龍泉墨客:谷歌雖拒中共證書 隱患仍在

龍泉墨客

人氣 20
標籤:

【大紀元2015年04月15日訊】眾所周知,谷歌(Google)以及火狐瀏覽器(Firefox)母公司Mozilla相繼宣佈不再信任由中國互聯網絡信息中心 (CNNIC)簽發的網站信任證書。表面看似乎是谷歌等大公司和中共之間的矛盾,事實上由於中共長久以來完全踐踏互聯網基本道德,早在2010年中國IT界就發起了民間自我清除CNNIC根證書(即讓瀏覽器拒絕信任CNNIC簽發的證書)。就目前而言,CNNIC根證書仍預裝在微軟Windows操作系統、蘋果OS X、以及蘋果iOS設備中。網民如果不自己動手清理,面臨的可能危險是:通過https加密連接登錄銀行、Email網站時,一旦遭到黑客利用CNNIC 頒發的網站證書進行SSL中間人攻擊時(關於甚麼是SSL「中間人攻擊」,稍後再敘),瀏覽器卻信任該偽證書而不會警告,造成洩露密碼等敏感信息。

誰最可能發起大規模「中間人」攻擊?

普通網民未來面臨中間人攻擊的危險可能會來自某些黑客,但也不排除中共直接參與攻擊的可能。還有一種難以預料的情況是,因為中共機構處處滲透腐敗,CNNIC某些官員可能接受巨額賄賂而向黑客頒發可用於攻擊銀行的假證書。一旦後者發生,受害者就不局限於中國大陸用戶了。

這並不是危言聳聽。事實上,中國網絡審查監測組織GreatFire.org(前不久編程和代碼托管網站Github遭到中共DDoS攻擊, 就是因為GreatFire.org為大陸網民製作的一些鏡像站點保存於Github)曾經在2014年9月4日發佈報告說「谷歌在中國教育 網遭國家級中間人攻擊」,誰有能力發動「國家級中間人攻擊」,當然是不言自明的。在過去兩年中,大陸許多網民在微博上報告過訪問蘋果 iCloud、Yahoo、Google、Github、outLook遭到中間人攻擊的案例。有分析指同一時間對分佈在不同地域、不同網絡 的用戶發起中間人攻擊不是個別黑客所能。早在在2013年1月,GreatFire.org就報導說,中國政府發動了針對Github的中間人攻擊,波及全國。對這次攻擊,瑞典網絡安全公司Netresec曾做過有關GitHub在中國遭中間人攻擊的全面分析,指出攻擊發生在中國網絡骨幹的中心位置而不是局域服務商。因此GreatFire.org的指控是有根據的。

「SSL中間人攻擊」是怎麼回事?

我們訪問銀行網站或者Gmail網站的時候都會在瀏覽器上看到一個鎖頭,表示網站和瀏覽器之間的數據是可靠加密的。這個加密的基礎是「信任」。我們打個極簡化的比方。Alice從中國大陸要加密訪問Gmail網站,Gmail先發給Alice一個SSL加密證書——你可以把它想像為一個帶鎖的信封(鑰匙在Gmail手中),Alice可以把敏感信息用這個證書加密(把信息裝好用鎖頭鎖住)送給Gmail。

但Alice和Gmail網站之間還隔著中共的GFW防火牆。GFW有能力把Gmail的帶鎖信封(SSL證書)截住,然後狸貓換太子,把GFW自己偽造的一個信封和鎖(鑰匙在GFW自己手中)轉發給Alice,等Alice傻乎乎地把密碼用這個偽造的鎖鎖住發來,GFW就截住打開鎖(因為它有鑰匙)偷看密碼。然後再把密碼裝進Gmail原來的信封鎖好發給Gmail。這樣Alice和Gmail都不知道中間發生了狸貓換太子,可是他們之間的「加密」通訊卻被GFW完全破解。這就相當於GFW發起的「SSL中間人攻擊」。很顯然,中間人攻擊發起者必須有能力截斷並修改用戶和網站之間的通訊。

為了防止中間人攻擊,網站SSL安全證書必須經過權威認證機構(CA)簽名認證。這好比Gmail發給Alice的鎖頭上面打上了一個不可偽造的鋼印。鋼印由具有公信力的權威機構(叫做CA),比如Verisign打上:茲證明該鎖頭經Verisign驗證,確屬Gmail無疑。 這樣Alice接到鎖的時候一看有Verisgn鋼印證明確屬Gmail,這就放心了。如果Alice接到的是GFW偽造的鎖,上面沒有erisgn的鋼印,就要警覺了(相當於瀏覽器跳出安全證書警告)。鋼印也可以由Verisign授權的次級機構打上。現在的問題是,中共防火牆GFW的同夥CNNIC也有資格打鋼印而且具有最高權限,能授權次級機構打鋼印。並且CNNIC的鋼印(相當於根證書)被微軟的IE、 蘋果的Safari信任。也就是說,GFW對Gmail和Alice之間通訊進行中間人攻擊的時候,在更換的假鎖頭上,可以打上一個 CNNIC的鋼印:茲證明該鎖頭經CNNIC驗證,確屬Gmail。假定Alice信任CNNIC的鋼印(比如Alice用了蘋果手 機,Safari默認是信任CNNIC的數字認證),誤以為那假鎖頭真的是Gmail的,那麼所謂的加密通訊就全完了。

可見https的加密系統,基礎是「信任」。現在谷歌宣佈發現了偽造的谷歌安全證書,或者說偽造的谷歌鎖頭,上面帶有CNNIC授權的次級認證機構MCS打的鋼印。雖然假證書不是CNNIC頒發的,但是授權他人頒發證書是用自己的信譽作為抵押的:MCS頒發的證書上,有CNNIC的數字簽名,表示「CNNIC信任MCS絕不會造假」。這裡的信任連帶關係是,只要信任CNNIC就可以信任MCS。所以反過來講,如果MCS不可信,那麼CNNIC也不可信。這就是為甚麼谷歌、Mozilla相繼宣佈拒絕信任CNNIC的根證書。更何況,如Greatfire所報告,中共一直在國家骨幹網上不斷針對谷歌等發起中間人攻擊。也就是中共一直有犯罪前科和動機。

誰會成為中間人攻擊的受害者?

谷歌退出中國前和中共發生的摩擦事件之一,是發現一些人權活動人士和外國記者的Gmail被攻擊。這些攻擊以及後來對outlook、 Gmail等的大規模中間人攻擊,明眼人一看就知道中共脫不了干係。但這並不表明中間人攻擊的受害者僅局限於那些中共不喜歡的人(如人權活動人士和外國記者等)。

中共GFW防火牆從一開始運作就採用任何手段,沒有任何底線。比如中共發明的封網方法DNS域名投毒,就是完全踐踏互聯網基本準則。有西方人看到被中共封鎖的網站清單之後,感覺這是一個瘋狂的政府。維基百科「防火長城」條目中列舉的被封網站,不但包括幾乎所有的國際媒體,大部份社交類網如Facebook,Twitter,Youtube等、幾乎所有的文件分享網站如Dropbox等,還包括諾貝爾獎多個官方網站、頂級科學雜誌《科學》的部份頁面、香港及台灣的購物網站(如雅虎香港拍賣和奇摩拍賣、博客來、三民書局等)、以及時斷時續地封鎖過代碼托管網站 SourceForge,Github,編程語言Python下載頁面,操作系統FreeBSD網站,國際知名的互聯網電影數據庫(IMDB)等等。

因此,就如本人在「中共超限戰試水受害恐波及全球」一文中所言,中共「超限戰」是沒有任何顧忌的,受害者完全可以是毫不相關的無辜平民。

怎樣防止「中間人攻擊」?

發動SSL「中間人攻擊」有一個前提,就是攻擊者能夠截斷、更改網絡數據。中國大陸的網民訪問海外的SSL加密網站時,數據必須經過中共防火牆GFW,這就面臨遭到GFW的「中間人攻擊」的危險。海外網民從家裏訪問銀行網站通常是不會遭到「中間人攻擊」的。但是使用公共Wifi上 網(比如咖啡店、機場、旅館的Wifi)就很難說了。因為這些公共Wifi通常很容易被駭客入侵。假如有駭客組織買通中共CNNIC官員,從而獲得偽造證書,那麼這種中間人攻擊完全可以發生在海外,而且是很難被用戶發覺的。

但也不是沒有辦法。網民可以做的防護,是自己手動刪除中共CNNIC根證書。具體方法可以在網上搜索「刪除CNNIC根證書」。但是蘋果便攜設備iOS中的CNNIC根證書無法刪除(除非設備已經越獄)。刪除CNNIC根證書之後,要確保對瀏覽器警告的https鏈接,不能點擊「繼續」。

還有一個辦法就是,大陸網民訪問海外網站使用可靠的VPN(虛擬私人網絡)服務,以及某些加密翻牆軟件,如自由門、ShadowSocks等等,也可以抵禦中間人攻擊。海外網民使用公共Wifi的時候,也可以用VPN服務來保護自己。這種情況下用蘋果iOS設備連接公共Wifi也 是安全的。

相關新聞
最適合科技人才發展的4座美國城市
亞軍:停網
亞軍:停網 人氣 14
20個項目需要 谷歌自行研發電池
美國Sprint擬提供免費國際數據漫遊
紀元商城
這種肥皂不會耗損 永遠陪伴你
每日更新:春天裡的素色清道夫 不知疲倦
這種杯子為何如此火爆 加州女子偷65個被捕
這些亞馬遜好物 讓你生活品質大提升
如果您有新聞線索或資料給大紀元,請進入安全投稿爆料平台
評論