归航-龙泉墨客的驿站

攻击GITHUB—中共超限战试水 受害恐波及全球

ddos_attack文/龙泉墨客

三月底发生的中共对代码托管网站Github的攻击,是一种新的攻击手法:根据多伦多大学芒克全球事务学院公民实验室研究员发布的报告,这次中共启用了一个进攻性网络武器。研究员称之为“大炮”。当海外用户访问中国大陆的百度网站以及带有百度广告联盟Js代码的网站时,接受到的网页中被植入了恶意代码。恶意代码让这成千上万用户的浏览器像潮水一般攻击Github网站。网络安全专家认为这表明中共信息封锁从被动过滤转为主动进攻。但是很多人忽略了这次攻击的性质:这是一个政府劫持上百万无辜外国平民(包括本国海外侨民),向一个外国民间机构发动大规模骇客攻击。这实际上不折不扣是中共一直在内部鼓吹的“超限战”试水。

几乎与此同时,美国总统奥巴马4月1日签署行政令,授权美国政府针对发起网络攻击的个人、组织及嫌疑人做出制裁,包括冻结个人资产。这项行政命令很可能是早在索尼公司遭到北朝鲜骇客攻击之时就已经酝酿了,不过选在此时签署发布,自然也包含针对中共的警告意味。

中共研发超限战新网络攻击武器,首次攻击试水,直接受害的是Github网站(但实际上它想要打击的目标是托管在Github网站的Greatfire网站的几个镜像站点内容)。Github是全世界几乎所有的程序员,也包括中国的程序员(甚至那些参与这次攻击的程序员)常用的网站。被劫持的受害者绝大多数是访问中国境内网站的海外华侨。当然海外华侨在中共眼里,历来就是,用得着时是工具,用不着时还不如垃圾(比如1998年印尼排华,华人被大规模屠杀、强奸之际,国际社会包括台湾政府都强烈谴责暴行,中共却以“不干涉内政”为由不闻不问)。而“超限战”本来就是打破一切限度,完全不顾及无辜平民以及受害波及范围。

其实中共的网络封锁也从来就是毫无道德底线的,比如1999年中共迫害法轮功之初,著名学府加州理工大学的官方网站曾经被封,原因仅仅是,网站上有一个页面是加州理工大学法轮功俱乐部的网页。那时候中共封网技术还没有今天这样精细,不能做到部分屏蔽,所以干脆把整个网站都封了;再比如不久前谷歌所有的服务被封,连学术界最离不开的工具Google scholar(学术论文搜索)也被封……只不过受害者以前仅限于中国公民,如今受害者走向全球。

中共超限战从理论走向实践,实际上是赤裸裸地宣称“我是流氓我怕谁”,为达到目的不惜一切手段。这也意味着下一个受害者可能会是任何一个人,不论是华人、西方人,也不论是爱党的还是爱国的。

这个严峻的现实,让人不得不担心一个严重的潜在危险:下一次超限战试验中,中共会不会利用其管辖的互联网络信息中心(CNNIC)签发的虚假网站信任证书,让全球网民受害于SSL加密“中间人攻击”,让银行、金融系统、甚至许多政府机要部门所依赖的SSL加密传输方式崩溃(见附注)?

虽然谷歌(Google)以及火狐浏览器(Firefox)母公司Mozilla已经相继宣布不再信任由中国互联网络信息中心(CNNIC)签发的网站信任证书,但就目前而言,CNNIC根证书仍预装在微软Windows操作系统、苹果OS X、以及苹果iOS设备中,并且因为这两家公司受中国市场的巨大利益牵制,他们短期内未必会考虑做出同样的举措。

也就是说,一旦中共恶意签发假网站信任证书(不排除CNNIC官员为个人利益受贿,而向骇客组织高价出售假网站信任证书),使用微软或者苹果浏览器(包括MAC和iOS设备)的用户,都有可能成为SSL加密“中间人攻击”受害者。后果是登录Email、银行、金融系统时帐号密码等敏感信息被窃取,HTTPS加密形同虚设。

在中共这次攻击“走向世界”之后,这一切都不再是遥远的臆想。

*附注:SSL加密系统虽然算法严密,但是却高度依赖一套CA(证书权威认证机构)“信任”机制。可做事无底线的中共CNNIC被列入最权威的证书认证机构,所以一旦其滥用信任,即意味着SSL加密的信任崩溃。对这一点的通俗解释,以及网民对策,将另文撰述。

敬请转载时注明:转载自作者博客 https://guihang.org/