归航-龙泉墨客的驿站

谷歌虽拒中共CNNIC证书 隐患仍在

Firefox证书警告文/龙泉墨客

众所周知,谷歌(Google)以及火狐浏览器(Firefox)母公司Mozilla相继宣布不再信任由中国互联网络信息中心(CNNIC)签发的网站信任证书。表面看似乎是谷歌等大公司和中共之间的矛盾,事实上由于中共长久以来完全践踏互联网基本道德,早在2010年中国IT界就发起了民间自我清除CNNIC根证书(即让浏览器拒绝信任CNNIC签发的证书)。就目前而言,CNNIC根证书仍预装在微软Windows操作系统、苹果OS X、以及苹果iOS设备中。网民如果不自己动手清理,面临的可能危险是:通过https加密连接登录银行、Email网站时,一旦遭到黑客利用CNNIC颁发的网站证书进行SSL中间人攻击时(关于什么是SSL“中间人攻击”,请见此博文),浏览器却信任该伪证书而不会警告,造成泄露密码等敏感信息。

*谁最可能发起大规模“中间人”攻击?

普通网民未来面临中间人攻击的危险可能会来自某些黑客,但也不排除中共直接参与攻击的可能。还有一种难以预料的情况是,因为中共机构处处渗透腐败,CNNIC某些官员可能接受巨额贿赂而向黑客颁发可用于攻击银行的假证书。一旦后者发生,受害者就不局限于中国大陆用户了。

这并不是危言耸听。事实上,中国网络审查监测组织GreatFire.org(前不久编程和代码托管网站Github遭到中共DDoS攻击,就是因为GreatFire.org为大陆网民制作的一些镜像站点保存于Github)曾经在2014年9月4日发布报告说“谷歌在中国教育网遭国家级中间人攻击”,谁有能力发动“国家级中间人攻击”,当然是不言自明的。在过去两年中,大陆许多网民在微博上报告过访问苹果iCloud、Yahoo、Google、Github、outLook遭到中间人攻击的案例。有分析指同一时间对分布在不同地域、不同网络的用户发起中间人攻击不是个别黑客所能。早在在2013年1月,GreatFire.org就报道说,中国政府发动了针对Github的中间人攻击,波及全国。对这次攻击,瑞典网络安全公司Netresec曾做过有关GitHub在中国遭中间人攻击的全面分析,指出攻击发生在中国网络骨干的中心位置而不是局域服务商。因此GreatFire.org的指控是有根据的。

*谁会成为中间人攻击的受害者?

谷歌退出中国前和中共发生的摩擦事件之一,是发现一些人权活动人士和外国记者的Gmail被攻击。这些攻击以及后来对outlook、Gmail等的大规模中间人攻击,明眼人一看就知道中共脱不了干系。但这并不表明中间人攻击的受害者仅局限于那些中共不喜欢的人(如人权活动人士和外国记者等)。

中共GFW防火墙从一开始运作就采用任何手段,没有任何底线。比如中共发明的封网方法DNS域名投毒,就是完全践踏互联网基本准则。有西方人看到被中共封锁的网站清单之后,感觉这是一个疯狂的政府。维基百科“防火长城”条目中列举的被封网站,不但包括几乎所有的国际媒体,大部分社交类网如Facebook,Twitter,Youtube等、几乎所有的文件分享网站如Dropbox等,还包括诺贝尔奖多个官方网站、顶级科学杂志《科学》的部分页面、香港及台湾的购物网站(如雅虎香港拍卖和奇摩拍卖、博客来、三民书局等)、以及时断时续地封锁过代码托管网站SourceForge,Github,编程语言Python下载页面,操作系统FreeBSD网站,国际知名的互联网电影数据库(IMDB)等等。

因此,就如本人在“中共超限战试水 受害恐波及全球”一文中所言,中共“超限战”是没有任何顾忌的,受害者完全可以是毫不相关的无辜平民。

*怎样防护“中间人攻击”?

发动SSL“中间人攻击”有一个前提,就是攻击者能够截断、更改网络数据。中国大陆的网民访问海外的SSL加密网站时,数据必须经过中共防火墙GFW,这就面临遭到GFW的“中间人攻击”的危险。海外网民从家里访问银行网站通常是不会遭到“中间人攻击”的。但是使用公共Wifi上网(比如咖啡店、机场、旅馆的Wifi)就很难说了。因为这些公共Wifi通常很容易被骇客入侵。假如有骇客组织买通中共CNNIC官员,从而获得伪造证书,那么这种中间人攻击完全可以发生在海外,而且是很难被用户发觉的。

但也不是没有办法。网民可以做的防护,是自己手动删除中共CNNIC根证书。具体方法可以在网上找“删除CNNIC根证书”。但是苹果便携设备iOS中的CNNIC根证书无法删除(除非设备已经越狱)。删除CNNIC根证书之后,要确保对浏览器警告的https链接,不能点击“继续”。

还有一个办法就是,大陆网民访问海外网站使用可靠的VPN(虚拟私人网络)服务,以及某些加密翻墙软件,如自由门、ShadowSocks等等,也可以抵御中间人攻击。海外网民使用公共Wifi的时候,也可以用VPN服务来保护自己。这种情况下用苹果iOS设备连接公共Wifi也是安全的。

敬请转载时注明:转载自作者博客 http://guihang.org/