪,那次事件导致公安部被批评及整肃。另外,公安部的计算机监测管理局负有和中国互联网有关的重要职责,那包括计算机网络安全和管理各家互联网服务公司(ISP)。

当然,由互联网本身的结构导致了信息战的模糊性。入侵检测日志(intrusion-detection logs)通常不足以确认真正的攻击者是被怀疑的这个机构,还是第三方侵入公安部的网络,并以它为基地发动攻击。然而,四个关键的证据明显表明,公安部是攻击法轮功站点的真正罪犯。首先,这个网络是在信息战开始前不久建立的,并和其它明确属于公安部的网络分离,譬如属于公安部网页(www.mps.gov.cn)的域名空间。其次,该组织在“信息服务中心”数据库中的名字显示它试图向外人隐瞒其真实身份。第三,至少有一家西方媒体说已给此IP地址列出的相关电话号码打电话,接电话的人告知该号码属于公安部。随后由同一家媒体打给公安部接线员的电话确认了该号码属于公安部计算机监测管理局。第四,也是最生动的证据,直接源于在西方媒体曝光了这个网络与政府的关系。大概由于媒介关注的增长,特别是迈克尔·拉里斯在华盛顿邮报上的文章,1999年7月29日,APNIC数据库的信息被改动,最重要的是,网络空间所有者的地址从东长安街14号改为正义路6号。

如果公安部的网络本身是攻击的受害者,从而被错误地指控为在美国的法轮功网站的攻击者,为什么要把数据库的信息改为非公安部总部的地址呢?而且这一信息的改变发生在一西方主要报纸断言公安部在攻击中的角色的前夕,这难道仅仅是巧合吗?更糟糕的是,新地址(正义路6号)是负责计算机安全的公安部第3研究所的地址。早先引用的证据与这最后一个伪装网络的真实所有者身份的企图,明显证明罪犯被“当场抓获”。

当然,攻击也许源于公安部网络的事实并不说明那得到部领导或他们的上司──党内领导者的同意。必须考虑的一种可能性是这次攻击由公安部内部的“流氓分子”所为,未经任何人同意。在流氓行径曝光后,自然的反应是修改APNIC数据以掩盖该部与此网址的关系。你也许会问,公安部是否能找到做恶者、调查他的举动,迅速从技术上加以补救,尽管似乎不太可能,但却不是不可能的。关于1999年7月27日对FalunUSA.net攻击还有最后一点说明:据称是公安部瘫痪该网站的方法有一个引人注目的发展。这次“拒绝服务”攻击是经典的“同步攻击(SYNFlood)”,并被设计成好象是法轮功正在对美国交通部展开信息战。在7月的攻击中,公安部网络用错误的回邮地址给FalunUSA网站发送SYN,那个回邮地址是属于交通部的。据交通部信息技术操作中心电信部代理主任艾沃特·唐说,交通部的一位网络工程师和鲍博·迈克维及维护其它法轮功站点的人联络,询问为什么www.falundafa.org,www.falunUSAnet,和www.falundafa.ca给DOT的服务器发送未经许可的数据包(package)。

为什么在成千上万的互联网地址中,公安部选择了一个属于美国交通部的地址?一个合理的假设是:案犯想“一箭双雕”,既使法轮功网站瘫痪,又使它看似法轮功对美国政府站点开展信息战。在这次攻击时,整个中国政府的宣传机器高速运转,把法轮功说成“X教”。有什么比假造法轮功在攻击美国政府站点更好地丑化法轮功的办法呢?的确,交通部的系统管理员最初以为他们遭到来自法轮功站点的“拒绝服务攻击”,因为在他们这边只能看到来自FalunUSA.net的一系列“同步请求回应”(SYN-ACK)请求毫无理由地进入他们的系统。直到后来,交通部的工作人员才意识到法轮功站点只不过是被第三方利用。

1999年仲夏对法轮功在英国和澳洲网站的攻击与对美国网站的攻击有着值得注意的相似性,尤其是作案者的源地址。英国法轮功网站(http://www.yuanming.org.uk)由在爱尔兰都伯林的法轮功学员朱先生于1999年7月20日建立。1999年7月23-24日,网站受到源于中国网址的连续攻击,在攻击开始时,入侵者使服务器瘫痪。后来,他们删除了所有的原始文件,并用新华社的一篇(攻击法轮功创始人的)文章替代,并伪造“法轮功研究会”的署名。(此处有删节)

为法轮功网站提供服务的英国厂商(NetScan,www.netscan.co.uk)证实,入侵者获得了他们的管理员口令。诺丁汉的李先生报告,在1999年7月26日的另一次攻击中,他的法轮功网站遭到了来自中国网址的黑客的攻击。法轮功的消息说英国警方证实该地址属于上面提到的北京新安信息服务中心,但没有独立的证实。

在加拿大,两个法轮功网站(www.minghui.ca和www.falundafa.ca)受到黑客攻击,并最终瘫痪。这些网站的服务供应商,安大略哈密尔顿的最佳国际网和安大略伯灵屯的星云网络服务,报告说,他们的网络于1999年7月30日受到了中国政府的服务器的攻击,因为他们为加拿大法轮功修炼者建立的网站提供服务,www.falundafa.ca的系统管理员肖先生就是他们中的一员。据最佳国际网的主管艾里克·维革说,攻击源于中国政府在北京的办公室。维革说,具体的源地址属于北京信息技术应用学院(BAIIT)和北京新安信息中心。报道没有提供任何IP地址,但BAIIT的网络地址的范围是在203.93.160.0和203.93.160.255之间。和政府可能的关联是APNIC数据库中由BAIIT提供的邮局信箱的邮寄地址,因为邮局信箱通常是由中国政府和军方用来代替街道地址。相反,北京新安信息中心和政府的关联就清楚得多,正如本章节前面详细讨论的那样。

星云网络服务报道说同样的网址用相似的办法试图攻击它的服务器。据星云的代表说,攻击持续了一个多月,和政府镇压法轮功的时间表相吻合。和拥有更先进设备、并能在几乎不损失服务的情况下承受住攻击的最佳国际网不同,星云的系统的服务受到黑客攻击影响,公司被迫关闭服务。两个加拿大法轮功网站的所有者,多伦多的叶女士说,她的网站几个月内每天都受到攻击,问题变得愈加严重,直到她最后把网站移到更安全的服务器上。

以上提到的攻击和对澳洲法轮功服务器的攻击没什么相似性,但对澳大利亚攻击的时间(1999年仲夏及2000年春)和对其它国家攻击的时间有着惊人的巧合。一名澳大利亚的法轮功修炼者于1997年3月在视窗NT服务器上建立了法轮功的镜象地点(http://falundafa.au.cd)。1999年9月6日,源于中国IP地址的计算机攻击迫使这个站点关闭。受害者向警察报告说入侵者篡改了他们的电子邮件系统。站点的系统管理员注意到,入侵者能够在屏幕上操控他们的鼠标,表明攻击者使用了一种叫“BackOrifice”的黑客工具来侵入网站。自1999年9月起,澳大利亚警方开始持续地监测该站点。

2000年春:对法轮功服务器新一轮攻击发生在2000年3月11日,和北京人代会吻合。使用称为“smurf”的拒绝服务技术的攻击,使加拿大的主服务器(www.minghui.ca)以及三个镜像站点(www.falundafa.ca,www.falundafa.org和www.minghui.org)瘫痪。由于smurf攻击能相当有效地隐藏攻击者的身份,从入侵的记录中查不到有用的攻击源的信息。

对法轮功服务器的攻击在2000年4月中旬增加了,五个站点,三个在美国(www.falunUSA.net,www.falundafa.org,www.truewisdom.net)、两个在加拿大(www.minghui.ca和www.falundafa.ca),同时受到smurf攻击。攻击的时间与二次敏感的政治事件吻合(1)联合国人权委员会对谴责中国践踏人权(包括迫害法轮功)的决议表决前夕,以及(2)1999年4.25法轮功学员在北京请愿一周年。

法轮功系统管理员接到了许多关于将要来临的攻击的警告。4月6日左右,法轮功收到一封电子邮件,警告说公安部雇用两家网络安全公司攻击该团体在海外的站点。在第一轮攻击后,法轮功的系统管理员李先生4月12日收到一个匿名消息,证实了这个情况。李先生说,“4月12日,我们收到一位中国计算机专家发来的匿名电子邮件,警告说,警方计算机安全局雇用一家计算机公司攻击我们的站点。”据在马里兰的FalunUSA的系统管理员说,攻击于4月9日、10日左右开始。入侵者攻击站点的网址,而不是域名,并可能利用ftp命令的安全漏洞侵入系统。有一次,攻击者用含有“木马”的新版文件替换了大多数原始的网络命令文件(比如ls,df和find),以便以后入侵。系统管理员报告说,在他发现并消除黑客的努力之后,入侵者试图登陆到他的服务器,使用ftp和SSH命令,但这些试探被隔阻。在澳洲,攻击于2000年3月和5月间再次开始,最严重的攻击发生在5月22日。澳大利亚的服务器在5月22日凌晨3点被黑客攻击至瘫痪,第二天早晨重新起动后,一小时后再次受到攻击。直到晚7、8点才第二次被重新起动。没有攻击的记录和地址以供分析,但澳大利亚的系统管理员说入侵者使用了IISATTACK,而且他们的IP地址来源于香港、英国和美国。系统管理指出2000年的攻击比1999年的老练得多,而且攻击者能够轻易地使用服务器的远程登陆服务。后来网站所有者关闭了远程登陆服务。



附件:蓝德公司报告原件中关于法轮功网站被中国政府黑客攻击的部分
第二章,71-81页(英文,PDF,66KB)