从2014年8月28日起,有网友在微博和Google+上报告说,当部分大陆网友试图在中国教育网(CERNET)内连接google.com和google.com.hk等网页时,均收到SSL证书错误的提示(SSL证书是用于加密HTTP数据传输的证明)。这意味着谷歌在教育网上受到中间人攻击(MITM attack)。

从今年6月4日开始,谷歌的绝大多数服务在中国遭封锁,但在中国教育科研网内并未受到干扰。在新学期开学之际,谷歌在教育网上遭到中间人攻击。中国网络审查监测组织Greatfire相信,攻击是由中国政府发起的。

在维基百科上,将“中间人攻击”的定义为一种积极的监听:

中间人攻击是指,攻击者与通讯的两端分别建立独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。在中间人攻击中,攻击者可以拦截通讯双方的通话并插入新的内容。

动机

Greatfire相信,当局有足够的动机,对谷歌发动中间人攻击。谷歌于2014年3月12日开始开始对中国以及全球各地的默认搜索启用https加密搜索。换句话说,用户与谷歌之间的信息传输都默认加密。只有终端用户和谷歌服务器知道所搜索并被返回的内容。中国的防火墙只能看到用户连接上了谷歌的服务器,并不知道传输的数据内容。这也意味着,当局无法对谷歌进行逐条封锁,因此只能将谷歌全盘封锁。到目前为止,这种封锁发生在中国的公共互联网上,但还未发生在教育网中。

中国政府深知,如果中国要在科研领域取得进展和创新,中国的科研人员必须能够通过谷歌来连接到大量的信息。也正因为这个原因,中国教育网长期都少受到网络审查的干扰。在教育网内,中国用户深知能使用早已在中国被封锁的视频网站Youtube和社交媒体Google+。与此形成强烈对比的是,在中国的公共网络上,谷歌学术搜索被封,该网站的中文版将用户导流到香港版的站点上,但香港版的谷歌学术搜索也在大陆被封。

在上个月之前,在教育网上连接谷歌几乎并未遭到干扰。但本届政府已展示出其在各个战线上控制互联网与信息的决心。当局并没有在教育网上直接封锁谷歌,因为这很可能招致全国学生、教师以及科研人员的反感。当局选择在教育网内对谷歌发动中间人攻击,这样一来,学生和科研人员能继续使用谷歌,而当局又可以监听并有选择地拦截搜索请求以及结果。

这并非中国当局首次发动中间人攻击。在2013年1月,中国政府曾发动了针对Github的中间人攻击,波及全国。

攻击会再次发生吗?

Greatfire表示,由于加密的网络服务增加,当局很可能会更多地使用中间人攻击。

攻击细节

已有多名用户报告,在教育网内连接谷歌均收到伪造地SSL证书。软件安全公司Netresec曾做过有关GItHub在中国遭中间人攻击地全面分析。Netresec分析了Greatfire发送的以下截图后表示,所有证据表明,中国教育网与谷歌之间地信息交通正在受到中间人攻击。发动中间人攻击地机器很可能在教育网与其他网络地对等连接处发送数据帧。Netresec将在近期内发布全面分析报告。

Greatfire采用网民的以下报告来进行分析。Solidot的这篇报道也引用了同样的报告。

pngbase642042e733ef7618b1

这个截图显示,当用户使用Chrome浏览器连接谷歌时,收到了SSL证书错误的提示。由于谷歌启用了强制安全传输(HSTS),Chrome和Firefox浏览器禁止用户避开这个提示。

该用户还比较了他在正常连接情况下收到的证书(左)和在遭中间人攻击情况下连接时收到的证书(右)。

pngbase648406f7ec4c5ec144

Google+上的相关报道

https://plus.google.com/u/0/115822850906053020654/posts/EGW4NEd7z3N

https://plus.google.com/+duffJiang/posts/Dk5LrD7CiWM

用户该怎么做

当你看到证书错误提示时,千万不要将其点开。用户应该使用Firefox或Chrome浏览器,这两个浏览器禁止用户点开启用了强制安全传输的网站(如谷歌和Github)。如果你点开了警告,你的谷歌账户凭据信息可能被盗窃,这意味这你的Gmail邮件可以被攻击者一览无遗。

用户可以通过谷歌的镜像网站来连接谷歌。谷歌在6月份被中国封锁后,Greatfire设立了一个谷歌镜像网站。到目前为止,已有超过100万中国用户使用了我们的“自由谷歌”网站和其他无法在中国被封锁的镜像

本文英文版原发表于GreatFire上,中文版由泡泡网编译首发