2015年6月16日 星期二

Chinese Hackers Circumvent Popular Web Privacy Tools 網絡隱私保護工具已無法阻擋中國黑客

Chinese Hackers Circumvent Popular Web Privacy Tools

網絡隱私保護工具已無法阻擋中國黑客

攻擊者把重點集中在記者和少數民族使用的網站上。「將這些網站作為目標不會帶來經濟利益,」加州安全公司AlienVault的傑米·布拉斯科說。
Jim Wilson/The New York Times
攻擊者把重點集中在記者和少數民族使用的網站上。「將這些網站作為目標不會帶來經濟利益,」加州安全公司AlienVault的傑米·布拉斯科說。
舊金山——新的研究顯示,中國黑客已經找到一種方法,繞開廣泛使用的隱私保護技術,並把矛頭對準了一些網絡內容的作者和讀者,中國審查機構認為那些內容懷有敵意。
硅谷安全公司AlienVault的安全研究員傑米·布拉斯科(Jaime Blasco)的調查結果顯示,黑客們破解了互聯網上兩個最值得信賴的隱私保護工具:一是虛擬專用網絡,簡稱VPN;另一個是匿名軟件Tor,後者通過位於全球各地的路由來建立網絡連接,從而掩蓋電腦的真正位置。
在中國,有很多企業和數以百萬計的公眾都在使用這兩種工具,繞開通常被稱為「防火長城」(Great Firewall)的中國審查技術,讓政府的窺探者無法看到自己的網絡活動。
布拉斯科上周發現,中國記者以及中國的穆斯林少數民族維吾爾族經常訪問的網站已經被黑客攻陷。
只要這些網站的訪問者也登錄過15個中國互聯網門戶之一——包括百度、阿里巴巴和人人網旗下的網站——黑客就能夠竊取他們的姓名、地址、性別、出生日期、電子郵件地址、電話號碼、甚至用來追蹤用戶上過哪些網站的cookie。
布拉斯科說,為了攻破Tor和VPN技術,攻擊者利用了中國頂級公司的一個服務器軟件漏洞。這些公司似乎沒有打補丁修補該漏洞。
雖然布拉斯科和其他人無法查明黑客的身份,但是從攻擊目標和攻擊的周密性來看,他們可能是受到了中國政府的派遣。
「還有誰會對這樣的信息感興趣,寧願費這麼大的周章呢?還會有誰想知道中國境內的哪些人在訪問維吾爾語網站和記者網站呢?」布拉斯科在接受採訪時說。「把這些網站當作目標沒有任何經濟上的好處。」
自從2012年年底掌權以來,習近平本人就對互聯網的管理方式展現了很大興趣,他建立了一個負責治理互聯網的小組,並擔任其組長。
他也向新成立的國家互聯網信息辦公室賦予了廣泛的權力,於是該機構打壓了影響網上輿論的互聯網名人。接着他又擴大了對外國網站的封鎖,並試圖把中國的影響力投射到國際互聯網空間中。
在過去幾個月里,中國政府屏蔽了VPN的銷售,並禁用了相關通訊協議。此外還劫持了流向中國最大互聯網公司百度的互聯網流量,利用其衝擊和破壞GitHub等網站,因為中國官員認為這些網站上的內容含有敵意,其中包括來自《紐約時報》的內容。
活動人士和安全專家建議中國互聯網用戶使用Tor和VPN來保護自己,不受國家支持的監視行為侵害;中國境內的外國人早就在採取這樣的做法。但布拉斯科的發現表明,北京的互聯網審查機構已經找到一種方法,讓這些工具失去效果。
「人們廣泛使用的VPN服務一度被認為固若金湯,現在卻受到了破壞——在中國這種感覺越來越強,」內森·弗雷塔斯(Nathan Freitas)說。他是哈佛大學伯克曼互聯網與社會研究中心(Berkman Center for Internet and Society)研究員,也是西藏行動中心(Tibet Action Institute)的技術顧問。
中國國家互聯網信息辦公室未回應置評請求。
布拉斯科表示,與維吾爾人及媒體有關的網站受到了「水坑式攻擊」的破壞。攻擊者想辦法將惡意代碼藏在攻擊目標常去的網站上,然後等着受害者上鉤。人們一旦訪問那些網站,惡意代碼就會被注入他們的網頁瀏覽器。
該技術被政府和黑客用來監視和竊取密碼。
布拉斯科稱,讓上述襲擊變得尤為嚴重的是,只要受害者登錄中國的15大網絡服務平台,包括百度、淘寶、QQ、新浪、搜狐、攜程和人人網,攻擊者就能確定他們的身份,並提取個人數字信息,哪怕受害者是通過Tor或VPN登錄的。
他們做到這一點是藉助了一個特別嚴重的漏洞。中國那15家網絡服務平台似乎從未修補過該漏洞。
被稱作JSONP的這個漏洞並不是新出現的。布拉斯科表示,2013年前後,這個漏洞在一個中文安全和網絡論壇上被公布出來。有證據顯示,大約在同一時間,黑客用它將維吾爾人訪問的網站,以及非政府組織的網站當成了攻擊目標。
布拉斯科表示,由於沒有修補該漏洞,像百度和阿里巴巴旗下的淘寶這樣的大型網站,實際上讓中國境內的網絡用戶唯一可用的隱私保護措施失去了作用。
「這就相當於執法部門能夠利用Facebook的一個嚴重漏洞,讓美國的Tor和VPN用戶無法匿名,」布拉斯科說。「你肯定會認為Facbook很快就會修復。」

It is not clear, given the severity of the vulnerability and its discovery some two years ago, why so many of China’s top web portals did not fix it.
考慮到漏洞很嚴重,而且大約兩年前就已經發現了,尚不清楚為何這麼多中國多頂級網站均未修補。

百度的一名發言人表示,該公司的確曾嘗試解決這個問題。

“To the best of our knowledge, our earlier efforts were successful in preventing any serious leak of personal use data. But in light of this further information, we have decided to implement a more aggressive and thorough fix across Baidu for the JSONP vulnerability,” the spokesman said.
「據我們所知,我們較早前為防止嚴重泄露個人數據而採取的措施是成功的。但這次了解到進一步信息後,我們已經針對JSONP漏洞,在百度展開了更主動、更全面的修復,」這名發言人稱。

A spokesman for Alibaba also said the company was now moving to deal with the problem. “Alibaba Group takes data security seriously and we do everything possible to protect our users,” said Robert Christie, vice president of international media at Alibaba.
阿里巴巴的一名發言人也表示,該公司現在正在採取措施,解決這個問題。「阿里巴巴集團重視數據安全,我們會盡一切可能保護用戶,」阿里巴巴負責國際媒體事務的副總裁羅伯特·克里斯蒂(Robert Christie)說。

“Many companies in our space have faced this issue, and once we discovered this issue, we moved swiftly to address it. We have found no evidence that any user information has been compromised,” he said.
「在我們這個領域,很多公司都面臨這個問題。我們一發現這個問題,就迅速採取了行動,着手解決。我們沒有發現用戶信息遭到泄露的證據,」他說。

Researchers say the complexity of the attack and the lack of digital fingerprints indicate that someone with significant influence had to have been directing it. Otherwise, “there must be a cybercriminal out there with pretty significant access to China’s Internet infrastructure,” said Mr. Freitas.

研究人員表示,由於襲擊相當複雜,且沒有留下數字指紋,這顯示進行指揮的是某個具有極大影響力的人。弗雷塔斯說,如若不然,「肯定就是一個網絡犯罪分子,而且他能廣泛地訪問中國的互聯網基礎設施。」

Paul Mozur自香港對本文有報道貢獻。

沒有留言: