台灣駭客年會第十四屆 道高一尺,牆高一丈:東亞網絡封鎖和反對鎖技術演進

講者:蕭強(加州大學柏克萊分校助理教授,中國防火長城外中文新聞《中國數字時代》創辦人)

主持人:我想我們不用介紹為什麼這個主題定「東亞」⋯⋯這個世界上網絡封鎖最風起雲湧登峰造極的地區哈哈哈哈。

講者:我一輩子都在對抗中國網絡封鎖,這個題目本來主辦單位給我的是「牆高一尺,道高一丈」,可我改了一下,因為我對抗了一輩子老覺得這防火長城比我厲害。(歎)

《中國數字時代》專門搜羅一些被中國牆掉或下架的網站新聞,然後⋯⋯當然我們也馬上被牆掉了。(眾笑)這主要是給中國人看的,所以抱歉,他只有簡體中文。

我從1989年就離開中國,到了美國,這當然跟當時的時代背景有關。

中國的網絡審查組織很多,國務院新聞辦公室,國家信息化工作辦公室,公安部,國家計算機網絡與信息安全管理中心⋯⋯大家注意這名字最長的,簡稱安管中心,CNCERT、CC,你上網搜搜得到他的資料,但絕對都是表面的資訊,他不會告訴你他背後的真正業務。他的綽號就叫 ,GFW 大家都知道是什麼的簡稱,great fire wall 大防火長城。但是因為這樣直接提一定會被牆掉,所以大家又給他取了個暱稱叫功夫網(眾笑)。

設計中國防火長城的始作俑者叫方濱興,中國網民最恨的人,雖然他只是做技術的部分。防火長城至今存在。防火長城部門其實只是聽令行事,政府公關部門網監部門等等給他指令,他只負責具體執行。

稍微講一下,我這個題目訂出來之後我上網一搜,發現同一個標題!端傳媒——台灣大家也都知道端傳媒對吧?——已經用同一個標題做了一個報導,還很清楚!我乾脆直接把圖拿過來用。

很多很多人會用同個位址上網,所有人都沒事,但其中一個人在上網的時候連到了敏感網站,這時整個位址(可能上千人同時使用)都會被封掉。這情形最常就是學校宿舍,所以很多學生上網一下子突然就給斷網了,這時候呢大家全都知道是怎馬回事兒,就出去泡一杯方便麵,然後回來再上。(眾笑)

但還有其他更多事情,例如用機器學習、人工智能來對每一個通往國外的流量做監控掌握。

說得簡單一點,就是他會入侵防禦系統,並進行攻擊。

封禁的標準隨時都在變,上面會一直不停發一些要封掉的對象,長官層層批准,然後就要封。說穿了就是一個不斷變化的關鍵字列表,標準永遠摸不定。

封鎖的方式很多,一開始風險不大的話會最細節地一個關鍵字一個關鍵字封鎖,不用花太大成本,再來是 DNS 封鎖,但也有上面那種,直接封鎖 IP 的,誤傷了很多人他也不管,反正也沒人跟中國抗議。抗議了他也不管(眾笑)

之前有個號稱是 GFW 的神秘人士突然出現在中國的網路上,說要回答大家的問題,當時在網絡上爆炸性的討論,問到組織系統、薪水等等,他說中間互相關係很不透明,甚至有一些工作人員不知道自己在 GFW 工作。

我們也搞了一個網站叫 Hiking GFW,來列出中國的被牆掉的網站。

我學生們還搞了個分析,分門別類,看哪些網站會被封鎖,發現有很多網站被封鎖的原因真的莫名其妙!看起來可能是被誤封的,就是中國不管誤傷也一定要封到他要封的東西的結果。那我們要怎麼找到他們真正想封的東西呢?我們繼續分析,發現大多數被多重方式封鎖的,例如關鍵字封鎖、DNS 污染跟 IP 封鎖全上了,通常就不是誤封,就真的是中國政府要封的東西。

簡單介紹一下封禁技術:第一個 IP 封鎖
他不是用傳統的 ACL 封鎖,是透過路由擴散技術。

這個是重大的發明,受到中國政府大大褒獎。

第二個入侵檢測,會做深度跟淺度的數據包檢測,淺度的話可能只看封包的收發人是誰,就決定是否放行,深度的話就會直接探測信息內容。

很多翻牆軟件都受到這個影響。所以我介紹一下翻牆原理,主要分成兩個,一個是 proxy,另一個是加密通道。幾乎所有翻牆原理就是這兩個了,但是防火長城一直在學習,早期可以用,現在不行了,他已經可以看出你假裝成 SSH 的流量,但我從你的流量、時間等,我看出你在翻牆!我就可以干擾你把你封掉。

在過去十年出現了大量的翻牆工具,但經常要跟防火長城對抗,這些翻牆工具常常又都會被毀掉。

但是,防火長城對這些翻牆工具都會針對性封鎖。
1. 大規模使用就會被封
2. 特定時期特定使用就會被封(例如六四的時候等等)
3. 明顯免費的翻牆會被封鎖
⋯⋯各種原因,翻牆工具一直都會被針對性封鎖。

TOR 之前是一個很好用的翻牆工具,他經過六七年的奮戰,現在已經基本不能用了。他之前開發出了一個很好用的偽裝工具,但只要大約一年就被防火長城完全破解。所以現在在中國 TOR 幾乎不能用了。

連帶自由 Collateral Freedom
用科技硬碰硬沒什麼用,因為你玩不贏他。要用一些技巧來讓他不容易被封,例如把一些他一定不希望封鎖、不能封鎖、不敢封鎖的東西,跟我們想要揭露的訊息綁在一起,這種方法就可能讓它不會被封鎖。這叫做連帶自由。

我們之前用的方法叫做域前置 Domain Fronting,你用大型服務商、摻雜一些他要的信息,這就會讓他的判斷機器在當下「看不出到底這個要不要封掉」,那就會被放行。

可是他也有一些問題,現在 google 宣布不支持這個技術,amazon 在今年四月也宣布不再支援。導致我們開發出來的這個技術現在不容易用了。

ShadowSocks是一個新的翻牆,Clowwindy 做的,是一個中國程序員。他覺得不可能玩過機器學習,要用別的方式。他用了某一種方式讓信息加密,請求與回覆可以不經過防火長城,於是他就開始跟防火長城開始奮戰。現在中國不知道有多少人都在使用這個翻牆方式。

GFW 當然會用各種方式去偵測,縱使你加密他還是可以檢測得到,你這流量太大太久了縱使我看你加密的信息看不出你去哪,我就覺你在翻牆!

但 ShadowSocks 的處理方式非常靈活,目前為止還沒有被破解,所以是目前大家偏好的穩定方式。

給各位看看中國防火長城使用的主要方法跟成本。之前 github 很皮,他放了一個網站,專放被中國牆掉的網站,第一個就是中國數字時代,其他還有德國之聲、BBC 中文網等。這馬上就被中國防火長城用大砲攻擊。

也有很多別人在進行很多努力。最重要的就是中國的很多程序員,他們最需要也最有動力跟中國防火長城搏鬥。編程隨想是一個不知道是誰的人,只知道他在中國境內,但是在中國境外開了自己的博客。他在上面持續地更新很多非常優質的文章。現在在中國不翻牆的地方還是可以看到他的名字,大家都知道他。

最後我講一下關於防火長城未來的想法。

臉書非常想進入中國,中國有一位高官超級受寵的時候號稱中國網路沙皇,臉書的馬克祖克柏非常非常的討好他,百般地示好,在那時他們訪問美國辦公室時馬克祖克柏還放了一本習近平的書放在桌上。可惜中國也不賞這個臉。臉書也不是唯一一家,蘋果現在也把 iCloud 放在貴州了,網上貴州是一個中共貴州省的政府控管的企業!

這些非中國的單位,一直想要跟中國互動。所以這一切都讓中國的控制可以伸到中國以外的地方。像是大家都知道的惡名昭彰的微信,就算你是在中國以外的地方使用微信也無法倖免!

2015 年 8 月 20-25 號一週之內,突然中國公安開始大量地開始動作,包含 ShadowSocks 創辦人在內的許多在跟中國防火長城對抗的人都被約談、被抓、被判刑。他就是要你不可以用 VPN,就算是企業或商務需要而要用的,你也要用政府許可使用的特定幾家 VPN。

今天的翻牆技術怎麼辦?

我就只說一件事:今天的中國,仍然有數以百萬計以上的人在使用 VPN。他們怎麼辦的?連帶自由等舊技術很快地已經不行了,未來的翻牆取向,雖然還不知道具體是什麼方法,但一定要更加去中心化。

回到題目。我為什麼說牆高一丈呢?因為牆真的愈來愈高。

這個是 google 透明報告中,用簡體中文搜尋估狗的人數。簡體中文的絕大多數用戶是中國人,雖然也有海外中國人,但這個人數大致上還是可以正比於中國境內的翻牆人數。

你看他愈來愈少。就代表中國的牆愈蓋愈高。

雖然如此,但我還是不願意給大家一個悲觀的結尾。最後一個訊息:我們中國數字時代,不論防火長城多少封禁,我們的用戶人數都還是穩定地在成長!這個需求永遠是存在的,我們需要更多志同道合的人,加入我們,跟我們一起繼續奮戰。