科学上网

上个月底，中国开始利用大量网络流量冲击美国网站，此举似乎是为了阻止那些促使中国互联网用户可以浏览在国内遭到屏蔽的网站的服务。初步的安全报告显示，中国利用自己的互联网过滤系统“防火长城”(Great Firewall)，将大量数据流量重新定向到目标网站，进而冲垮网站的服务。如今，加州大学伯克利分校(University of California, Berkeley)和多伦多大学(University of Toronto)的研究人员表示，中国利用的不是“防火长城”，而是一种强大的新武器，他们称之为“大炮”(Great Cannon)。研究人员称，“大炮”系统被用来拦截百度网站的流量和广告流量。百度是中国最大的搜索引擎公司。研究人员在周五发表报告称，“大炮”使得中国能够在外国网络流量流向中国网站时进行拦截，注入恶意代码，然后按照北京方面的意图，将这些流量重新定向实现其他目的。他们表示，这种系统被用来拦截中国最大的搜索引擎百度的网站流量及广告流量，然后利用这些流量冲击GitHub和GreatFire.org，前者是一个广受程序员欢迎的网站，后者是一家非营利性组织，运营着被中国屏蔽网站的镜像。研究人员表示，周四，针对这些服务的攻击仍在持续，尽管两个网站似乎都在正常运转。但研究人员表示，这种系统可能拥有更强大的能力。经过一些调整，“大炮”就可以被用于监视任何一个人，只要他碰巧浏览了托管在中国电脑上的内容，甚至是访问了包含中国广告的外国网站。“‘大炮’的行动部署代表着国家级的信息控制明显升级，”研究人员在报告中写道。他们表示，这是“广泛、公开地运用攻击手段来实行审查的常态化”。之前曾对政府监听工具开展过大量研究的研究人员发现，尽管基础设施和代码与“防火长城”存在相似之处，但相关攻击来自另外一种设备。该设备不仅具备窥探互联网流量的能力，还能在所谓的“中间人攻击”中大规模地操纵互联网流量，并将其指向任何网站。报告称，中国新采用的互联网武器，与美国国家安全局（National Security Agency，简称NSA）与英国对等机构政府通讯总部（Government Communications Headquarters，简称GCHQ）共同开发和使用的一个系统类似。美国前情报机构承包商雇员爱德华·J·斯诺登(Edward J.

谷歌于2015年4月1日宣布，他们将不再承认CNNIC根和EV证书颁发机构（CAs）。在第二天，Mozilla也发表博文称：CNNIC给其他公司发行不受约束的中间证书是“令人震惊的做法”，而Mozilla的产品将不再信任由CNNIC根颁发的任何证书。 Mozilla还发表了关于他们的更详细的报告。在谷歌和Mozilla于2015年3月23日曝光了几个谷歌域名使用了未经批准的数字证书之后，CNNIC并未发表任何声明。CNNIC身为证书颁发机构，却一直在实施中国的网络审查。CNNIC不仅曾是，现在也是，并且将来还是会继续实施中国的互联网审查。不出意外，上述关于4月1日和2日的新闻在中国的社交媒体和传统媒体上被封杀了。下面是关于这些公告的微博截图。请注意，在第一篇关于谷歌全面撤销CNNIC的根证书的截图中，下方有三个按钮，而在第二个截图中却有四个按钮，很明显能看出第一篇微博的转发功能消失了，可见中国当局正在如何防止负面信息蔓延上变得越来越有创意！最后这篇微博的命运和往常一样，被当局完全删除了。即便在传统媒体网站上也有一些详细介绍了CNNIC对此“毫不知情”的报道，也已经被封杀。网易的报道：“Chrome和Mozilla撤销了CNNIC CA”在发布后2小时之内就被删除。网易是中国最大的互联网服务提供商之一。URL：http://tech.163.com/15/0403/08/AM8VPOLJ000915BF.html新浪的报道：“CNNIC认为谷歌的决定是不可理解和不可接受的”被删除。新浪网是中国最大的门户网站之一。URL: http://tech.sina.com.cn/i/2015-04-02/doc-ichmifpy5387951.shtml搜狐的报道：“CNNIC谴责谷歌”已被删除。搜狐在全网Alexa排名第44。URL: http://mt.sohu.com/20150402/n410717100.shtml开源中国的报道：“谷歌撤销CNNIC和EV根CA”被删除。开源中国是中国最大的开源社区。URL: http://www.oschina.net/news/61141/maintaining-digital-certificate-security财经网的报道：“谷歌撤销了CNNIC CA;，CNNIC认为这个决定无法理解“被删除。财经网是一个独立的媒体，涵盖社会，政治和经济问题。URL: http://tech.caijing.com.cn/20150402/3854320.shtml事实上，几乎所有关于CNNIC的负面报道在中国都被封杀了。这里有上周关于CNNIC CA中谷歌和Mozilla被大规模封杀的报道。CNNIC发表了一个声明说：“CNNIC对谷歌公司做出的决定表示难以理解和接受，并敦促谷歌公司充分考虑和保障用户权益”。我们同样可以说，CNNIC和中国网信办（CAC）对谷歌（和Facebook和Twitter，还有更多的网站）做出的决定对中国互联网用户来说是难以理解和接受的。谷歌充分考虑和保障了用户权益—撤销CNNIC是对世界各地用户隐私和安全的一个很大的进步。CNNIC实施（并试图掩盖）互联网审查，制作恶意软件，并且在安全方面一塌糊涂。中国网信办，它管理着CNNIC，发动了多次恶意的危险的攻击，危及用户的敏感信息，劫持用户执行DDoS攻击。很多精通技术的用户再多年前就把CNNIC从可信证书颁发机构移除了。我们欢迎谷歌和Mozilla从全球吊销CNNIC的决定。同时我们希望苹果和微软能够效仿谷歌和Mozilla的先见之明，立即撤销CNNIC来保护他们的用户。FAQ你觉得微软和苹果会跟风么？我们不指望苹果能在当下站出来做些事情。苹果向来顺从中国当局的要求，我们估计他们并没有这种觉悟。微软已经采取了重要措施来反击中国当局危险的行为，我们希望他们将继续保持。如果微软和苹果不作为，你会建议人们只使用Chrome和Firefox来浏览么？是的。这是什么意思？CNNIC将继续颁发证书么？也许吧。至少现在 Internet Explorer和Safari浏览器，以及其他中国的浏览器仍然信任CNNIC CA.谷歌和Mozilla会承认任何新的证书么？不会。如果谷歌，Mozilla，微软和苹果都撤销CNNIC了证书，这是否意味着中国将不能再搞MITM攻击了？以前所有的大规模MITM攻击都使用自签名证书。 GFW可以继续使用MITM使用自签名CA攻击网站。CNNIC需要多长时间才能找回到这些公司的信任？谷歌和Mozilla已经要求CNNIC实现证书的透明性。如果CNNIC能够通过，任何人都可以使用CNNIC实时颁发的证书。因此，即使我们可能不信任CNNIC，如果他们实现了证书的透明，我们也不反对。源地址：https://zh.greatfire.org/node/1752860翻墙技术博客订阅地址及社交帐号