保障公民團體自建網站的安全

案例

小明搞好了密碼之後,發現網站仍然還沒恢復⋯⋯ 他又拿出了捲軸,前後翻看著到底該如何是好。你知道在前面的個案故事一章當中,哪些是與網站安全 / 網站管理相關嗎?

沒錯,答案就是:

  • 同事小美用 Woodless 與網路上搜到的免費外掛,自己架設組織 A 的網站,但她不具備檢視程式碼是否有安全漏洞的能力,難以應付駭客攻擊。
  • 網站遇到分散式阻斷服務攻擊(DDoS),組織 A 沒有防禦手段。

公民團體往往忙於第一線的工作,難有時間與量能去維護自架的網站,更遑論精進相關的技術能力。但無奈的是,個案故事中的情境在現實生活屢見不鮮。首先,在數位時代,架設網站進行倡議,不僅能有效率地增進觸及廣度,也是組織長期工作的依據,有了網站上建檔的資料與成果,有助倡議工作長遠推展。

公民團體有自架網站的需求,然而,來自公民團體對立面的威脅也是存在的,具敵意且受政府資助的駭客(此為舉例,這類型的駭客具有較高的針對性並具備持續攻擊的量能),攻擊、入侵這類自行架設的網站輕而易舉,輕則癱瘓網站(例如反覆提及的 DDoS),阻止訊息傳播;重則植入惡意外掛程式以盜取使用者的重要資訊。

面對針對公民團體的網路攻擊,我們應該優先考量什麼?我們可以從威脅建模,也就是風險評估的角度,依序思考「要防護什麼、為什麼要防護、威脅或風險從哪裡來、形式是什麼」這幾個層次來釐清。

概論

威脅或風險樣態概覽

以下介紹幾種威脅樣態,這些敘述不會深入細節,旨在提供簡單的名詞解釋及可能的風險後果:

  • DoS & DDoS

    • 阻斷服務 (DoS) 攻擊目的在於讓系統資源短缺,使其無法回應正當的服務請求。分散式阻斷服務 (DDoS) 攻擊也類似,只是 DDoS 是多系統針對單一系統的攻擊,比起一對一的 DoS,它的規模往往較大。兩者都會試圖耗盡目標系統的資源,讓受害網站無法提供服務給使用者,這經常導致受害網站完全關閉。甚至,在網站關閉重啟的過程中,又可能受到其他攻擊傷害。

  • 域名系統 (Domain Name System, DNS) 的相關攻擊

    • DNS 就像電話簿,在一般情境中,它透過分層向下委任,一層層把人類可讀的域名(例如:ocf.tw)比對、轉換為以數值呈現的網際網路協定 (Internet Protocol, IP) 位址 (例如:192.68.1.1)。在此不細述 DNS 攻擊的技術細節,但我們必須知道,針對 DNS 的攻擊可能導致網站停擺、進入網站時被轉址到其他網站(粗製濫造的網頁,或更糟的惡意網站),也可能導致資料外洩。不僅對組織聲譽及營運有害,也可能傷害使用者,甚至觸犯法律。

  • 未經 HTTPS 加密的風險網站

    • 沒有 HTTPS 協定加密的網站,相當於把網站內過手的資料全都攤在陽光下供人檢視,不僅網站方有資料外洩的危險,同時也置瀏覽網站的使用者於風險之中。

  • Brute Force Attack

    • 正如字面上所說,蠻力攻擊、暴力攻擊,或稱暴力破解。駭客針對目標網站準備了認為有機率存取網站管理人員的帳號密碼清單,然後讓機器人(程式)一個個嘗試,直到成功侵入網站管理層為止。這可能導致資料外洩、網站被綁架或刪除等。

專業的事交給專業的來

但是,千萬不要因為潛在風險而對在數位世界倡議卻步!說白了,就像現實生活,你需要注意自己的人身安全、確保辦公室不會有陌生人闖入或偷聽 / 偷窺。在數位世界的維護、營運也需要成本,若這些成本不是金錢或時間,代價很可能就是你的安全或隱私。

那麼,沒有足夠技術能力的公民團體 / 倡議者,該怎麼保護自己呢?

很簡單,交給專業的來!

全球有許多支持公民團體或人權工作者的非營利組織、商業公司提供資訊安全相關服務,以下將介紹 eQualitie 提供的 Deflect 和 eQPress 網站保護服務,以及 Cloudflare 提供給公益團體網站的 Galileo 計畫,透過申請,目標網站可受 Cloudflare 保護。

這幾個選項目前都屬於申請後免費提供,聚焦在協助公民 / 公益團體,甚至有些提供中文客服,我們認為這些都是適合本手冊讀者用來應對網站威脅的好選項。

自己的責任切莫心存僥倖

在應對外來威脅時,有很多基礎的概念、行為需要自己理解、內化、實踐。舉例來說,將工作帳號的管理權限分層、登入採多階段驗證、設定高強度密碼、運用端對端加密軟體或使用 VPN 等,都能強化自身資安體質,可有效降低曝險。而關於個人或組織內部如何應對可能的風險、如何與專家對接,還是需要親自面對。建立個人紀律、組織守則是比較好的實踐方式,包括:

  • 管理權限分層
  • 高強度密碼
  • 多階段 / 兩階段驗證
  • 有加密意識、多用加密通訊
  • 對釣魚信件保有警覺

總而言之,把技術含量高的資訊安全實踐交付專家處理後,個人 / 組織還有很多需要加強、努力之處。這些知識與行為層面的改善將大大助益個人 / 組織的資訊安全,讓風險顯著下降。

好比總不能在門上加了很多道鎖和生物辨識後,屋主卻連關門鎖門的原理都不懂吧?

可用工具

以下我們介紹兩類服務:

  • Deflect 與 eQPress
  • Galileo project

Deflect 與 eQPress

總部在加拿大的 eQualitie 提供讓公民團體免費申請的保護措施。eQualitie 是一家目標提高人們在數位世界的言論自由、規避審查、強化匿名、避免監視等基本權利的公益企業,與跨國、跨領域成員在全球提供服務。

本文要介紹它在網站防護的 Deflect 服務,以及其中專門給公民團體免費申請使用的WordPress 系統網站維護服務 eQPress。鑑於公民團體遭受攻擊的風險高、通常缺乏技術團隊,很容易因為網站沒有更新、外掛功能 (plug-in) 而產生安全漏洞,eQualitie 團隊因此開發了 Deflect 與 eQPress,協助公民團體保護網站。

公民團體若將網站架設在由專業團隊維護的空間,就能降低特定攻擊入侵的機率,例如 2016 年,一個烏克蘭獨立媒體網站就因此免於來自俄羅斯、越南等境外的流量超載攻擊,使網站不至於中斷,能繼續揭露政府弊案。

只要是公民團體,以捍衛人權為目標,例如獨立媒體、或支持從事人權工作的人,在同意使用條款並接受隱私規範後,就能申請協助保護網站服務。

使用情境

若你符合以下兩點情境,為了倡議工作的安全、持續性,敬請認真考慮申請 Deflect 與 eQPress:

  • 你的網站有被攻擊的疑慮

    • 公民團體在網路上發表的內容經常會觸犯既得利益者(通常是政府或是有能力雇用駭客的有力人士),進而引來惡意攻擊。

    如果有駭客打算讓你的意見從網路上消失、或是減損你的社會信任,可能會使用俗稱 DDoS 的流量超載攻擊來癱瘓你的網站──攻擊者會在短時間內製造數以百萬計的讀取要求,讓網站所在的伺服器沒有足夠頻寬可讓其他人造訪。

    另外,公民團體的網站也可能成為異議人士的隱私漏洞,如果極權國家想透過駭客來威脅網站使用者的安全,會監控公民團體的網站,並在網路資料傳輸的過程攔截、辨識、竊取有關人士的個資。

  • 已經使用或打算使用 WordPress 系統架設網站

    • WordPress 是一種常見的架設網站軟體,世界上有超過 40% 的網站使用這個系統。同時,因為軟體免費、易上手、開放程式原始碼給所有人使用,公民團體為了與社會大眾溝通,經常會另外租賃網域、伺服器,以 WordPress 自行架設網路平台,尤其 WordPress 安裝各式外掛容易,能提供捐款、訂閱、購買義賣品的功能。

    然而,即使它彈性大、讓使用者有自主權、不會受限於網站架設廠商,但自行架設的 WordPress 網站若沒有專業技術團隊維護,可能會產生許多安全漏洞。如果你擁有 WordPress 系統的網站,或考慮使用 WordPress 建置網站,就能申請由 eQPress 平台維護網站 ,讓專業技術團隊進行管理,使你的網站可以在攻擊中屹立不搖、繼續倡議工作,並且加密所有傳輸資料過程,確保使用者的隱私及安全,除了擁有 Deflect 的保護,該服務還有以下功能:

    • 防止病毒
    • 遠端備份
    • 提供佈景 (theme) 及外掛 (plugin) 之編輯介面供客戶自行操作
    • 客服技術支援
    • Wordpress 及 Deflect 的更多細部選項及服務

    如果你的網站非 WordPress 系統,可以只申請 Deflect 服務協助你的網站抵禦攻擊。

    如果你需要申請這些服務,可繼續閱讀下文認識這些服務的使用方式、申請流程。如果你不確定相關的技術資訊意義,建議在組織內協調適合人選,或尋求顧問協助。

開始使用之前

當你的組織有架設網站的需求,又可能是駭客針對的攻擊目標時,可選擇結合 WordPress 這項工具並搭配 eQPress 的服務。簡單說,Deflect 服務可以保護網站,若網站是以 WordPress 系統建置,加掛 eQPress 框架會更安全。

如果你的組織網站不是 Wordpress 系統,只需要 Deflect 的防護功能保護網站,請直接跳到申請流程的段落繼續閱讀。

WordPress 是一套開放原始程式碼的網站系統,使用者可以自訂外觀與內容,並增加各式外掛功能。經由 WordPress 架設網站並搭配 eQpress 的服務,就如同租辦公室開始倡議工作一樣,大略可以分三個大步驟:

  1. 決定並租用網址

    2. 決定網址的名稱,例如 https://你的網站名字.tw 。令所有人都能記住並找到你的網站在哪。當你想好了之後,就要去找租賃網域的服務商,例如 Gandi 這樣的服務商像購物平台一樣整合各類網址供租借選擇,將你的網址登記在數位世界,不同結尾的網址有不同年費價格全部一覽無遺。

  2. 租用適合的空間

    3. 如同現實中的辦公室,有地址之外,還得有一個具體的建築空間。在數位世界則是挑選網站資料要存放的伺服器主機在哪,這就形同建築的大小、規格都會影響訪客的人數、行為。eQpress 的任務就是在此擔任伺服器主機的位置,並提供強健而且彈性的保護空間,使任何想要造訪網站的訪客,都必須經由 eQpress 的伺服器,再進入網站本身。只要符合前述的申請資格,就可以按照以下的流程以免費使用 eQpress。

  3. 網頁外觀設計

    4. 這部分也是免費的,你可以按照你的倡議需要,使用 WordPress 本身就具備的軟體系統來決定網站外觀、功能、內容。注意,網頁的設計工作不在 eQpress 的保障範圍,需要自行挑選或設計好看的網頁。當然,你也可以外包給專業的網頁設計師,再將他的成果搬移到 eQpress 當中。

申請/取得流程

eQpress 是一項基於 Deflect 的免費服務,不用在你的電腦下載或安裝。經由線上申請流程,就可以取得 Deflect 的網站保護以及 eQpress 的網站維護服務。只要你的組織符合以下條件:

  1. 捍衛人權;公民組織;經營獨立或非盈利媒體;支持人權工作者。
  2. 工作的內容不違反《世界人權宣言》中規定的原則。
  3. 工作的過程不宣揚仇恨言論或鼓勵歧視。
  4. 同意他們的 使用條款並接受隱私規範

若你符合並同意他們的規範,便可以到 https://deflect.ca/non-profits/進行註冊並著手申請。要注意,申請之前就要先準備好:

  • 網站的網址(網域及伺服器的 IP)、聯絡人的 e-mail。
  • 如果你不需要使用 eQpress 保管你的 Wordpress 網站,可以在這步驟只申請 Deflect 的網站保護功能即可。

    • 在這個流程裡,有任何申請問題都可以聯繫他們的客服人員。

申請過後,就可以在 Deflect Dashboard 內有一個選擇介面( Hosting tab )決定要使用的 eQPress 方案,有三種類型:

  1. 建立空白的 WordPress 網站

    2. 如果你未曾架設,或想要重新開始一個網站,那就可以選擇這個方案,並且開始經由 WordPress 的管理工具設計網站內容。如果不知道如何開始,可以搜尋「WordPress」、「佈景主題」等關鍵字的組合。因為市面上已經有非常多的教學文章詳細交代網站設計的流程,本文不再贅述。

  2. 建立空白的 WordPress 並預載指定主題

    3. 如果你已經有選定的、設計完成的網站佈景主題,那就可以使這個方案,並且載入你設計好的網站。

  3. 遷移已架設的 WordPress 網站到 eQpress 平台裏面

    4. 如果你之前已經在其它地方使用 WordPress 架設網站,並且想原封不動搬遷既有的網站內容,就需要聯絡之前協助你管理網站的伺服器供應商,請他們提供 WordPress 的原始檔案、程式碼及資料庫備份檔,再交給 eQpress 的技術人員。

技術支援/求救方法

當你註冊 Deflect 的帳號之後,即使你不是資訊科技相關的技術人員,或不熟悉 WordPress 的軟體、租賃網址的過程,那都沒關係。遇到使用流程上的疑問,或是網站經營期間有其他問題,都可以到 https://support.deflect.ca/登入你的帳號,並且詢問他們的客服、請求協助。還沒註冊帳號的話,也可以填寫他們的官網表格:https://deflect.ca/contact/讓客服人員協助你。

Galileo project

若你的組織是從事藝術、人權、公民社會、新聞工作或民主工作的組織,只要通過申請,你的組織網站就有機會加入 Galileo 計畫,接受 Cloudflare 商業等級客戶的服務支援。

Cloudflare 是美國一家提供 CDN(Content Delivery Network,內容傳遞網路)、雲端資安、DDoS 緩解,以及網域註冊服務的公司。截至 2022 年,全球已有超過 20% 的網路用戶使用 Cloudflare 服務。換言之,Cloudflare 的使用者社群已有相當規模,其服務也有一定的可信度。

Galileo 計畫為其保護的網站提供了許多服務,對應先前提及的常見攻擊,我們節錄以下幾個重點項目:

  • DDoS 保護

    • 提供 DDoS 警示,並保護網站和應用程式,同時確保合法流量的效能不受影響。

  • DNS

    • 提供 Cloudflare 的 DNS 服務,具備緩解針對 DNS 之 DDoS 攻擊的能力,也具備 DNSSEC 功能,能夠協助確保 DNS 的完整性和真實性,降低針對 DNS 的攻擊。

  • 通用 SSL 憑證

    • 可與現存的 SSL 設定相容。網站需要 SSL 憑證,以確保使用者資料的安全,驗證網站的擁有權,防止攻擊者建立網站的虛假版本,並且獲得使用者信任。如果當前沒有使用 SSL,無須進一步操作,Cloudflare 即可提供 SSL 功能。SSL 憑證為架設網站、建立 HTTPS 連線時需要的加密憑證檔案。

  • 機器人緩解

    • 有效減少蠻力攻擊的影響。

  • Web 應用程式防火牆(WAF)

    • 針對 WAF 的每個請求都將根據規則引擎進行檢查,並設計威脅情報以保護網站。可以根據使用者的需求封鎖、質詢或記錄可疑請求。

Galileo 計畫提供的諸多服務中,也包含來自 Cloudflare 自身效能提升、降低風險的改善服務,例如 Cloudflare Gateway、Cloudflare 的 DNS、CDN、快取效率提升或完整清除等等。這些服務都仰賴 Cloudflare 龐大的使用者社群,以資訊安全為例,龐大的使用者社群意味靈活且豐富的威脅情報,因此 Cloudflare 有條件可以去經營好攻擊緩解與遏止。

Galileo 計畫的申請表填寫完畢後,對方會回覆,溝通流程可能是非制式的,本手冊不在此作預測及贅述,若有需求或疑惑,歡迎聯繫開放文化基金會。

小撇步

除了我們前面所撰寫的數位安全內容,台灣的 Civil Society Cyber Shield (CSCS) 資安社群所翻譯的教材有對密碼相關、兩階段驗證的介紹,想多認識資安概念與工具的話,也非常推薦上 Surveillance Self-Defense 網站,該網站還有記者出差、參與抗議等情境題可參考,非常易懂。

如果對本文的介紹有任何疑義,可以聯繫開放文化基金會(hi@ocf.tw)。

以下為 Deflect / eQPress的官方說明文件。

eQPress —由 Deflect 安全託管網站/

Deflect / eQPress for non-profits服務與申請方式簡介