可以不要封鎖掰噗嗎
美國資訊安全公司研究指出,中國駭客已能繞過兩個被廣泛用來保護網路使用者隱私的工具:「虛擬私有網路」(VPN)和「洋蔥瀏覽器」(TOR),找出被中國當局視為有害的網頁內容產製者和閱讀者,亦即中國網路用戶或記者即便利用這兩種工具繞過政府網路監視和封鎖,瀏覽敏感網站,也難保身分不會曝光。研究人員並直指,這些駭客應是接受中國政府指示。
紐約時報報導,VPN和TOR都是透過將使用者電腦的網路連線轉向全球多個不同節點,以隱匿其真正位址。但矽谷資安公司AlienVault研究員布萊斯科(Jaime Blasco)說,現在中國駭客利用「水坑攻擊法」(watering hole attack)以及中國十五大熱門網站的「JSONP綁架漏洞」,已能繞過這些工具的隱私保護。
水坑攻擊法即透過一些網站,鎖定常使用該網站的特定族群。在此案例中,駭客入侵維吾爾、伊斯蘭、媒體和非政府組織常用的中文網站,植入惡意程式碼,一旦目標族群使用這些網站,就會被病毒感染。
布萊斯科說,這類攻擊格外嚴重之處在於,一旦被攻擊者登入存有JSONP漏洞的中國十五大網路服務業,如百度、淘寶、QQ、新浪、搜狐、人人、攜程旅行網等,駭客即可蒐集他們的個人資料,甚至追蹤他們瀏覽過網頁的歷史資料,如暫存檔(cookie),即使用戶是透過TOR或VPN,也會被過濾出身分。
JSONP被廣泛用來取得跨網域資料,可繞過瀏覽器的「同網域政策」,卻可能導致不同網域間的資料外洩,攻擊者藉此蒐集使用者資料後,傳至受其控制的伺服器。
布萊斯科說,JSONP漏洞在二○一三年就被發現並公開,但受影響的中國各大網站一直未予修補。研究發現攻擊者鎖定極小群人,由於未從其所蒐集的資料中獲取金融利益,顯然是要揭露造訪某些網站的用戶身分。
紐時指出,現任中國國家主席二○一二年底掌權後,就展露對於如何管理網路的興趣,成立並領導「中共中央網絡安全和信息化領導小組」,賦予該單位廣泛權力。布萊斯科還未能確定這些駭客的身分,但是從其攻擊對象、使用手法之高明來看,「他們或許是受中國政府指示」。
中共:不鎖VPN啦,大家盡量翻吧!這樣我們才能抓到人。[解放軍表情] (設計對白)