核心提示真希望谷歌已经关闭了这些黑客正在使用的账户。也希望它能很快告诉公众更多关于他们3月11日的博客的说明。这样我们就会知道谷歌提到的活动人士是否是中国的。如果不是,那看来不止一个国家的活动人士成了这个恶意软件的攻击对象。

原文:China and Google: A detailed look

来源:Al Jazeera(半岛电视台)
作者:Melissa Chan
发表时间:2011年3月26日
译者:Fuge

左图:路透社图片


在中国境内的Gmail用户遭受连续数周的沮丧体验之后,谷歌终于站出来,指责中国政府是阻止用户连接到Gmail的干扰行为的幕后主使。

3月11日谷歌发表一个声明之后,谷歌作了如上表示。谷歌在那个声明中说,“我们注意到一些针对我们用户,目标十分明确并带有明显政治意图的攻击。我们相信活动人士是攻击的主要目标。”

但是3月11日的声明并未引起注意,它被人们忽视了,只是在其它文章中被简单地提及。因为更多的注意力被吸引到关于中国互联网审查的一般步骤上。本文是想用一个例子,让你从一个更细致的角度看到整个过程是如何让人不寒而栗地进行的。

谷歌没有提及这些成为目标的活动人士来自哪些国家。我们得知,至少一部分攻击目标是中国的活动人士,而且一些攻击者也是来自中国。于是我们向谷歌发出询问,以期获得更多消息,但谷歌未作回应。


谷歌3月11日的声明谈到了一个MHTML的弱点,这个弱点可以让入侵者窃取你的cookie。cookie不是饼干,作为计算机术语,它是一些有价值的信息。它是一些你的计算机将你连接到Gmail的记录,而且当别人偷取了你的cookie之后,他们可以劫持你的Gmail通讯,登录你的Gmail账户,为所欲为。


3月初,一名在华外国记者收到了一封来自jerwen500-at-gmail.com的邮件,邮件宣称自己拥有跟中国的“茉莉花革命”有关的图片。记者不是活动人士,但是很明显,这封邮件是要发送给那些可能参与或者对“茉莉花革命”呼吁有兴趣的人。尽管实际上外国记者只是在报导新闻,但是在中国,一些人仍坚持把我们看做活动人士。所以攻击者把记者列入自己的目标也有道理。


下面是我在那时收到的一封“茉莉花革命”恶意邮件:


 不谈技术细节,简单地说,恶意邮件的目的就是欺引诱件接收人点击Moli Hua(中文“茉莉花”的发音),一旦点击,你的网络空间就会出现各种麻烦。

一家网络智能实验室——亚洲meta实验室的主管格雷格沃尔顿(Greg Walton)分析了来自jerwen500-at-gmail.com的这封邮件。通过一个叫Cytoscpe的程序(这个程序源自一个用来分析DNA的软件),沃尔顿可以找到恶意攻击的来源。


他查出,这个恶意软件也是利用谷歌3月11日声明中提到的那个MHTML的弱点来进行攻击的。下面这个图可以清楚地显示恶意软件的整个攻击过程:


 你可以从整个图看到,储存这个恶意软件的服务器是由一个叫DYX NOC(IP: 219.90.118.182)的实体负责。换句话说,这台服务器位于香港荃湾。沃尔顿告诉半岛电视台,他觉得,这个IP地址有可以溯回到位于北京的网络犯罪的管理者的链接。(顺便说下,他已经在3月22日向香港当局告知了这次攻击。)

你也可以从图表中看出,一旦你的cookie被窃取,这些信息就会被发到下面三个Gmail地址:taiwanorthodoxx-at-gmail.com,freeofchina2008-at-gmail.com,和 tony.f.brown-at-gmail.com。


真希望谷歌已经关闭了这些黑客正在使用的账户。也希望它能很快告诉公众更多关于他们3月11日的博客的说明。这样我们就会知道谷歌提到的活动人士是否是中国的。如果不是,那看来不止一个国家的活动人士成了这个恶意软件的攻击对象。


**如果这篇博客让你突然感觉使用Gmail,或者云计算有点不安全,要知道谷歌最近推出了一个两步验证机制来连接你的账户。操作起来虽然有点麻烦,但是沃尔顿还是建议你使用这个验证机制,如果你想要最大可能防止别人窃取你的账户的话。

要翻墙?(发邮件到Gmail):ziyouhulianwangATgmail.com