台灣調查局針對網路空間的查處能力

今天的教案是台灣調查局的此案:揭發大陸網軍收購臺灣網域散布假訊息真相。先說結論:

  1. 此案宣布「揭發」過急,不揭發還好,一揭發反而完全暴露出調查局在專業度上仍有大幅零到一的進步空間
  2. 調查局對於網路空間的所有描述和詞彙不只不夠準確,而且毫無基本概念
  3. 認定這13個網址的標準是什麼要更清楚
  4. 這篇新聞稿有經典教案的味道,有志關心網路社會和注意力經濟的朋友們,建議可花時間推敲

首先是這張圖(來自調查局):

以及聯合報的描述

法務部調查局資通安全處主任張尤仁表示於調查新冠肺炎疫情假訊息時發現,臉書社群某粉絲專頁因疏於維護,在「關於」中所放置的網址連結,竟連向中國之內容農場,且自今年起即針對我國政府發表爭議訊息及施政評論,經調查局積極溯源調查,發現該臉書專頁除高度爭議性文章外,更循線查獲該專頁係串聯大量外部網站,以中共「內容農場」模式,疑似在疫情緊繃期間意圖藉此操控我國社會與論,短期內高頻產製不實訊息,並投放至我國臉書社群中加以散布,進行統戰。

嗯,不是很好理解,而且有「滑坡謬誤」推論之嫌疑。我們花點寶貴的時間,一個一個詞來說明。

  • 臉書:沒有疑義。
  • 粉專頁:沒有疑義。
  • 網域:稍有疑義,我們可以用台灣過去習慣稱的「網址」,或是中國習慣稱呼的全稱「網路域名」,或是簡稱「域名」來稱呼。「網域」也是有人用的,但比較不精確。基本上講的就是 domain 或是 domain name。以此案來看,用「網址」比較適合。
  • 遭置換:這點大概是判讀錯誤的關鍵點之一。我們花點篇幅來解釋。

對一般沒有「購買」過網址的朋友而言,網址似乎是很特別的產物。網址要怎麼購買?網址的購買可以透過「合規」的註冊商 (registrar) 或經銷商 (reseller) 所取得。比較正確的講法是「註冊」一個網址,而註冊網址的費用,通常是以年費的型態產生。例如註冊一個 .com 的網址要多少錢?這要看你在哪一家註冊商或是經銷商註冊來決定。而網址的註冊由於是一次性的年費,大部分的人比較常見的網址「後綴」,例如 .com .net 時會一次繳一年,有些網址後綴允許一次以複數年的單位繳納,例如兩年,三年或十年,有些則不允許,例如至多兩年。

如果網址到期沒有繳交年費會怎麼樣?基本上這網址就不會是原註冊人的網址了。實際的狀況非常複雜,但原則是這樣沒錯。以調查局此案所列之13個網址為例,全部都是 .com .net 為後綴。這些網址只要原註冊人沒有續約,在一定期限之後,任何人都可以再次註冊拿來使用。因此,購買網址的概念比較偏向是有「租用期限和使用權」,而不是「擁有權」。

好了,網址的基本概念有了,那麼我們來看「置換」。根據調查局的新聞稿、台視新聞(影片)、聯合報(文字描述),我們可以很清楚的知道,這並不是「網域遭置換」,而是:

  • 原持有人網址沒有續約(原因不論)
  • 新註冊人透過不同途徑和機制,註冊原有網址
  • 相關臉書粉專頁面的原留網址,被導引到新的網頁和網站

白話來說,就是網址沒用了(行業術語叫做掉網址),新的註冊人註冊來使用。到這個階段,我們可以比較確認的是:

  • 上列13個網址沒有被續約
  • 調查局主動積極約談了6人(應該是透過 WHOIS 找到原註冊人聯絡資訊)
  • 目的是「釐清是否遭不肖中共網軍收購」

到這邊又有一個點需要討論,一般的讀者可能看到了一個專業術語 “WHOIS” 的出現。WHOIS 是什麼?簡單來說就是一個網址註冊人聯絡方式的全球性資料檢索協定 (protocal) 和服務。對網址註冊人而言,WHOIS 在什麼階段會遇到呢?我們簡單以下列步驟來告訴大家:

  • 小萌去 GoDaddy(全球最知名的美國網址註冊商)檢索希望註冊的關鍵字 “smallming”
  • GoDaddy 告訴小明有哪些網址後綴可以註冊,小明覺得 .com .net 都還不錯(而且沒有人註冊),不過 .com 聽起來耳熟能詳,就是它了
  • 小萌覺得 smallming.com(以上為虛構)很好,一年只要繳美金12.99元,於是啟動註冊和購買程序
  • 要結帳的時候,GoDaddy 系統告訴小朋說需要填寫四筆資料,這四筆分別是:註冊人 (Registrant)、管理人 (Administrator)、帳務連聯絡人 (Billing)、技術聯絡人 (Technical)

這四筆資料就是 WHOIS 的基礎資料之一。在「過去」對於任何人而言,只要知道如何使用基於 WHOIS 協定所發展出來的各種檢索服務,很容易就可以知道某個網址後面的註冊人、管理人、帳務聯絡人和技術聯絡人是誰。不過現在是2020年,美好的資訊如此公開的往事,早就一去不復返。因為有些欄位會被因為各種原因而被「遮罩處理」(被隱藏),或被置換為無法溯源到原始註冊人是誰的狀況發生。對了,這邊所謂的「人」可以是「自然人」(例如小萌)也可以是法人(小萌股份有限公司、小萌文教基金會),也可以是虛構的人(蒙奇D魯夫)。請務必記住這一點。

我們在這裡不對全世界上千個主要的網址後綴「規矩」做分析,只是簡單說明調查局在這個年代只透過 WHOIS 要反查這13個網址的「上手」(被約談的台灣民眾)和「下手」(調查局所稱之邪惡網軍)註冊人是誰,會需要有合作一起溯源的對象,因為 WHOIS 的資訊絕對不是唯一拿來判斷註冊人是誰,甚至是下手的註冊人去「承接」這些原本由台灣註冊人所註冊網址的背後「意圖」是什麼。

一般來說,我們從 WHOIS 的各種欄位可以知道:

  • 第一次註冊時間
  • 最後一次更動相關註冊資料的時間
  • 在哪一家註冊商註冊
  • 註冊人的相關聯絡資訊

這些欄位的資料是調查局引以為據,在記者會說明「收購時點均落在2020年總統及立委大選前半年」的依據之一。調查局所釋出的簡報畫面去掉很多關鍵資訊,我們用另外一種方式將它「還原」,先用土法煉鋼的方法,檢索調查局特別指名道姓的 “puddingco.com”:

https://hexometer.com/domain-whois/puddingco.com

進一步看現在的原始資料:

https://hexometer.com/domain-whois/puddingco.com

不滿意,還有:

https://whois.domaintools.com/puddingco.com

然後我們實際去看一下這個網址現在所呈現的內容是什麼,讀者也可以自己試試看:http://www.puddingco.com/

從新聞稿得知,這網址過去是台灣的註冊人所註冊,但在去年總統大選前六到七個月,有了註冊人轉移的資料更動紀錄。我們想看看原始的台灣註冊人是誰,但現在不容易查到。我們用了另外幾個服務去查,得知:

https://securitytrails.com/domain/puddingco.com/history/a

以及:

https://web.archive.org/web/20190228223050/http://www.puddingco.com/

到此為止,我們可以比較有信心的說:

  • 網址最早註冊不晚於2006年,而且當時已經啟用,有使用之事實
  • 2019年6月30日是最後一手的註冊人「接手」
  • 最後一手註冊人填寫的資料,目前看來是位於中國黑龍江省大慶市
  • 承上,其留下的 email 是 97996288@qq.com
  • 承上,所使用的註冊商是 DropCatch.com 395 LLC (IANA#:1806)
  • 目前 puddingco.com 上面的內容全部是簡體中文。我很快地用肉眼掃了一輪,判斷這個網站所針對的讀者群,可能主要是以簡體中文的使用者為主
  • 上一手的台灣註冊人,我們根據 Wayback Machine 的線索,查到可能是在2018年公告準備結束營業的布丁公司
  • 調查局說的「台灣持有日」是錯的,而且錯得離譜

我們用 “97996288@qq.com” 再丟去 “Reverse WHOIS” 查詢,其中之一的結果是:

https://viewdns.info/reversewhois/?q=97996288%40qq.com

不滿足,再查:

https://www.domainiq.com/email?97996288@qq.com

再點開 “associated domains”:

跟這個電子郵件有關的網址至少有38個,其中的5個我們透過免費的查詢服務可以得知。例如 pinguotv.com 即為一例,這網站也是內容農場。到此為止,我們可以推斷出什麼?

  • 此人 “Yang Dong Qing” 為內容農場經營者
  • 此人透過偏向透過經營 “drop catch” 服務的註冊商 (Registrar) 註冊網址

什麼是 drop catch?根據 Wikipedia 的說明… 好吧沒有繁體中文… 白話來說就是:

網址掉了撿起來

請容我多加說明,由於每天全世界都會有無以數計的網址沒有被續約,而被註冊局 (Registry) 和註冊商釋出的網址,有些「價值」不菲,成為了各種網址生意人的標的。早期只是搶注網址,現在則多了把掉下來的網址轉作為內容農場的商業模式。為什麼要這樣做?因為很多經營許多的網址和網站(例如 Puddingco.com)有一定可觀的忠實流量,網路上可能也已經遍佈了 “backlink” 回到此網址。再加上此網址已被運用高達13年,對於知道如何將流量變現的商業公司或是個人而言,這些掉出來的是網址是值得去 drop catch 的目標。

你可以看到此人所使用的註冊商其公司登記的名稱都有 “Dropcatch.com xxx LLC” 的字串。這表示,他習慣用的不是我們一般大眾用的 GoDaddy、在台灣有據點的外商 Gandi.net 或是中華電信的網址註冊服務。他很有可能是職業性的內容農場經營者,或是其他性質有商業動機的人士。

由於調查局宣稱這13個網址背後是有「不肖中共網軍」「研判此具高度組織化及策略性之網路惡意行為,其背後應有大陸黨政軍單位主導操盤」,但職業的內容農場經營者是否就是不肖「中共」「網軍」?但到目前為止我們的探索(也只是隨便先看一個網址而已),大概話還不能說得如此斬釘截鐵。至少我們以上述所推斷的過程和所取得的資料來看,尚無法如此斷言。如果我們要推斷到調查局所述的「真相」,我們還需要什麼樣的認知、技巧,資料和第三方的協助?

在此先賣個關子,因為這是調查局的工作,不是你我的工作,而且非常花時間,不是一個人或一個團隊或一兩天可以搞定的。


針對此例,我們還可以手工查下去,但我們目的並非查案,只是當教案討論。我們回到調查局的新聞稿。這新聞稿水準很令人擔憂,調查局說:

五、 以遭收購之公司「puddingco」為例,該公司網站原始名稱不變,然網站內容均遭修改,充斥大量大陸官方新聞、政策,及對我國「帶風向」之不實評論。

針對調查局的說法,我的看法是:

  • 『以遭收購之公司「puddingco」為例』:不盡然正確。網址只要沒有續約,任何人都可以續約,網址名稱跟公司登記名稱一樣,但不能等於直接説遭收購。媒體可以這樣說,但你是調查局,調查必須科學、精確和嚴謹,不能這樣表述
  • 『該公司網站原始名稱不變,然網站內容均遭修改』:這句是多餘的。原始網址當然不會變,但跑在網址上的網站(網址還可以有提供 email 服務),只要原網址註冊人放棄續約,而且有新的人註冊並且使用,那麼新的註冊人當然可以隨意使用,「內容均遭修改」是常態
  • 『充斥大量大陸官方新聞、政策,及對我國「帶風向」之不實評論』:典型滑坡謬誤,中國註冊人要將其當成內容農場經營,當然是「無斷」刊載其國內的各種政策文宣和內容。其政策文宣涉台者,當然對我國會有「不實」之評論。中國的內容農場是數以十萬百萬之計,而由於其特殊國情和網路邊境管制之因,幾乎絕大多數的內容農場所轉載的內容都具有高度的重複性。現在的 Puddingco.com 站內有大量隨機產生和轉載的內容無誤,但有多少和台灣有關的內容?這些內容能足以起到「帶風向」之效果?這些都是疑問

簡單來說就是:調查局的說法是門外漢,而且調查局自陳

調查局表示,認知作戰是以往國安領域不曾著墨之處

第一次真的要特別小心。這個年頭不會再有「王迎先」了,但希望不要跳得太快。

我們先假設調查局調查的結果具有一定信度的,但從調查局所發佈的文字、圖像和記者會的說法,對任何有一點相關經驗的人來說,都很難相信他們可以根據他們所說的方式和所使用的專業詞彙,查出並且揭發這就是「大陸網軍收購臺灣網域散布假訊息真相」。有幾種推定,讓他們願意這樣斬釘截鐵的開記者會揭發真相(雖然和他們所釋出的訊息有所出入):

  1. 調查局有來自非局內的情資
  2. 調查局有來自不明的壓力要揭發真相,大幅壓縮了調查的時間和產出的品質
  3. 調查局在執行其他任務時,發現了這條想像(aka 腦補)可以抓到「大魚」的線

至於真相如何,讓讀者們自行判斷。


WHOIS 妙用無窮,我們用另外一種方式來查查這13個網址(一個調查局遮掉了,可能網站有色情內容或是網頁埋有惡意程式之類的),跑出來的結果是:

我們可以看到有 IP、DNS、電子郵件、IP ISP、ISP Country、IP Organization 和 Org Country 的欄位。單從這個表我們能先看出什麼?

  • 各網址所使用的 IP 不盡相同,但主要都是來自於美國和中國
  • 各網址所使用的 DNS 解析伺服器,其命名規則有一定的相似度
  • 12個網址所留下的聯絡人電子郵件資訊,有三分之一的電子郵件後墜是一個註冊在美國加州的公司 (psychz.net),兩個是註冊在荷蘭阿姆斯特丹的公司 (Leaseweb.com),以及香港、阿里巴巴集團(西部數碼國際)和 CNNIC(中國互聯網絡信息中心)的後綴

線索很多,所使用的工具和調查的途徑不同,就會看到不一樣的資料。這些資料是否足以之稱調查局的「揭發」,根據我個人曾經擔任過註冊商總經理的經驗來看,以及對於「假消息」的過往探索歷程,我認為還相當不足。

至於記者會名為「調查局查獲大陸網軍收購我國網域意圖操控我國社會輿論記者會」,什麼時候 .com .net 是我國網域了?

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.