【大紀元2015年04月14日訊】三月底發生的中共對代碼托管網站Github的攻擊,是一種新的攻擊手法:根據多倫多大學芒克全球事務學院公民實驗室研究員發佈的報告,這次中共 啟用了一個進攻性網絡武器。研究員稱之為「大炮」。當海外用戶訪問中國大陸的百度網站以及帶有百度廣告聯盟Js代碼的網站時,接受到的網頁中被植 入了惡意代碼。惡意代碼讓這成千上萬用戶的瀏覽器像潮水一般攻擊Github網站。網絡安全專家認為這表明中共信息封鎖從被動過濾轉為主動進攻。 但是很多人忽略了這次攻擊的性質:這是一個政府劫持上百萬無辜外國平民(包括本國海外僑民),向一個外國民間機構發動大規模駭客攻擊。這實際上不 折不扣是中共一直在內部鼓吹的「超限戰」試水。
幾乎與此同時,美國總統奧巴馬4月1日簽署行政令,授權美國政府針對發起網絡攻擊的個人、組織及嫌疑人做出制裁,包括凍結個人資產。這項行政命令 很可能是早在索尼公司遭到北朝鮮駭客攻擊之時就已經醞釀了,不過選在此時簽署發佈,自然也包含針對中共的警告意味。
中共研發超限戰新網絡攻擊武器,首次攻擊試水,直接受害的是Github網站(但實際上它想要打擊的目標是托管在Github網站的幾個 Greatfire網站建立的鏡像站點內容)。Github是全世界幾乎所有的程序員,也包括中國的程序員(甚至包括那些參與這次攻擊的程序員) 常用的網站。被劫持的受害者絕大多數是訪問中國境內網站的海外華僑。當然海外華僑在中共眼裡,歷來就是,用得著時是工具,用不著時還不如垃圾(比 如1998年印尼排華,華人被大規模屠殺、強姦之際,國際社會包括台灣政府都強烈譴責暴行,中共卻以「不干涉內政」為由不聞不問)。而「超限戰」 本來就是打破一切限度,完全不顧及無辜平民以及受害波及範圍。
其實中共的網絡封鎖也從來就是毫無道德底線的,比如1999年中共迫害法輪功之初,著名學府加州理工大學的官方網站曾經被封,原因僅僅是,網站上 有一個頁面是加州理工大學法輪功俱樂部的網頁。那時候中共封網技術還沒有今天這樣精細,不能做到部份屏蔽,所以乾脆把整個網站都封了;再比如不久 前谷歌所有的服務被封,連學術界最離不開的工具google scholar(學術論文搜索)也被封……只不過受害者以前僅限於中國公民,如今受害者走向全球。
中共超限戰從理論走向實踐,實際上是赤裸裸地宣稱「我是流氓我怕誰」,為達到目的不惜一切手段。這也意味著下一個受害者可能會是任何一個人,不論 是華人、西方人,也不論是愛黨的還是愛國的。
這個嚴峻的現實,讓人不得不擔心一個嚴重的潛在危險:下一次超限戰試驗中,中共會不會利用其管轄的互聯網絡信息中心(CNNIC)簽發的虛假網站 信任證書,讓全球網民受害於SSL加密「中間人攻擊」,讓銀行、金融系統、甚至許多政府機要部門所依賴的SSL加密傳輸方式崩潰(見附註)?
雖然谷歌(Google)以及火狐瀏覽器(Firefox)母公司Mozilla已經相繼宣佈不再信任
由中國互聯網絡信息中心(CNNIC)簽發 的網站信任證書,但就目前而言,CNNIC根證書仍預裝在微軟Windows操作系統、蘋果OS X、以及蘋果iOS設備中,並且因為這兩家公司受中國市場的巨大利益牽制,他們短期內未必會考慮做出同樣的舉措。
也就是說,一旦中共惡意簽發假網站信任證書(不排除CNNIC官員為個人利益受賄,而向駭客組織高價出售假網站信任證書),使用微軟或者蘋果瀏覽 器(包括MAC和iOS設備)的用戶,都有可能成為SSL加密「中間人攻擊」受害者。後果是登錄Email、銀行、金融系統時帳號密碼等敏感信息 被竊取,HTTPS加密形同虛設。
在中共這次攻擊「走向世界」之後,這一切都不再是遙遠的臆想。
*附註:SSL加密系統雖然算法嚴密,但是卻高度依賴一套CA(證書權威認證機構)「信任」機制。可做事無底線的中共CNNIC被列入最權威的證 書認證機構,所以一旦其濫用信任,即意味著SSL加密的信任崩潰。對這一點的通俗解釋,以及普通網民的對策,將另文撰述。
敬請轉載時註明:轉載自作者博客 http://guihang.org/
責任編輯:高義
