中國試運轉進擊的網路巨砲, 拿台灣瀏覽器當砲彈;人權網站成砲灰

位於中國防火長城的 Great Cannon of China 如何運作? 採取守勢的防火長城 (Great Firewall of China) 已經無法滿足中國政府對網路世界的掌控慾。 最近網路巨砲 (Great Cannon) 上線試運轉, 顯示中國已有能力對全球任何一個主張言論與資訊自由的網站 (或者其他任何 「中共看不爽」 的網站) 全面炮火猛攻。
評論
評論

本文轉自 資訊人權貴ㄓ疑 ,Inside 獲授權轉載。

位於中國防火長城的 Great Cannon of China 如何運作? 採取守勢的防火長城 (Great Firewall of China) 已經無法滿足中國政府對網路世界的掌控慾。 最近網路巨砲 (Great Cannon) 上線試運轉, 顯示中國已有能力對全球任何一個主張言論與資訊自由的網站 (或者其他任何「中共看不爽」的網站) 全面炮火猛攻。 三月下旬, 程式設計師交換程式碼的網站 github 上面兩個與言論 / 上網自由相關的帳號 / 專案遭到 DDOS ( 分散式 阻斷服務攻擊 )。 原來是境外訪客造訪中國某些網站時, 位於防火長城附近的伺服器竄改百度的程式碼, 惡意地讓訪客變成不知情的共犯 --- 他們的瀏覽器會不斷地向 github 要求取得特定兩頁面的程式碼, 造成 github 流量驟增, 難以招架。 而臺灣訪客則佔了「不知情共犯」的最大宗。

遭到鎖定攻擊的專案計畫是 中国的网络审查纽约时报中文网 ——兩個 github 專案都映射了「中國老百姓不被允許看見」的網站。 (請比較一二月的封存頁面跟三月底的封存頁面。) 事件簡要過程請見 新唐人BBCarstechnica 報導。 惡意程式碼到底是由誰注入的? 來自各方的技術分析 [ Robert GrahamGreatFireErik Hjelmvik ] 共同指向隸屬於 中國聯通 China Unicom 管轄範圍內的機器。

上圖是我的簡單解說。 在中國, 很多網站都內嵌百度的流量統計 javascript 程式碼。 流量統計固然也有一點點隱私疑慮, 但那是另外的問題。 百度的流量統計基本上跟 google analytics 意思一樣, 目的是幫助被造訪的站長了解自己網站的哪些頁面、 哪些時段、 對哪些瀏覽器比較受歡迎。 一般正常狀況, 訪客造訪 (不論是中國境內或境外的) 某個「請百渡代為統計流量」的網站時, 就會被請求從百度載入一段無害的 javascript (js), 在訪客的瀏覽器上執行之後向百度登記造訪一次。 但是在這次的攻擊當中, 百度送出來的 (統計用) js 以及 (原本可能無害的) 商業廣告 js 走到中國骨幹網路要踏出國門之前, 就被隨機攔了下來。 約有 1.75% 的訪客會收到 竄改過的 js, 進入無窮迴圈, 無限期向受害網站 (github) 要求閱覽兩個特定頁面。 其餘 98.25% 的訪客則會收到正常的 js, 不參與 DDoS 攻擊。 也就是說, 如果有必要的話, 中國網路巨砲的火力還有潛力可以提升五六十倍。

位於中國防火長城的 Great Cannon of China 如何運作? CitizenLab 詳細版

上圖是加拿大多倫多大學公民實驗室的詳細解說。 他們長期關心公民權利與隱私相關的資訊網路科技, 先前曾經揭發許多國家政府用以監聽公民的 FinFisher, 以及 Nokia/RIM/ 蘋果的共犯關係。 針對此次事件, 他們也推出 研究報告 。 他們把中國新上線的這個技術稱為「The Great Cannon」(大伽農砲)。 也請見 「網路攻防戰」的中文摘要 , 以及 Dave Lin 的噗浪

CitizenLab 測試的兩個例子顯示: 網路巨砲跟防火長城都位於同一地點 --- 一個例子是在中國電信集團公司 (China Telecom) 另一個例子則是在中國聯通 (China Unicom) 的管轄範圍內。 兩者的程式碼有一些共同特性; 但看來是彼此獨立的兩個系統。 網路巨砲比較類似於 美國國安局的 Quantum 系統 , 都是國家級的網路攻擊工具。

不知情的幫兇來自哪些國家或地區? GreatFire.org 把伺服器記錄提供給 CitizenLab 分析。 被中國網路巨砲拿來當做砲彈的不知情訪客當中 (以不同的 ip 來算), 臺灣位居榜首, 其次是香港。 兩者加起來佔了全部砲彈流量的 2/3。 這很可以理解。 採用百度流量統計的網站, 多半是中國網站。 扣除 (不會被抓來當砲彈的) 境內訪客後, 中國網站的主要流量來源, 可以想像正是臺灣跟香港的訪客。

CitizenLab 並且做了一些政治及專利申請分析, 推測設計網路巨砲的單位很可能是建構防火長城的單位 --- 國家計算機網絡與信息安全管理中心 (National Computer Network and Information Security Management Center), 也就是防火長城之父方濱興主導的單位。

我個人則傾向相信 GreatFire.org 所做的推測 : 主導者是 2013 年才成立、 由習近平擔任組長的 中央網絡安全和信息化領導小組 。 GreatFire.org 並引用該小組辦公室主任 魯煒 自己的話來打中國政府的臉:

我們應該建立維護安全的網路秩序。 網路是全球分享資訊的平臺。 這是一個具有共同利益的社群。 網路犯罪、 駭客攻擊、 侵犯隱私等等議題挑戰著所有的國家。 在網路空間裡,「為了保護自己國家的安全而犧牲其他國家的安全」已經越來越不可行。 為了追逐自身的利益而丟棄他人的利益, 這是不切實際的做法。 中國也是駭客攻擊的受害者。 我們一直都堅定反對任何形式的網路攻擊。

當然, 身在臺灣的我們深深地了解到:「以某人自己說的話來打臉」只對那些有羞恥心、 願意認錯的人才有用。 對我們而言, 最迫切的實際行動可能是: 趕快開發軟體, 判讀並丟棄那些「由 Great Cannon of China 所產生、 惡意注入的封包」, 或是採取其他防範惡意 js 的措施, 以免日後再度成為不知情的幫兇。 如果重複發生, 臺灣一直都位居榜首, 那麼這將不僅僅是民眾浪費電腦資源的問題而已, 同時也事關著臺灣的國際形象。

此外, 這次試發功還算客氣。 我們過去太天真, 相信中國政府面對「屬於全球的網際網路」會自我節制, 所以完全不曾想像他們竟會 在國家骨幹網路的層級 對 境外 訪客植入 js 程式碼。 既然都已植入 js 程式碼了, 很自然的下一步就是掌控訪客的電腦。 從程式設計的角度來看, 要以相同的方式在毫無戒心的境外訪客的電腦裡植入惡意軟體 --- 例如把這些電腦都變成未來殭屍網路的生力軍,或是竊取個資 --- 這些都是件輕而易舉的事。

如果攻擊的對象是臺灣的網站呢? 就像 2010 年的 中韓潰客攻擊行政院 的事件, 或是在關鍵時刻 (公民運動期間?) 以網路巨砲攻擊某些關鍵網站? 如果臺灣自己的網站被來自臺灣島內的不知情共犯砲彈打翻, 那就真的令人哭笑不得了。

長遠看來, 如何因應中國改採攻勢的網路戰爭, 這將會是一個需要技術、 政治、 經濟多領域腦力激盪的巨大挑戰。 過去太多事件顯示: 比起提升資訊安全, 我們的行政院更有興趣的, 其實是 管制網路監聽公務員 。 民間如果沒有行動, 更別期待政府會正視這個問題。 希望臺灣還有夠多學者有心力、意願、勇氣可以關心評鑑點數以外、 真正影響你我未來的事情。


佈雲今日 ‧ 決勝未來──數位轉型的現在進行式! AWS 台灣雲端高峰會 8 月 10 日盛大登場

2022 AWS 台灣雲端高峰會將於 8 月 10 日在台北南港展覽二館盛大登場,聚焦雲端 9 大主題、超過 45 場產業與技術專題演講,為開發者與經理人提供深度交流機會,任何與雲端有所接觸的工作者都不容錯過。
評論
首途02.png
評論

AWS 公開年度雲端技術盛會── 2022 AWS 台灣雲端高峰會(AWS Summit Taiwan)即將在 8 月 10 日至 8 月 11 日於台北南港展覽館二館舉行!歷經新冠疫情紛擾,睽違兩年 AWS 台灣雲端高峰會即將重回實體舉行,讓每位參與者走入規劃豐富的實體專區與各路開發者深度共學。立即報名點此

今年主題「佈雲今日 ‧ 決勝未來」明顯表達數位轉型已是現在進行式。隨著新冠疫情及國際局勢改變的雙重影響,全球迎來的新常態經濟模式使雲端技術不再只是企業應變關鍵,更是走向安全、永續,以及鏈結未來的必經之途。因此,2022 AWS 台灣雲端高峰會中將展示當代最前瞻的雲端趨勢,帶領參與者運用現代化雲端洞悉市場數據,探索商業與技術的無限可能。

聚焦九大雲端主題:基礎設施、技術開發、數位轉型到產業實務面面俱到

photo credit:AWS

今年 AWS 台灣雲端高峰會不只集結領域中傑出的 AWS 技術專家、產業代表以及社群領袖,舉辦超過 45 場的產業及技術專題演講,分享最佳實踐案例、 Demo 實機展演和客戶案例分析,還規劃包含證照認證、實作演練、 CISO 實戰工作坊等與 AWS 相關課程及工作坊。除此之外,會場也設置「AWS Game day & Developer Lounge」與「新創焦點」兩大專區,讓會眾能在精心規劃的空間內與其他開發者、新創公司透過高度互動的競賽與短講,深度交流彼此技術與經驗。

立即報名:2022 AWS 台灣雲端高峰會

2022 年, AWS 台灣雲端高峰會致力打造深度交流的產業平台,聚焦雲端技術的九大面向,搭配各具特色的活動設計,從基礎設施、技術開發、數位轉型到產業實務面面俱到。不僅為 C-level 與資深技術人員、企業經營與 IT 決策與管理者精心規劃議題內容,也在特別企劃內容中,為 IT Pro 、解決方案架構師、開發人員、工程師與維運管理人員提供最佳實務經驗,讓無論 AWS 初學使用者還是資深產業經理人,都能在高峰會中吸收新知、了解趨勢,提升自我能力與視野。

無分初學大師,只要接觸雲端,你就應該參加 AWS 台灣雲端高峰會

符合以下關鍵字之一,你就應該參與 AWS 台灣雲端高峰會:

  • 學無止盡-開發者、工程師、架構師
  • 商業創新開發-新創團隊技術團隊成員
  • 最佳化生產力- IT 專業人員、技術支援經理
  • 掌握趨勢-創辦人、經營決策者
  • 自我精進-學生、教職員、研究員
  • 洞見趨勢-任何關注雲端趨勢者

AWS 台灣雲端高峰會首日聚焦雲端服務、開發技術及新創,以技術相關內容為主,較適合具備初級主題知識之開發人員、工程師與 IT 專業人員;次日則圍繞產業解決方案提供、數位轉型等,以應用相關內容為主,較適合欲了解雲端技術如何為企業經營加分之經營決策者、解決方案架構師以及系統管理員。

立即報名:2022 AWS 台灣雲端高峰會

如此縝密的規劃,無論是初上雲端的新手,還是乘雲縱橫產業多年的技術大師,甚至是非技術相關人士,都能在高峰會中依照自身工作職掌和興趣,安排個人化的專屬議程,從不同主題和技術能力演講中,滿足個人技術或視野的成長。

最重要的是, 2022 AWS 雲端高峰會為免費參加,絕對是任何需要開拓雲端新經濟、自我加值的工作者不可錯過的年度盛會。

玩轉雲端核心技術! AWS DeepRacer 人工智慧賽車同步登場

photo credit:AWS

每年與台灣雲端高峰會共同舉行的「AWS DeepRacer 智慧自駕車競賽」當然也不會缺席。 AWS DeepRacer 是 Amazon 產品背後所運用之人工智慧和機器學習等核心技術的具體化身,不僅是全球首個以自駕車競賽為主題賽車聯盟,也是機器學習(ML)與強化學習(RL)最友善、有趣、刺激的學習課程。

競賽設計不只替雲端技術增添不少趣味,激起各方開發者爭奪獎品、獲取冠軍榮耀的鬥志,搭配 AWS 所提供的免費入門課程及學習資源,更創造出技術學習與推廣的友善環境,也是AWS 送給所有工程師最棒的寓教於樂場域。

精彩豐富的專題講座與寓教於樂的刺激競賽還不夠嗎?活動現場還有抽獎活動、深度參會集點以及問卷好禮,提早報到者再加碼早鳥禮!

立即報名豐富有趣的 2022 AWS 台灣雲端高峰會!