奶粉網店欺客 靠「數冚數」營運
太陽報
7/09/2014
涉違商品條例的寶庫購物網 http://q.gs/7Qvl5 主要售賣奶粉等嬰幼兒食品。
太陽報 - 涉違商品條例的寶庫購物網主要售賣奶粉等嬰幼兒食品。
網店登記地址的大門外貼有熱線電話,記者致電後對方否認是負責人。
內有男子表示自己不認識店舖負責人。
網店登記地址為虛擬辦公室。
【太陽報專訊】家長們要小心網購奶粉陷阱!主力銷售美素佳兒、明治等受歡迎奶粉的嬰幼兒用品購物網站「寶庫購物網」,涉違反《商品說明條例》遭消費者委員會點名譴責,消委會指近一年接到九十一宗於該網站買奶粉而無貨收的投訴,涉款逾二十八萬元。當中有苦主擲近萬元購買三十多罐奶粉,苦等一年卻只收到兩罐奶粉,且不獲退款。消委會曾促有關網站停售奶粉,對方竟指因欠款甚多,惟有用「數冚數」方式營運,不肯停售奶粉。海關接獲消委會轉介二十四宗相關個案及十二宗消費者舉報後,已展開調查,並已拘捕一名公司負責人,該人士獲准保釋候查。
http://digcan.com/baby/milk
消委會點名批評的寶庫購物網(birth.hk)領有香港商業登記證,主要售賣奶粉、嬰幼兒營養食物及日常用品。去年五月至今年六月間,消委會共接獲九十一宗投訴該店的個案,全部與買奶粉有關,現時只有十三宗個案獲解決。大部分投訴人指,該店送貨延誤、未能提供訂購的嬰兒配方奶粉、更未能履行承諾退款或退貨,並會游說顧客轉購不暢銷的品牌。
消委會指,今年三月有關該店的投訴急增,故發信要求與店舖負責人會面,但對方不肯合作,不僅三個月內多次拒絕面談,網站更逐步刪除電話熱線及商業登記地址等重要資訊,僅提供手機號碼供查詢。鑑於投訴個案陸續增加,消委會上月中向該網店發出最後通牒,促該店停止網上訂購嬰兒配方奶粉服務,並在十天內解決所有投訴個案。
被指有倒閉危機
消委會其後與該店負責人會面,對方辯稱供應商「唔畀貨」,又以欠款甚多為由拒絕停賣奶粉,聲言「唔係點賺錢賠畀其他消費者?」該網店的訂購奶粉服務昨仍然運作。
消費者委員會商營手法研究及消費者投訴審查小組主席吳麗萍稱,該網店涉違反條例中「不當地接受付款」及「先誘後轉售」行為,店舖明顯經營不善,不認為對方有能力處理眾多投訴個案,更預期網店有倒閉危機,「投訴人有可能追唔番啲錢」。吳提醒網上購物時應確保商店有良好商譽,並小心不公平交易條款。
熱線長期無人聽
本報記者昨到該網店位於葵涌一幢工業大廈的登記地址查詢,發現大廈「水牌」未有該公司名稱,而辦公處亦是「虛擬辦公室」,只有一張辦公桌。記者再佯裝顧客,致電門外熱線查詢,對方否認是網店負責人,更指「你同我都畀寶庫呃咗,快啲報警。」而寶庫網站的熱線電話則長期無人接聽。本報記者之後到元朗一間獨立屋嘗試接觸該網店一名董事,應門者指不認識該董事,亦指自己與網店完全無關。
網店不良行銷伎倆
1. 未能提供網上訂購的嬰兒配方奶粉。
2. 送貨延誤,或只能送遞部分訂購的配方奶粉。
3. 未能履行承諾退回奶粉款項、或延遲退款。
4. 涉「先誘後轉售」,收到訂購費用後,游說顧客轉購不暢銷的品牌。
資料來源:消費者委員會
Wednesday, July 9, 2014
Tuesday, July 8, 2014
激光去紋身
激光去紋身
王夢貞醫生
洗紋身有辦法
夏天來臨了,相信很多人都覺得去沙灘和游泳池游泳是一大享受。可是,有一些人並不是因為自己身形肥胖而不敢穿着泳衣,而是身上有一些以往的紋身,很怕露出來。所以,今天我想講一下關於怎樣用有效的醫學方法去除紋身。
紋身一天後便後悔,怎麼辦?
現今在醫學美容方面,我們會利用不同波段的激光去除身上不同顏色的紋身。當然,我們用激光去除紋身之前,一定要診症了解以下問題;第一:這個紋身在你身上有多久. . .;第二,本身這個紋身的人仕有沒有其他疾病、皮膚有沒有曾經對光過敏;第三,是否已懷孕…以上種種因素都會影響到我們去判斷此人仕是否適合接受此激光治療。
有一些人如果身上有皮膚的發炎感染,或曾經患過單純性疱疹的話,我們需要特別小心處理。如果病人身上有「肉牙」或「瘢痕疙瘩」(Keloid) 的話,風險便相對較高,因為萬一激光引起了一些水泡、發炎等後遺症,便有機會於傷口形成一些新的疤痕。
http://easss.com/arts/tattoo
我試過有一個病人紋身一天後便後悔了,想馬上進行激光去紋身治療。其實紋身以後,皮膚需要6個月至一年時間才有巨噬細胞在紋身附近產生,而激光治療最理想是巨噬細胞能帶走激光打碎的紋身色素,所以這個病人要多等半年至一年了。
混合色紋身,最難除
當我們要判斷這一位紋身的病人是否適合做激光之後,我們亦要用肉眼判斷這個紋身的顏色。一般而言,我們會問此病人會否知道該紋身採用了哪些顏色,或者有否用了一些混合色紋身。因為有些顏色只靠肉眼觀察是未能確認有否混合了「粉色」。因為「粉色」的紋身是非常難以激光脫除,甚至有些「粉色」的紋身接受了激光治療後會有加深或變色之副作用。
紋身會採用到的顏色主要分幾類。時下的紋身大致上會採用藍色或黑色為主,少數會用紅色或綠色的紋身。我們會針對不同顏色,需要用到不同的激光儀器,有時候未必一部激光儀器可以治療所有顏色的紋身。
我們現在主要會用到兩個波段來治療黑色及藍色的紋身,分別是納米755nm及1064nm的波段。至於紅色的紋身我們會用稱納米532nm的波段,而針對綠色的紋身最好是用到納米694nm,或稱為「紅寶石激光」的波段。當然每人對激光的反應不同,即使是同一種顏色,用同一個儀器,每個人對這種激光儀器的反應亦不一。
鮮艷的顏色如紅色、綠色或黃色是比較難處理的,病人接受的治療次數便可能要比較多。一般我們會預計脫紋身需要五次至六次的激光治療,而每次相距大概四至六個星期。有一些顏色如果是我們懷疑有含粉色的話,便會做一些試驗性質的激光點。如果隔了四至八個星期此治療能成功將試驗部份紋身減退的話,我們便可以用同一個波段治療整個範圍。
洗紋身過程話你知
在治療紋身的過程當中,我們需要先塗外用麻醉藥膏約一小時,令皮膚有一個麻痹的感覺。然後我們會清潔皮膚,之後就用激光治療,過程中應該會有一點點輕微刺痛的感覺。完成以後,我們預計皮膚會有點紅腫,或者出現皮膚出血的現象。一般而言,這些現象在幾天到一個星期內便會消失,而紋身顏色應該在一至兩個月之間減淡,相隔一至兩個月之後可以再做另一次激光治療。
風險方面,因為激光在皮膚裏面會產生熱能,所以我們要小心控制這個能量,不容許導致皮膚有一個過熱而引起出水泡的現象。當然,做完激光以後要記緊防曬,因為曬太陽本身會令皮膚容易產生黑色素沉澱的現象。此外,做完激光之後,我們都會用到冰敷來防止表層皮膚過熱而產生水泡。病人要注意在返家之後不要用太熱的熱水去洗患處或洗澡,我們也會開一些消炎藥膏給病人繼續使用。因為一般接受激光治療後皮膚會比較乾燥,所以治療後也建議要塗潤膚膏。
王夢貞醫生
洗紋身有辦法
夏天來臨了,相信很多人都覺得去沙灘和游泳池游泳是一大享受。可是,有一些人並不是因為自己身形肥胖而不敢穿着泳衣,而是身上有一些以往的紋身,很怕露出來。所以,今天我想講一下關於怎樣用有效的醫學方法去除紋身。
紋身一天後便後悔,怎麼辦?
現今在醫學美容方面,我們會利用不同波段的激光去除身上不同顏色的紋身。當然,我們用激光去除紋身之前,一定要診症了解以下問題;第一:這個紋身在你身上有多久. . .;第二,本身這個紋身的人仕有沒有其他疾病、皮膚有沒有曾經對光過敏;第三,是否已懷孕…以上種種因素都會影響到我們去判斷此人仕是否適合接受此激光治療。
有一些人如果身上有皮膚的發炎感染,或曾經患過單純性疱疹的話,我們需要特別小心處理。如果病人身上有「肉牙」或「瘢痕疙瘩」(Keloid) 的話,風險便相對較高,因為萬一激光引起了一些水泡、發炎等後遺症,便有機會於傷口形成一些新的疤痕。
http://easss.com/arts/tattoo
我試過有一個病人紋身一天後便後悔了,想馬上進行激光去紋身治療。其實紋身以後,皮膚需要6個月至一年時間才有巨噬細胞在紋身附近產生,而激光治療最理想是巨噬細胞能帶走激光打碎的紋身色素,所以這個病人要多等半年至一年了。
混合色紋身,最難除
當我們要判斷這一位紋身的病人是否適合做激光之後,我們亦要用肉眼判斷這個紋身的顏色。一般而言,我們會問此病人會否知道該紋身採用了哪些顏色,或者有否用了一些混合色紋身。因為有些顏色只靠肉眼觀察是未能確認有否混合了「粉色」。因為「粉色」的紋身是非常難以激光脫除,甚至有些「粉色」的紋身接受了激光治療後會有加深或變色之副作用。
紋身會採用到的顏色主要分幾類。時下的紋身大致上會採用藍色或黑色為主,少數會用紅色或綠色的紋身。我們會針對不同顏色,需要用到不同的激光儀器,有時候未必一部激光儀器可以治療所有顏色的紋身。
我們現在主要會用到兩個波段來治療黑色及藍色的紋身,分別是納米755nm及1064nm的波段。至於紅色的紋身我們會用稱納米532nm的波段,而針對綠色的紋身最好是用到納米694nm,或稱為「紅寶石激光」的波段。當然每人對激光的反應不同,即使是同一種顏色,用同一個儀器,每個人對這種激光儀器的反應亦不一。
鮮艷的顏色如紅色、綠色或黃色是比較難處理的,病人接受的治療次數便可能要比較多。一般我們會預計脫紋身需要五次至六次的激光治療,而每次相距大概四至六個星期。有一些顏色如果是我們懷疑有含粉色的話,便會做一些試驗性質的激光點。如果隔了四至八個星期此治療能成功將試驗部份紋身減退的話,我們便可以用同一個波段治療整個範圍。
洗紋身過程話你知
在治療紋身的過程當中,我們需要先塗外用麻醉藥膏約一小時,令皮膚有一個麻痹的感覺。然後我們會清潔皮膚,之後就用激光治療,過程中應該會有一點點輕微刺痛的感覺。完成以後,我們預計皮膚會有點紅腫,或者出現皮膚出血的現象。一般而言,這些現象在幾天到一個星期內便會消失,而紋身顏色應該在一至兩個月之間減淡,相隔一至兩個月之後可以再做另一次激光治療。
風險方面,因為激光在皮膚裏面會產生熱能,所以我們要小心控制這個能量,不容許導致皮膚有一個過熱而引起出水泡的現象。當然,做完激光以後要記緊防曬,因為曬太陽本身會令皮膚容易產生黑色素沉澱的現象。此外,做完激光之後,我們都會用到冰敷來防止表層皮膚過熱而產生水泡。病人要注意在返家之後不要用太熱的熱水去洗患處或洗澡,我們也會開一些消炎藥膏給病人繼續使用。因為一般接受激光治療後皮膚會比較乾燥,所以治療後也建議要塗潤膚膏。
Monday, June 23, 2014
﹕內地黑客 用錢癱瘓你 網絡保安
生活達人﹕內地黑客 用錢癱瘓你
明報
2014年6月22日
【明報專訊】這兩天,很多人說,第三次世界大戰展開了。
「戰事」是這樣接二連三發生的——上星期初,先是佔中公投系統遭國家級連續攻擊七小時;兩天後,壹傳媒亦受到差不多程度的襲擊,網站癱瘓十小時;再隔一天,牽動神經的是臉書也當機了,30分鐘足讓謠言滿天飛。
說是恐慌或許太誇張,可是,一時間人人都對黑客停不了揣測與想像。「一個個網站骨牌般跌下去,不要少看這當中引起的情緒。對於黑客來說,這心理很重要,製造恐慌是最高享受。」
賴灼東,公認的網絡高手,常常在銀行系統、大小機構網頁鑽空子找漏洞,不過他是拿正牌做「攻擊」,天天與惡意黑客鬥快,「以黑客技術偵測問題,及早通知用戶,拯救私隱」。像蝙蝠俠在黑暗中為正義而戰的黑客,又叫白帽。
有史以來最強入侵
受襲後第五日,佔中公投系統重新運作,一日就有逾40萬人登入投票。運作未見大問題,的確可喜,但背後的供應商、總部遠在美國的 CloudFlare http://q.gs/7Nj0n 說,在香港人投票的同時,他們其實在奮力抵禦極為兇猛的網絡攻擊,攻擊由第一天的每秒75Gb,增強至星期五的每秒300Gb。CloudFlare,是專門提供網絡安全服務的供應商,「不是地上最強的話,也是第二強」,負責過濾DDoS(分散式阻斷服務)的入侵,賴灼東說,它的最大處理量是約每秒500Gb。
DDoS,是黑客務求令網站或系統癱瘓的一種常用攻擊方法,主使者一旦發號司令,成千上萬部電腦同時進入查詢同一個網站,就像通往詢問處的通道同一時間塞滿了成千上萬的人,造成癱瘓。很多時,系統其實事前已設置查詢上限防止當機,「好像有人要用硬幣掟死你,保護你的人於是設了上限,五蚊硬幣以上就會自動截住。
現在的情况是,惡意要攻擊你的人不用五蚊銀,但發動十萬人用一毫子一齊掟,都掟得死你」。他不敢斷言這是由什麼地方的人策動,只知道近五年源自內地的攻擊確是多了,他替很多企業做網絡保安,「不要只說DDoS入侵,黑客也可能會掃描你個系統,監察你做什麼,或者撞下你的密碼。我們會用程式分析入侵者的動向,通常發現攻擊的來源地都是美國、東歐、中國,這三大地方走唔甩」。
低技術攻擊 愈有錢愈穩定
賴灼東在二○○四年投身網絡保安工作,見過很多種類的攻擊,傷害力較小的,如黑客入侵網站後把頁面換成全黑,再加個簽署那種惡作劇,中小企、學校其實是重災區。這次公投系統的攻擊,被形容是香港有史以來最嚴重的一次,「連商業供應商也頂唔順的攻擊,我第一次聽聞」。
稱得上國家級,賴灼東說這不是因為技術高超,「這種入侵屬於很初階的程度,不需要很高技術,而是要錢」,即是愈多錢,攻擊流量愈穩定,「不止於此,它還把這超高流量維持很多個小時,好犀利」。
雖然背後的主使者,往往利用被植入木馬程式、隨時候命的電腦,或稱喪屍電腦,而不需要真的擁有大量電腦,但還是要動用到大量資源,「有同行曾經估計,背後至少有二十人。我認為這個團體,其實不止二三十人。一個組織,不會只為發動一次攻擊而組成,逢是這種cyber war,事前要有建設很多網絡基建、租用機器,千千萬萬部喪屍電腦早就準備就緒,準備時間以年計,不是等到發動攻擊前一天才部署」。Cyber war?這次算是一個戰爭?「背後的團隊,說是軍隊也可以,他們攻擊前,會做大量的情報蒐集,掌握目標網站的網絡設施,例如供應商是誰,盡可能把所有頻寬堵塞,不能讓你有機會從空隙中走位。」賴灼東說,美國國家安全局NSA專責做網絡防禦的隊伍,有差不多二百人,在國際上已算是很有規模。
「他們收集情報,也會發動攻勢。」大約兩年前,伊朗的核電廠受到襲擊,當時的分析結果是攻擊來自美國,「通過一隻USB手指,把病毒傳入核電廠系統,這很危險,可以令反應堆的分裂速度減慢,會過熱,會爆炸」。相對於公投系統所受的攻擊,他形容美國這種是很極端、技術水平很高級的手段。
攻擊7小時 修復7日夜
不過,即使是低技術的攻擊方法,也夠造成混亂。隔天就有網站受襲停止服務,要癱瘓香港,真如想像中難嗎?如果推倒一個公投網站要一百億次查詢,主使的組織,資源再多也未至於足夠推倒全港網站吧?賴灼東憂慮的,並非網站全都被癱瘓。
癱瘓的方法有很多,它可以這個鐘頭堵塞這個,下一個鐘頭堵塞另一個,「去政府網站去唔到、上不到銀行網頁,連tvb.com睇電視都睇唔到,把日常生活打亂干擾,突然發生,人們會驚恐」。而且,所謂癱瘓,造成的影響不止黑客攻擊的那段時間,他攻擊七小時,及後的修復系統工程可以花足七日七夜,「device不會壞,但要做很多重新設定的工夫,還有其他設施,例如是否要設置防火牆,怎樣把出問題的部分的資料包drop下,還要做檢討,看看整個系統怎防守」。
防禦重要系統 靠各方團結
聽上去,好像打仗,襲擊過後的善後重建工作,排山倒海。最可怖的,還可以攻擊一個地方的重要基建,例如電力系統、水系統、運輸系統。「政府和銀行,是否可以做到日日被DDoS攻擊的防禦?」他曾聽說港交所和馬會做過類似的壓力測試,其他大型機構,即使是銀行,也不是每間都做過,而做過的,也未必能夠有像今次這種規模的程度。
「香港電腦保安事務協調中心和警察有舉辦過大型演習,不過參與的機構其實不多。」賴灼東說,香港近年對於網絡保安的意識,其實已提高了,「至少機構裏的管理層,多了與資訊科技部經理討論保安的事」。只是,這還未足夠,政府、網絡保安業界和系統擁有人,要三方團結才行。「香港應該要有自己的cyber defense team,專責做研究、偵測、蒐集情報」,而不是現在警察裏的部門,只在攻擊後才展開調查。至於業界,「現在大多各自為政,很少交流,這我明白的,很多技術其實是商業秘密,但當面對的攻擊可以這樣龐大,只有團結才能抵抗」。賴灼東覺得,香港人不能把這些大型攻擊看成事不關己、當成新聞看過就算,「我們不是要悲觀,但要作最壞打算,然後做最好的防禦。用入侵者的心態『攻擊』測試自己的系統,全香港是否ready?」
轉捩點:發現黑客上司監察下屬
代入黑客的心理思維想像攻擊方法,是他十年來練就的技藝。在他入行的年頭,網絡保安這行業尚未普及,「那時看很多關於黑客的書、雜誌、網頁,想知道黑客其實做什麼,理念是什麼」。他本來是個電腦程式編寫員,寫了五年,因為發現上司入侵了同事的電腦而遇上轉捩點。一般電腦,熒幕右下角會有個小電腦不時閃藍燈,顯示上網狀態,「有一天,同事發現那個電腦仔不同了,閃的燈,紅色又綠色,熒幕也大了。我還取笑他這個電腦仔好勁,upgrade了,哈哈」。一向有研究黑客行為的賴灼東,一看就覺得有問題,查閱一下同事電腦的日誌(log),發現原來被入侵了,入侵的人,是他們上司。「他是碩士,又是管理層,受咁多教育,居然會入侵近在咫尺的同事電腦,目的是監察他的一舉一動。」當時,賴灼東與同事去過灣仔警署報案,後來公司收到警示。「從那刻開始,想透過自己的『攻擊』知識幫助人。」
離開本行,他轉投其他公司的網絡保安部門,沒多久後,自立門戶。多年以來,就是運用黑客思維替客戶捉漏洞。「你用這道門出入,他會想,他是否也可用同一道門入去?」他說,黑客入侵電腦,通常會見到一堆防守,用工具也好,人手也好,黑客會逐個部分看、逐個試,「觀察你個network怎樣駁、用什麼軟件、什麼version,入侵後備server,通常backup無乜防守。見到私人資料、公司密碼,又或者成個資料庫泄漏給我們看到 ,我哋就最開心。」然而,損失金錢算是小事,他說,就像《黑夜之神》裏蝙蝠俠提到的罪犯層次,最低級的,是為了錢而犯罪,高階的,是要製造恐怖。
做正牌「黑客」 堵網絡漏洞
一般人的眼中,黑客不露面,標誌都沒有臉孔,只有一個黑影埋首在一堆高端電腦背後。賴灼東這半個黑客,卻並不神秘,拋頭露面做訪問已不是第一次,「我想做的是教育,我們有這方面的知識,不止是自己用,要讓更多人知道」。於是,在承接保安工程外,他成立了一個非政府組織,主動為香港的網絡系統做調查,「例如我們之前做了個拯救私隱行動,在網上找到被泄漏的私隱資料,就通知相關機構盡快修補。有些機構不回應,我們就找報館幫忙」。
他甚至會到外國參與國際黑客會議,談新技術,為未來可能出現的攻擊做好防禦。「只掌握香港情况是不夠的,要與其他國家交流,去韓國、台灣、美國、日本,情報上的、技術上的,都要交流。」他們做的,大概就是一個國家官方網絡防禦做的事,只是他們不是全職受薪去做,而是純粹為了興趣,純義務地幫忙。「外國備受推崇的黑客,他們的理念其實就是這樣。他們當黑客,不是為了賺大錢,而是為了幫人。」美國有個黑客,在烏干達建了個lab,邀請其他黑客來幫忙教小朋友電腦知識,「他一來幫助小朋友,二來幫了一些無業黑客,讓他們做義工後有工作證明,幫助他們日後找工作」。真正的黑客精神,是自由、創意,最重要是分享,「你或可以稱我們為白帽(whitehat)」。
蒐集黑客情報 用手機便可
訪問接近兩小時,這一次,賴灼東狠狠地打破了我對黑客的想像。他說,他經常做蒐集情報的工作,目的是要知道黑客的新攻擊方法,也要知道他們下一步行動。我問他,家裏是否有很多部電腦?「多電腦是無用的。」他拿着手機說,「這個也做到」,在網上尋常不過的討論區、網頁,甚至facebook群組,都可以看到疑似的黑客討論,「我不會報警,但看到可信的情報,會通知襲擊目標提防」。情報工作,原來不一定像竊聽風雲裏看到的。對虛擬世界瞭如指掌,但他沒有宅男的結結巴巴,還會深入淺出解釋互聯網操作原理,賴灼東說因為他平日還會去做講座。他的太太眼見他所做的,問他是否想幫很多人?用自己知識,幫到人又搵到食,做得開心,才重要。「做不到蝙蝠俠,唯有用這種方式,哈哈。」
明報
2014年6月22日
【明報專訊】這兩天,很多人說,第三次世界大戰展開了。
「戰事」是這樣接二連三發生的——上星期初,先是佔中公投系統遭國家級連續攻擊七小時;兩天後,壹傳媒亦受到差不多程度的襲擊,網站癱瘓十小時;再隔一天,牽動神經的是臉書也當機了,30分鐘足讓謠言滿天飛。
說是恐慌或許太誇張,可是,一時間人人都對黑客停不了揣測與想像。「一個個網站骨牌般跌下去,不要少看這當中引起的情緒。對於黑客來說,這心理很重要,製造恐慌是最高享受。」
賴灼東,公認的網絡高手,常常在銀行系統、大小機構網頁鑽空子找漏洞,不過他是拿正牌做「攻擊」,天天與惡意黑客鬥快,「以黑客技術偵測問題,及早通知用戶,拯救私隱」。像蝙蝠俠在黑暗中為正義而戰的黑客,又叫白帽。
有史以來最強入侵
受襲後第五日,佔中公投系統重新運作,一日就有逾40萬人登入投票。運作未見大問題,的確可喜,但背後的供應商、總部遠在美國的 CloudFlare http://q.gs/7Nj0n 說,在香港人投票的同時,他們其實在奮力抵禦極為兇猛的網絡攻擊,攻擊由第一天的每秒75Gb,增強至星期五的每秒300Gb。CloudFlare,是專門提供網絡安全服務的供應商,「不是地上最強的話,也是第二強」,負責過濾DDoS(分散式阻斷服務)的入侵,賴灼東說,它的最大處理量是約每秒500Gb。
DDoS,是黑客務求令網站或系統癱瘓的一種常用攻擊方法,主使者一旦發號司令,成千上萬部電腦同時進入查詢同一個網站,就像通往詢問處的通道同一時間塞滿了成千上萬的人,造成癱瘓。很多時,系統其實事前已設置查詢上限防止當機,「好像有人要用硬幣掟死你,保護你的人於是設了上限,五蚊硬幣以上就會自動截住。
現在的情况是,惡意要攻擊你的人不用五蚊銀,但發動十萬人用一毫子一齊掟,都掟得死你」。他不敢斷言這是由什麼地方的人策動,只知道近五年源自內地的攻擊確是多了,他替很多企業做網絡保安,「不要只說DDoS入侵,黑客也可能會掃描你個系統,監察你做什麼,或者撞下你的密碼。我們會用程式分析入侵者的動向,通常發現攻擊的來源地都是美國、東歐、中國,這三大地方走唔甩」。
低技術攻擊 愈有錢愈穩定
賴灼東在二○○四年投身網絡保安工作,見過很多種類的攻擊,傷害力較小的,如黑客入侵網站後把頁面換成全黑,再加個簽署那種惡作劇,中小企、學校其實是重災區。這次公投系統的攻擊,被形容是香港有史以來最嚴重的一次,「連商業供應商也頂唔順的攻擊,我第一次聽聞」。
稱得上國家級,賴灼東說這不是因為技術高超,「這種入侵屬於很初階的程度,不需要很高技術,而是要錢」,即是愈多錢,攻擊流量愈穩定,「不止於此,它還把這超高流量維持很多個小時,好犀利」。
雖然背後的主使者,往往利用被植入木馬程式、隨時候命的電腦,或稱喪屍電腦,而不需要真的擁有大量電腦,但還是要動用到大量資源,「有同行曾經估計,背後至少有二十人。我認為這個團體,其實不止二三十人。一個組織,不會只為發動一次攻擊而組成,逢是這種cyber war,事前要有建設很多網絡基建、租用機器,千千萬萬部喪屍電腦早就準備就緒,準備時間以年計,不是等到發動攻擊前一天才部署」。Cyber war?這次算是一個戰爭?「背後的團隊,說是軍隊也可以,他們攻擊前,會做大量的情報蒐集,掌握目標網站的網絡設施,例如供應商是誰,盡可能把所有頻寬堵塞,不能讓你有機會從空隙中走位。」賴灼東說,美國國家安全局NSA專責做網絡防禦的隊伍,有差不多二百人,在國際上已算是很有規模。
「他們收集情報,也會發動攻勢。」大約兩年前,伊朗的核電廠受到襲擊,當時的分析結果是攻擊來自美國,「通過一隻USB手指,把病毒傳入核電廠系統,這很危險,可以令反應堆的分裂速度減慢,會過熱,會爆炸」。相對於公投系統所受的攻擊,他形容美國這種是很極端、技術水平很高級的手段。
攻擊7小時 修復7日夜
不過,即使是低技術的攻擊方法,也夠造成混亂。隔天就有網站受襲停止服務,要癱瘓香港,真如想像中難嗎?如果推倒一個公投網站要一百億次查詢,主使的組織,資源再多也未至於足夠推倒全港網站吧?賴灼東憂慮的,並非網站全都被癱瘓。
癱瘓的方法有很多,它可以這個鐘頭堵塞這個,下一個鐘頭堵塞另一個,「去政府網站去唔到、上不到銀行網頁,連tvb.com睇電視都睇唔到,把日常生活打亂干擾,突然發生,人們會驚恐」。而且,所謂癱瘓,造成的影響不止黑客攻擊的那段時間,他攻擊七小時,及後的修復系統工程可以花足七日七夜,「device不會壞,但要做很多重新設定的工夫,還有其他設施,例如是否要設置防火牆,怎樣把出問題的部分的資料包drop下,還要做檢討,看看整個系統怎防守」。
防禦重要系統 靠各方團結
聽上去,好像打仗,襲擊過後的善後重建工作,排山倒海。最可怖的,還可以攻擊一個地方的重要基建,例如電力系統、水系統、運輸系統。「政府和銀行,是否可以做到日日被DDoS攻擊的防禦?」他曾聽說港交所和馬會做過類似的壓力測試,其他大型機構,即使是銀行,也不是每間都做過,而做過的,也未必能夠有像今次這種規模的程度。
「香港電腦保安事務協調中心和警察有舉辦過大型演習,不過參與的機構其實不多。」賴灼東說,香港近年對於網絡保安的意識,其實已提高了,「至少機構裏的管理層,多了與資訊科技部經理討論保安的事」。只是,這還未足夠,政府、網絡保安業界和系統擁有人,要三方團結才行。「香港應該要有自己的cyber defense team,專責做研究、偵測、蒐集情報」,而不是現在警察裏的部門,只在攻擊後才展開調查。至於業界,「現在大多各自為政,很少交流,這我明白的,很多技術其實是商業秘密,但當面對的攻擊可以這樣龐大,只有團結才能抵抗」。賴灼東覺得,香港人不能把這些大型攻擊看成事不關己、當成新聞看過就算,「我們不是要悲觀,但要作最壞打算,然後做最好的防禦。用入侵者的心態『攻擊』測試自己的系統,全香港是否ready?」
轉捩點:發現黑客上司監察下屬
代入黑客的心理思維想像攻擊方法,是他十年來練就的技藝。在他入行的年頭,網絡保安這行業尚未普及,「那時看很多關於黑客的書、雜誌、網頁,想知道黑客其實做什麼,理念是什麼」。他本來是個電腦程式編寫員,寫了五年,因為發現上司入侵了同事的電腦而遇上轉捩點。一般電腦,熒幕右下角會有個小電腦不時閃藍燈,顯示上網狀態,「有一天,同事發現那個電腦仔不同了,閃的燈,紅色又綠色,熒幕也大了。我還取笑他這個電腦仔好勁,upgrade了,哈哈」。一向有研究黑客行為的賴灼東,一看就覺得有問題,查閱一下同事電腦的日誌(log),發現原來被入侵了,入侵的人,是他們上司。「他是碩士,又是管理層,受咁多教育,居然會入侵近在咫尺的同事電腦,目的是監察他的一舉一動。」當時,賴灼東與同事去過灣仔警署報案,後來公司收到警示。「從那刻開始,想透過自己的『攻擊』知識幫助人。」
離開本行,他轉投其他公司的網絡保安部門,沒多久後,自立門戶。多年以來,就是運用黑客思維替客戶捉漏洞。「你用這道門出入,他會想,他是否也可用同一道門入去?」他說,黑客入侵電腦,通常會見到一堆防守,用工具也好,人手也好,黑客會逐個部分看、逐個試,「觀察你個network怎樣駁、用什麼軟件、什麼version,入侵後備server,通常backup無乜防守。見到私人資料、公司密碼,又或者成個資料庫泄漏給我們看到 ,我哋就最開心。」然而,損失金錢算是小事,他說,就像《黑夜之神》裏蝙蝠俠提到的罪犯層次,最低級的,是為了錢而犯罪,高階的,是要製造恐怖。
做正牌「黑客」 堵網絡漏洞
一般人的眼中,黑客不露面,標誌都沒有臉孔,只有一個黑影埋首在一堆高端電腦背後。賴灼東這半個黑客,卻並不神秘,拋頭露面做訪問已不是第一次,「我想做的是教育,我們有這方面的知識,不止是自己用,要讓更多人知道」。於是,在承接保安工程外,他成立了一個非政府組織,主動為香港的網絡系統做調查,「例如我們之前做了個拯救私隱行動,在網上找到被泄漏的私隱資料,就通知相關機構盡快修補。有些機構不回應,我們就找報館幫忙」。
他甚至會到外國參與國際黑客會議,談新技術,為未來可能出現的攻擊做好防禦。「只掌握香港情况是不夠的,要與其他國家交流,去韓國、台灣、美國、日本,情報上的、技術上的,都要交流。」他們做的,大概就是一個國家官方網絡防禦做的事,只是他們不是全職受薪去做,而是純粹為了興趣,純義務地幫忙。「外國備受推崇的黑客,他們的理念其實就是這樣。他們當黑客,不是為了賺大錢,而是為了幫人。」美國有個黑客,在烏干達建了個lab,邀請其他黑客來幫忙教小朋友電腦知識,「他一來幫助小朋友,二來幫了一些無業黑客,讓他們做義工後有工作證明,幫助他們日後找工作」。真正的黑客精神,是自由、創意,最重要是分享,「你或可以稱我們為白帽(whitehat)」。
蒐集黑客情報 用手機便可
訪問接近兩小時,這一次,賴灼東狠狠地打破了我對黑客的想像。他說,他經常做蒐集情報的工作,目的是要知道黑客的新攻擊方法,也要知道他們下一步行動。我問他,家裏是否有很多部電腦?「多電腦是無用的。」他拿着手機說,「這個也做到」,在網上尋常不過的討論區、網頁,甚至facebook群組,都可以看到疑似的黑客討論,「我不會報警,但看到可信的情報,會通知襲擊目標提防」。情報工作,原來不一定像竊聽風雲裏看到的。對虛擬世界瞭如指掌,但他沒有宅男的結結巴巴,還會深入淺出解釋互聯網操作原理,賴灼東說因為他平日還會去做講座。他的太太眼見他所做的,問他是否想幫很多人?用自己知識,幫到人又搵到食,做得開心,才重要。「做不到蝙蝠俠,唯有用這種方式,哈哈。」
Subscribe to:
Posts (Atom)