博客日记

中国试运转进击的网路巨砲,拿台湾浏览器当砲弹;人权网站成砲灰

中国试运转进击的网路巨砲,拿台湾浏览器当砲弹;人权网站成砲灰

位于中国防火长城的 Great Cannon of China 如何运作? 採取守势的防火长城已经无法满足中国政府对网路世界的掌控慾。 最近网路巨砲上线试运转, 显示中国已有能力对全球任何一个主张言论与资讯自由的网站全面炮火猛攻。 三月下旬, 程式设计师交换程式码的网站 github 上面两个与言论 / 上网自由相关的帐号 / 专案遭到 DDOS 。 原来是境外访客造访中国某些网站时, 位于防火长城附近的伺服器窜改百度的程式码, 恶意地让访客变成不知情的共犯 --- 他们的浏览器会不断地向 github 要求取得特定两页面的程式码, 造成 github 流量骤增, 难以招架。 而台湾访客则佔了「不知情共犯」的最大宗。

遭到锁定攻击的专案计画是 中国的网络审查 跟 纽约时报中文网 ——两个 github 专案都映射了「中国老百姓不被允许看见」的网站。事件简要过程请见 新唐人 、 BBC、 arstechnica 报导。 恶意程式码到底是由谁注入的? 来自各方的技术分析 [ Robert Graham、 GreatFire、 Erik Hjelmvik ] 共同指向隶属于 中国联通 China Unicom 管辖範围内的机器。

中国试运转进击的网路巨砲,拿台湾浏览器当砲弹;人权网站成砲灰

上图是我的简单解说。 在中国, 很多网站都内嵌百度的流量统计 javascript 程式码。 流量统计固然也有一点点隐私疑虑, 但那是另外的问题。 百度的流量统计基本上跟 google analytics 意思一样, 目的是帮助被造访的站长了解自己网站的哪些页面、 哪些时段、 对哪些浏览器比较受欢迎。 一般正常状况, 访客造访某个「请百渡代为统计流量」的网站时, 就会被请求从百度载入一段无害的 javascript , 在访客的浏览器上执行之后向百度登记造访一次。 但是在这次的攻击当中, 百度送出来的js 以及商业广告 js 走到中国骨干网路要踏出国门之前, 就被随机拦了下来。 约有 1.75% 的访客会收到 窜改过的 js, 进入无穷迴圈, 无限期向受害网站要求阅览两个特定页面。 其余 98.25% 的访客则会收到正常的 js, 不参与 DDoS 攻击。 也就是说, 如果有必要的话, 中国网路巨砲的火力还有潜力可以提升五六十倍。

中国试运转进击的网路巨砲,拿台湾浏览器当砲弹;人权网站成砲灰
位于中国防火长城的 Great Cannon of China 如何运作? CitizenLab 详细版

上图是加拿大多伦多大学公民实验室的详细解说。 他们长期关心公民权利与隐私相关的资讯网路科技, 先前曾经揭发许多国家政府用以监听公民的 FinFisher, 以及 Nokia/RIM/ 苹果的共犯关係。 针对此次事件, 他们也推出 研究报告 。 他们把中国新上线的这个技术称为「The Great Cannon」。 也请见 「网路攻防战」的中文摘要 , 以及 Dave Lin 的噗浪 。

CitizenLab 测试的两个例子显示: 网路巨砲跟防火长城都位于同一地点 --- 一个例子是在中国电信集团公司另一个例子则是在中国联通的管辖範围内。 两者的程式码有一些共同特性; 但看来是彼此独立的两个系统。 网路巨砲比较类似于 美国国安局的 Quantum 系统 , 都是国家级的网路攻击工具。

中国试运转进击的网路巨砲,拿台湾浏览器当砲弹;人权网站成砲灰

不知情的帮兇来自哪些国家或地区? GreatFire.org 把伺服器记录提供给 CitizenLab 分析。 被中国网路巨砲拿来当做砲弹的不知情访客当中 , 台湾位居榜首, 其次是香港。 两者加起来佔了全部砲弹流量的 2/3。 这很可以理解。 採用百度流量统计的网站, 多半是中国网站。 扣除境内访客后, 中国网站的主要流量来源, 可以想像正是台湾跟香港的访客。

CitizenLab 并且做了一些政治及专利申请分析, 推测设计网路巨砲的单位很可能是建构防火长城的单位 --- 国家计算机网络与信息安全管理中心 , 也就是防火长城之父方滨兴主导的单位。

我个人则倾向相信 GreatFire.org 所做的推测 : 主导者是 2013 年才成立、 由习近平担任组长的 中央网络安全和信息化领导小组 。 GreatFire.org 并引用该小组办公室主任 鲁炜 自己的话来打中国政府的脸:

我们应该建立维护安全的网路秩序。 网路是全球分享资讯的平台。 这是一个具有共同利益的社群。 网路犯罪、 骇客攻击、 侵犯隐私等等议题挑战着所有的国家。 在网路空间里,「为了保护自己国家的安全而牺牲其他国家的安全」已经越来越不可行。 为了追逐自身的利益而丢弃他人的利益, 这是不切实际的做法。 中国也是骇客攻击的受害者。 我们一直都坚定反对任何形式的网路攻击。

当然, 身在台湾的我们深深地了解到:「以某人自己说的话来打脸」只对那些有羞耻心、 愿意认错的人才有用。 对我们而言, 最迫切的实际行动可能是: 赶快开发软体, 判读并丢弃那些「由 Great Cannon of China 所产生、 恶意注入的封包」, 或是採取其他防範恶意 js 的措施, 以免日后再度成为不知情的帮兇。 如果重複发生, 台湾一直都位居榜首, 那幺这将不仅仅是民众浪费电脑资源的问题而已, 同时也事关着台湾的国际形象。

此外, 这次试发功还算客气。 我们过去太天真, 相信中国政府面对「属于全球的网际网路」会自我节制, 所以完全不曾想像他们竟会 在国家骨干网路的层级 对 境外 访客植入 js 程式码。 既然都已植入 js 程式码了, 很自然的下一步就是掌控访客的电脑。 从程式设计的角度来看, 要以相同的方式在毫无戒心的境外访客的电脑里植入恶意软体 --- 例如把这些电脑都变成未来殭尸网路的生力军,或是窃取个资 --- 这些都是件轻而易举的事。

如果攻击的对象是台湾的网站呢? 就像 2010 年的 中韩溃客攻击行政院 的事件, 或是在关键时刻以网路巨砲攻击某些关键网站? 如果台湾自己的网站被来自台湾岛内的不知情共犯砲弹打翻, 那就真的令人哭笑不得了。

长远看来, 如何因应中国改採攻势的网路战争, 这将会是一个需要技术、 政治、 经济多领域脑力激荡的巨大挑战。 过去太多事件显示: 比起提升资讯安全, 我们的行政院更有兴趣的, 其实是 管制网路 跟 监听公务员 。 民间如果没有行动, 更别期待政府会正视这个问题。 希望台湾还有够多学者有心力、意愿、勇气可以关心评鉴点数以外、 真正影响你我未来的事情。