【大纪元2015年04月14日讯】三月底发生的中共对代码托管网站Github的攻击,是一种新的攻击手法:根据多伦多大学芒克全球事务学院公民实验室研究员发布的报告,这次中共 启用了一个进攻性网络武器。研究员称之为“大炮”。当海外用户访问中国大陆的百度网站以及带有百度广告联盟Js代码的网站时,接受到的网页中被植 入了恶意代码。恶意代码让这成千上万用户的浏览器像潮水一般攻击Github网站。网络安全专家认为这表明中共信息封锁从被动过滤转为主动进攻。 但是很多人忽略了这次攻击的性质:这是一个政府劫持上百万无辜外国平民(包括本国海外侨民),向一个外国民间机构发动大规模骇客攻击。这实际上不 折不扣是中共一直在内部鼓吹的“超限战”试水。
几乎与此同时,美国总统奥巴马4月1日签署行政令,授权美国政府针对发起网络攻击的个人、组织及嫌疑人做出制裁,包括冻结个人资产。这项行政命令 很可能是早在索尼公司遭到北朝鲜骇客攻击之时就已经酝酿了,不过选在此时签署发布,自然也包含针对中共的警告意味。
中共研发超限战新网络攻击武器,首次攻击试水,直接受害的是Github网站(但实际上它想要打击的目标是托管在Github网站的几个 Greatfire网站建立的镜像站点内容)。Github是全世界几乎所有的程序员,也包括中国的程序员(甚至包括那些参与这次攻击的程序员) 常用的网站。被劫持的受害者绝大多数是访问中国境内网站的海外华侨。当然海外华侨在中共眼里,历来就是,用得着时是工具,用不着时还不如垃圾(比 如1998年印尼排华,华人被大规模屠杀、强奸之际,国际社会包括台湾政府都强烈谴责暴行,中共却以“不干涉内政”为由不闻不问)。而“超限战” 本来就是打破一切限度,完全不顾及无辜平民以及受害波及范围。
其实中共的网络封锁也从来就是毫无道德底线的,比如1999年中共迫害法轮功之初,著名学府加州理工大学的官方网站曾经被封,原因仅仅是,网站上 有一个页面是加州理工大学法轮功俱乐部的网页。那时候中共封网技术还没有今天这样精细,不能做到部分屏蔽,所以干脆把整个网站都封了;再比如不久 前谷歌所有的服务被封,连学术界最离不开的工具google scholar(学术论文搜索)也被封……只不过受害者以前仅限于中国公民,如今受害者走向全球。
中共超限战从理论走向实践,实际上是赤裸裸地宣称“我是流氓我怕谁”,为达到目的不惜一切手段。这也意味着下一个受害者可能会是任何一个人,不论 是华人、西方人,也不论是爱党的还是爱国的。
这个严峻的现实,让人不得不担心一个严重的潜在危险:下一次超限战试验中,中共会不会利用其管辖的互联网络信息中心(CNNIC)签发的虚假网站 信任证书,让全球网民受害于SSL加密“中间人攻击”,让银行、金融系统、甚至许多政府机要部门所依赖的SSL加密传输方式崩溃(见附注)?
虽然谷歌(Google)以及火狐浏览器(Firefox)母公司Mozilla已经相继宣布不再信任
由中国互联网络信息中心(CNNIC)签发 的网站信任证书,但就目前而言,CNNIC根证书仍预装在微软Windows操作系统、苹果OS X、以及苹果iOS设备中,并且因为这两家公司受中国市场的巨大利益牵制,他们短期内未必会考虑做出同样的举措。
也就是说,一旦中共恶意签发假网站信任证书(不排除CNNIC官员为个人利益受贿,而向骇客组织高价出售假网站信任证书),使用微软或者苹果浏览 器(包括MAC和iOS设备)的用户,都有可能成为SSL加密“中间人攻击”受害者。后果是登录Email、银行、金融系统时账号密码等敏感信息 被窃取,HTTPS加密形同虚设。
在中共这次攻击“走向世界”之后,这一切都不再是遥远的臆想。
*附注:SSL加密系统虽然算法严密,但是却高度依赖一套CA(证书权威认证机构)“信任”机制。可做事无底线的中共CNNIC被列入最权威的证 书认证机构,所以一旦其滥用信任,即意味着SSL加密的信任崩溃。对这一点的通俗解释,以及普通网民的对策,将另文撰述。
敬请转载时注明:转载自作者博客 http://guihang.org/
责任编辑:高义
