藍德公司報告：黑客攻擊

【明慧網2002年9月15日】一些證據表明，中國(江XX)政府或它內部的機構參與了攻擊海外異見人士和反對團體的計算機系統。由於大多數計算機網絡入侵的源頭具有不確定性，如果沒有額外的證據，即使有可能，通常也很難對黑客攻擊正式定罪。政府自然可以振振有詞地予以否認。1999年8月對台灣及2000年2月對日本來自於中國的攻擊就是這樣的一例：一個政府有限的或完全的責任，難以僅僅通過侵入數據確定。

更強有力的證據表明：中國(江XX)政府或它內部的機構對由美國、澳洲、加拿大和英國的法輪功修煉者維護的計算機系統發動了一次或多次源於中國的網絡攻擊。在某些中國安全機構直接攻擊的事實被曝光之後，據信後來更複雜的入侵由非官方機構實施，從而更難確定政府介入的程度。發生在2000年冬天、春天的攻擊尤其是這樣。1999年七月中旬仲夏，中國當局對法輪功展開全國性的鎮壓，說他是「危險的教派」。由於該團體廣泛使用先進的信息技術以及遍布全球的互聯網絡，使得鎮壓的消息迅速傳播。這些站點提供了在中國一些城市的鎮壓的即時報導，那是基於法輪功成員的電子郵件和其它通信方式獲得的消息。當這些消息漸漸地被全球媒介關注，這些由團體成員零散操作的站點不可避免地在上升的點擊率下超負荷運轉。服務的減緩是世界性關注下的預期結果，但一些站點開始出現異常的當機。當這些服務器的系統管理員詳細檢查了這一狀況後，他們意識到，他們的網絡正遭受一系列複雜的計算機網絡攻擊。1999年7月對四個國家的法輪功網站的攻擊(一個在英國、二個在加拿大、一個在澳洲、兩個在美國)受到了更詳細的調查。

中國(江XX)政府導演的對法輪功發動的信息戰在美國案例中證據最為有力。1999年7月14日，馬裏蘭州法輪功學員鮑博﹒邁克維建立了www.falunusa.net網站，作為加拿大(www.falundafa.ca和www.minghui.ca)和美國(www.falundada.org)法輪功網站的鏡像站點。1999年7月20日，兩個加拿大站點由於源於中國的攻擊而造成網路堵塞。於是，他們開始把聯接請求轉到鏡像站點FalunUSA。在7月21日至23日期間，美國站點也開始有類似的問題。具體地講，它受到一種通常稱為「拒絕服務」(DOS)的攻擊，被攻擊的目標機器收到連連不斷的殘缺不全的數據請求而無法應付，最終當機。追溯到1999年7月27日的一次類似攻擊，查出這次攻擊來源的IP地址是202.106.133.101，網址在中國。查詢亞太網絡信息中心(APNIC)的數據庫揭示了此地址所有者的信息。

這個組織的名字「北京新安信息服務中心」，聽起來無傷大雅，但地址就是另一回事了。這個地址，北京東長安街14號，屬於中國公安部──中國的內部安全機構，它因1999年4月萬名法輪功學員突然出現在中央極權所在地──中南海而深感難堪，那次事件導致公安部被批評及整肅。另外，公安部的計算機監測管理局負有和中國互聯網有關的重要職責，那包括計算機網絡安全和管理各家互聯網服務公司(ISP)。

當然，由互聯網本身的結構導致了信息戰的模糊性。入侵檢測日誌(intrusion-detection logs)通常不足以確認真正的攻擊者是被懷疑的這個機構，還是第三方侵入公安部的網絡，並以它為基地發動攻擊。然而，四個關鍵的證據明顯表明，公安部是攻擊法輪功站點的真正罪犯。首先，這個網絡是在信息戰開始前不久建立的，並和其它明確屬於公安部的網絡分離，譬如屬於公安部網頁(www.mps.gov.cn)的域名空間。其次，該組織在「信息服務中心」數據庫中的名字顯示它試圖向外人隱瞞其真實身份。第三，至少有一家西方媒體說已給此IP地址列出的相關電話號碼打電話，接電話的人告知該號碼屬於公安部。隨後由同一家媒體打給公安部接線員的電話確認了該號碼屬於公安部計算機監測管理局。第四，也是最生動的證據，直接源於在西方媒體曝光了這個網絡與政府的關係。大概由於媒介關注的增長，特別是邁克爾﹒拉里斯在華盛頓郵報上的文章，1999年7月29日，APNIC數據庫的信息被改動，最重要的是，網絡空間所有者的地址從東長安街14號改為正義路6號。

如果公安部的網絡本身是攻擊的受害者，從而被錯誤地指控為在美國的法輪功網站的攻擊者，為甚麼要把數據庫的信息改為非公安部總部的地址呢？而且這一信息的改變發生在一西方主要報紙斷言公安部在攻擊中的角色的前夕，這難道僅僅是巧合嗎？更糟糕的是，新地址(正義路6號)是負責計算機安全的公安部第3研究所的地址。早先引用的證據與這最後一個偽裝網絡的真實所有者身份的企圖，明顯證明罪犯被「當場抓獲」。

當然，攻擊也許源於公安部網絡的事實並不說明那得到部領導或他們的上司──黨內領導者的同意。必須考慮的一種可能性是這次攻擊由公安部內部的「流氓分子」所為，未經任何人同意。在流氓行徑曝光後，自然的反應是修改APNIC數據以掩蓋該部與此網址的關係。你也許會問，公安部是否能找到做惡者、調查他的舉動，迅速從技術上加以補救，儘管似乎不太可能，但卻不是不可能的。關於1999年7月27日對FalunUSA.net攻擊還有最後一點說明：據稱是公安部癱瘓該網站的方法有一個引人注目的發展。這次「拒絕服務」攻擊是經典的「同步攻擊(SYNFlood)」，並被設計成好像是法輪功正在對美國交通部展開信息戰。在7月的攻擊中，公安部網絡用錯誤的回郵地址給FalunUSA網站發送SYN，那個回郵地址是屬於交通部的。據交通部信息技術操作中心電信部代理主任艾沃特﹒唐說，交通部的一位網絡工程師和鮑博﹒邁克維及維護其它法輪功站點的人聯絡，詢問為甚麼www.falundafa.org，www.falunUSAnet，和www.falundafa.ca給DOT的服務器發送未經許可的數據包(package)。

為甚麼在成千上萬的互聯網地址中，公安部選擇了一個屬於美國交通部的地址？一個合理的假設是：案犯想「一箭雙雕」，既使法輪功網站癱瘓，又使它看似法輪功對美國政府站點開展信息戰。在這次攻擊時，整個中國政府的宣傳機器高速運轉，把法輪功說成「X教」。有甚麼比假造法輪功在攻擊美國政府站點更好地醜化法輪功的辦法呢？的確，交通部的系統管理員最初以為他們遭到來自法輪功站點的「拒絕服務攻擊」，因為在他們這邊只能看到來自FalunUSA.net的一系列「同步請求回應」(SYN-ACK)請求毫無理由地進入他們的系統。直到後來，交通部的工作人員才意識到法輪功站點只不過是被第三方利用。

1999年仲夏對法輪功在英國和澳洲網站的攻擊與對美國網站的攻擊有著值得注意的相似性，尤其是作案者的源地址。英國法輪功網站(https://www.yuanming.org.uk)由在愛爾蘭都伯林的法輪功學員朱先生於1999年7月20日建立。1999年7月23-24日，網站受到源於中國網址的連續攻擊，在攻擊開始時，入侵者使服務器癱瘓。後來，他們刪除了所有的原始文件，並用新華社的一篇(攻擊法輪功創始人的)文章替代，並偽造「法輪功研究會」的署名。(此處有刪節)

為法輪功網站提供服務的英國廠商(NetScan,www.netscan.co.uk)證實，入侵者獲得了他們的管理員口令。諾丁漢的李先生報告，在1999年7月26日的另一次攻擊中，他的法輪功網站遭到了來自中國網址的黑客的攻擊。法輪功的消息說英國警方證實該地址屬於上面提到的北京新安信息服務中心，但沒有獨立的證實。

在加拿大，兩個法輪功網站(www.minghui.ca和www.falundafa.ca)受到黑客攻擊，並最終癱瘓。這些網站的服務供應商，安大略哈密爾頓的最佳國際網和安大略伯靈屯的星雲網絡服務，報告說，他們的網絡於1999年7月30日受到了中國政府的服務器的攻擊，因為他們為加拿大法輪功修煉者建立的網站提供服務，www.falundafa.ca的系統管理員肖先生就是他們中的一員。據最佳國際網的主管艾裏克﹒維革說，攻擊源於中國政府在北京的辦公室。維革說，具體的源地址屬於北京信息技術應用學院(BAIIT)和北京新安信息中心。報導沒有提供任何IP地址，但BAIIT的網絡地址的範圍是在203.93.160.0和203.93.160.255之間。和政府可能的關聯是APNIC數據庫中由BAIIT提供的郵局信箱的郵寄地址，因為郵局信箱通常是由中國政府和軍方用來代替街道地址。相反，北京新安信息中心和政府的關聯就清楚得多，正如本章節前面詳細討論的那樣。

星雲網絡服務報導說同樣的網址用相似的辦法試圖攻擊它的服務器。據星雲的代表說，攻擊持續了一個多月，和政府鎮壓法輪功的時間表相吻合。和擁有更先進設備、並能在幾乎不損失服務的情況下承受住攻擊的最佳國際網不同，星雲的系統的服務受到黑客攻擊影響，公司被迫關閉服務。兩個加拿大法輪功網站的所有者，多倫多的葉女士說，她的網站幾個月內每天都受到攻擊，問題變得愈加嚴重，直到她最後把網站移到更安全的服務器上。

以上提到的攻擊和對澳洲法輪功服務器的攻擊沒甚麼相似性，但對澳大利亞攻擊的時間(1999年仲夏及2000年春)和對其它國家攻擊的時間有著驚人的巧合。一名澳大利亞的法輪功修煉者於1997年3月在視窗NT服務器上建立了法輪功的鏡像地點(https://falundafa.au.cd)。1999年9月6日，源於中國IP地址的計算機攻擊迫使這個站點關閉。受害者向警察報告說入侵者篡改了他們的電子郵件系統。站點的系統管理員注意到，入侵者能夠在屏幕上操控他們的鼠標，表明攻擊者使用了一種叫「BackOrifice」的黑客工具來侵入網站。自1999年9月起，澳大利亞警方開始持續地監測該站點。

2000年春：對法輪功服務器新一輪攻擊發生在2000年3月11日，和北京人代會吻合。使用稱為「smurf」的拒絕服務技術的攻擊，使加拿大的主服務器(www.minghui.ca)以及三個鏡像站點(www.falundafa.ca，www.falundafa.org和www.minghui.org)癱瘓。由於smurf攻擊能相當有效地隱藏攻擊者的身份，從入侵的記錄中查不到有用的攻擊源的信息。

對法輪功服務器的攻擊在2000年4月中旬增加了，五個站點，三個在美國(www.falunUSA.net,www.falundafa.org,www.truewisdom.net)、兩個在加拿大(www.minghui.ca和www.falundafa.ca)，同時受到smurf攻擊。攻擊的時間與二次敏感的政治事件吻合(1)聯合國人權委員會對譴責中國踐踏人權(包括迫害法輪功)的決議表決前夕，以及(2)1999年4．25法輪功學員在北京請願一週年。

法輪功系統管理員接到了許多關於將要來臨的攻擊的警告。4月6日左右，法輪功收到一封電子郵件，警告說公安部僱用兩家網絡安全公司攻擊該團體在海外的站點。在第一輪攻擊後，法輪功的系統管理員李先生4月12日收到一個匿名消息，證實了這個情況。李先生說，「4月12日，我們收到一位中國計算機專家發來的匿名電子郵件，警告說，警方計算機安全局僱用一家計算機公司攻擊我們的站點。」據在馬裏蘭的FalunUSA的系統管理員說，攻擊於4月9日、10日左右開始。入侵者攻擊站點的網址，而不是域名，並可能利用ftp命令的安全漏洞侵入系統。有一次，攻擊者用含有「木馬」的新版文件替換了大多數原始的網絡命令文件(比如ls，df和find)，以便以後入侵。系統管理員報告說，在他發現並消除黑客的努力之後，入侵者試圖登陸到他的服務器，使用ftp和SSH命令，但這些試探被隔阻。在澳洲，攻擊於2000年3月和5月間再次開始，最嚴重的攻擊發生在5月22日。澳大利亞的服務器在5月22日凌晨3點被黑客攻擊至癱瘓，第二天早晨重新起動後，一小時後再次受到攻擊。直到晚7、8點才第二次被重新起動。沒有攻擊的記錄和地址以供分析，但澳大利亞的系統管理員說入侵者使用了IISATTACK，而且他們的IP地址來源於香港、英國和美國。系統管理指出2000年的攻擊比1999年的老練得多，而且攻擊者能夠輕易地使用服務器的遠程登陸服務。後來網站所有者關閉了遠程登陸服務。

---

附件：藍德公司報告原件中關於法輪功網站被中國政府黑客攻擊的部份
第二章，71-81頁(英文，PDF，66KB)