中国, GitHub 和中间人攻击

Analyzer是GreatFire的第一个项目,在2011年上线后,它一如以往的为大家提供测试服务直至今日。现在,我们做了一个新的项目叫做"Blocky",欢迎大家试用这个全新的版本!如果您对此有任何意见和建议,请发送邮件到support@greatfire.org

发什么了什么?

在1月26日晚上8点,微博和Twitter上有报告指出中国用户在访问 Github.com的时候会出现警告错误的SSL证书的信息。这个证据,在后文有列出,表示这是因为中间人攻击造成的。

什么是中间人攻击?

维基百科将中间人攻击定义如下:

中间人攻击...是指攻击者与通讯的两端分别建立独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。在中间人攻击中,攻击者可以拦截通讯双方的通话并插入新的内容。

我们会在后文详细解释到底发什么了什么,但我们现探索为什么此次攻击发生了。

为什么?

在编写此文的时候,大概有大概有5,103,522个计划在GitHub上存储,虽然有许多对中国政府屏蔽/干扰Github理由的猜测,我们着重阐述一种猜测。注意,这完全是我们的猜测。

在1月25日,中间人攻击发生的前一天,以下请愿书的请愿书被递交在白宫官方网站WhiteHouse.gov上:

帮助建立互联网审查的人, 比如建立GFW的人, 应该被禁止入境美国.

这个请愿书在5天内获得了超过8000个签名。为了具体化这个请愿,内容包含了一个帮助中国互联网审查的嫌疑人清单。这个清单被建立在Github上。这个清单招来了上百个评论,大多数是中文评论。其中有一个评论包含了方滨兴-今任北京邮电大学校长,的家庭住址和身份证号码。他被称为GFW之父。

另一个评论链接到了一个更长的帮助建立GFW的人员名单,也是建立在Github上的

在此次事件一个星期前,Github在中国被完全屏蔽。但几天后,屏蔽就取消了。屏蔽的取消是因为意料之外的公众抗议,抗议可能导致中国政府重新考虑封锁Github的决定。中国的许多程序员依靠Github来分享代码。完全屏蔽Github会影响商业公司。Github可能太重要,不能完全屏蔽。

这让中国政府陷入两难的境地。他们不能选择性屏蔽部分页面,也不能检测用户在Github上到底在干什么。他们不能完全屏蔽Github,伤害了在中国的公司。这样中间人攻击是唯一可行的方案。利用伪造的SSL证书,中国政府能窃听并且监控加密的流量。

白宫网站的请愿书没有被屏蔽。但是Github上面的名单更引人瞩目,因为用户能在名单下面自由评论与合作。因为到Github的流量是加密的,中国政府取消了对Github的完全屏蔽,他们唯一的审查手段是中间人攻击了。

此次攻击发生在周六晚上。攻击非常粗糙,因为伪造的证书是自签名的,一定会立即被发现。此次攻击持续了1小时。整个过程看起来非常不理智。不难想象,一个或几个在名单上的被指为自由互联网敌人的人员私自决定采取行动。他们是GFW背后的技术人员,所以他们完全有能力进行此次攻击。他们也有动机,因为他们在白宫请愿书上被个人攻击了。他们没有其他任何手段,因为他们被禁止完全封锁Github.

虽然此次攻击事件非常段,但很多Github用户的密码可能已经被记录了。并且,访问部分URL(比如GFW人员清单)的IP地址已经被记录了。维护这些清单的人员应该当心。

这个清单仍然建在。无论白宫请愿书是否收集到100000个签名,从而出发白宫官方回应,这个请愿表明对帮助政府审查互联网的人会遭到越来越大的压力。这次对审查的愤怒,已经对审查人员的攻击可能给未来招聘审查技术人员带来困难。

中间人攻击发生过么?

胖鸭子的部落格这个博客描述了2011年对Skype登陆页面的中间人攻击,当时域名似乎被DNS劫持。这是一个更加粗糙的攻击,因为域名被劫持到“北京市公安局网络安全保卫处”公开注册的IP地址。这个攻击看起来没有必要,因为Skype在中国与Tom合作,将用户的所有数据都通过中文的服务器传输,用户信息被监控。但是,如果你通过https://login.skype.com 登陆和注册,你会使用中国境外的服务器。这个攻击可能是为了获得使用原版Skype的用户信息。

中间人攻击在叙利亚被使用,来监控活动,目标是激进分子的的Facebook。

这还会发生么?

Github是一个只支持HTTPS访问的网站。这意味着所有通讯的默认加密。只有终端用户和Github能知道哪些信息被上传和下载。GFW,虽然所有出入中国的流量都要经过,只知道用户正在获取从Github获取数据,但不知道具体是哪些数据。这意味着中国政府不能选择性的屏蔽部分Github页面,他们能做的只是完全屏蔽整个网站。

HTTPS有效的阻止了半个GFW的功能。我们已经阐述过为什么Gmail没有被完全屏蔽,因为Gmail过于重要,完全屏蔽它的后果太严重。苹果的App Store也是这样。现在看起来Github也加入到这个重要名单中了。其他类似的网站可能包括Google搜索和维基百科。如果每个网站都切换到HTTPS,中国政府只有两个手段。完全屏蔽或者完全不屏蔽。他们越害怕完全屏蔽带来的公众反应,他们的能做的就越少。中间人攻击看起来越来越有利。

从我们在后文呈现的中国浏览器份额来看,即使是无效的SSL政府也极可能被许多用户接受,因为错误警告非常弱。如果中间人攻击变得平常,越来越多的用户将学会重视这些警告信息,并可能切换到更加安全的浏览器,比如Google Chrome或者火狐。

没有任何浏览器会阻止中国政府能使用他们的终极武器:被中国互联网络信息中心(CNNIC)办法的证书。CNNIC被中国政府控制。它被所有主流浏览器信任为根证书颁发机构。如果它颁发一个伪造证书来使用中间热攻击,没有任何浏览器能提出警告。

比如这样一个针对Gmail的攻击,你能像平常一样成功登陆Gmail,没有任何警告信息*。但是,你的密码和所有行动都可能被中国政府监控。

更新:Google Chrome浏览器实际上能提出警告,并且阻止访问,如果Gmail的证书是被另一个根证书颁发机构颁发的。这对许多Google网站和其他一些大型的“已经提出要求”的网站有效。这个手段叫做ublic key pinning感谢N.S(右侧评论)提供的信息。

这样的攻击只有用户人工考察证书才能被发现。虽然大部分用户不会这样做,但是只要一个用户发现了,后果是国际性恶丑闻,并且会导致主流浏览器撤回对CNNIC的信任。所以政府在万不得已不会这样做。

同时,完全不信任CNNIC会进一步让中国互联网远离全球互联网。中国太大,不值得这样做。国际安全社会只是简单的希望CNNIC遵守规则。中国的激进分子依靠加密的Gmail和Github也依靠这样的希望。

如果你并不信任希望,并且希望人工删除CNNIC的证书,编程随想有一个移除教程。Greatfire.org的人员也不是信任中国政府的粉丝。我们的自动测试系统现在还不能检测SSL证书的状况,但是我们会努力把SSL证书检测也加入系统。

攻击的证据

我们的系统没有检测到这次攻击是如何发生的。我们依靠以下的线索。许多证据都在Solidot上被列出。这次对Github的攻击的间接证据是Github在被攻击前几天刚刚被完全封锁

Github在被攻击是并没有被DNS污染。我们系统的在同一天的测试(github.comhttps 版本)都表明在中国和美国访问都是同样的IP地址,Wireshark得到的数据也是这样。这表明,数据在传输中被干扰了。用户与Github的IP地址进行连接,但数据被干扰,用户获得的SSL证书不是真正的网站证书。

更多关于技术的讨论在YCombinator

1. 微博用户的截图

以下截图表明当用户试图用Chrome浏览器访问Github时受到证书错误的警告。

2. Wireshark的数据文件

被未知用户上传到 CloudShark. 我们的镜像

3. Twitter上的报告

4. 伪造的 SSL 证书

被未知用户上传到 MediaFire. 我们的镜像. 见以下的对照表格来观察原始证书和伪造证书的区别。

GitHub.com 真正的SSL证书伪造的 GitHub.com SSL 证书

那款浏览器能保护你?

中间人攻击并不是一个新现象。浏览器提供商早就提供了防御措施。这次的攻击非常粗糙-伪造的SSL证书没有被任何已知的证书颁发机构签名。几乎所有的浏览器都会对此报错,详情见以下截图。你可以尝试访问https://github.greatfire.org 来获得浏览器的报错警告。这样你就能知道受到攻击的用户会受到怎么样的警告了。

 

如果你想获得更加逼真的体验,请把以下字段加入到Hosts表中,然后访问https://github.com

54.235.205.92   github.com

 

使用以上的方法,我们对警告信息进行了截图,主要针对中国的主流的浏览器,以及Firefox和Chrome。后两者虽然只被中国少数用户使用,但更加安全。

所有的浏览器都会进行报错,但是如果你着急想上这个网站,并且不知道中间人攻击的后果,你可以会点击”继续“。如果你使用360安全浏览器或者使用IE6,这两者占到中国一半的市场,你只需要点击一次继续即可。之后你不会受到任何警告。当你同意第一次的警告后,360所谓的“安全浏览器”竟然还会显示一个绿色的钩,来表示此网站是安全的,

Chrome 和 Firefox 的安全措施最好。只要你在Github被攻击之前访问过它的网站,Chrome和Firefox不会让你跳过安全警告。但是用户可能会换一款浏览器来访问网站,来完成他们的工作

 首次访问再次访问
360安全浏览器 (27% 市场份额)

警告。一键继续。

无警告。绿色的勾表示安全证书是有效的。
 

IE6 (22%)

警告。一键继续。

无警告。

IE8 (21%)未测试。未测试。
IE9 (5%)

警告。一键继续。

在地址栏显示“证书错误”。

Safari (3%)

警告。一键继续。

无警告. 锁表示连接是安全的. 此外, 点击锁会显示正在使用加密通道的误导信息。

Chrome (2%)

警告。如果你在攻击之前访问过Github,则不可能继续。 “你不能继续,因为网站要求使用更严格的安全措施。”. 这是因为 HSTS.

如果你在攻击之前没访问过Github,则可能继续。

如果 HSTS 已启用,不可能继续。否则,可能继续。

Firefox (1%)

和Chrome一样. 如果你在攻击之前没访问过Github,建立一个安全例外是可能的, 但建立安全例外需要多次点击。

和Chrome一样。



 

评论

更多博客文章

订阅 email
显示 博客 | Google+ | Twitter | 全部 的消息. 使用 RSS 订阅我们的博客。

星期一, 11月 25, 2024

China’s New Effort to Achieve Cyber Sovereignty

How Real-Name Registration policies create an “ideological firewall” that chills dissent by eliminating user anonymity and selectively restricting transnational access to Chinese social media apps.

星期四, 8月 10, 2023

1.4 million people used FreeBrowser to circumvent the Great Firewall of Turkmenistan

Since 2021, the authorities in Turkmenistan have taken exceptional measures to crack down on the use of circumvention tools. Citizens have been forced to swear on the Koran that they will not use a VPN. Circumvention tool websites have been systematically blocked. Arbitrary searches of mobile devices have also taken place and have even targeted school children and teachers.

The government has also blocked servers hosting VPNs which led to “near complete” internet shutdowns on several occasions in 2022. Current reports indicate that 66 hosting providers, 19 social networks and messaging platforms, and 10 leading content delivery networks (CDNs), are blocked in the country. The government presumably is unconcerned about the negative economic impact that such shutdowns can cause.

星期五, 3月 18, 2022

Well-intentioned decisions have just made it easier for Putin to control the Russian Internet

This article is in large part inspired by a recent article from Meduza (in Russian).

Since the beginning of the war in Ukraine, Russian users have had problems accessing government websites and online banking clients. Browsers began to mark these sites as unsafe and drop the connection. The reason is the revocation of digital security certificates by foreign certificate authorities (either as a direct consequence of sanctions or as an independent, good will move); without them, browsers do not trust sites and “protect” their users from them.

However, these actions, caused - or at least triggered by - a desire to punish Russia for their gruesome actions in Ukraine, will have long-lasting consequences for Russian netizens.

Digital certificates are needed to confirm that the site the user wants to visit is not fraudulent. The certificates contain encryption keys to establish a secure connection between the site and the user. It is very easy to understand whether a page on the Internet is protected by a certificate. One need just look at the address bar of the browser. If the address begins with the https:// prefix, and there is a lock symbol next to the address, the page is protected. By clicking on this lock, you can see the status of the connection, the name of the Certification Authority (CA) that issued the certificate, and its validity period.

There are several dozen commercial and non-commercial organizations in the world that have digital root certificates, but 3/4 of all certificates are issued by only five of the largest companies. Four of them are registered in the USA and one is registered in Belgium.

星期一, 8月 03, 2020

GreatFire 应用生成器 发布

GreatFire (https://en.greatfire.org/) 是一家专注于中国的审查监督组织,我们自豪地宣布一个新的反审查工具,该工具将使任何被屏蔽的媒体、博客、人权组织或民间社会组织反制审查,将其内容得以传播到中国和其他互联网审查国家的数百万读者和支持者的手机上。

GreatFire 已经构建了一个名为“GreatFire 应用生成器”的网页程序,任何组织可以使用它来为中国和其他国家的用户解锁他们的内容。任何人可以访问 (https://appmaker.greatfire.org/),该网站将编译一个带有自己logo的应用,并将包含他们以前被封锁的内容。该应用还将包含一个特殊的、绕过审查的网络浏览器,以便用户可以访问未经审查的网络。这些应用将使用包括机器学习在内的多种策略来规避中国当局先进的审查策略。这个项目在其他有类似中国的审查限制的国家也同样有效。对于组织和最终用户而言,这些应用将免费、快速且非常易于使用。

这个项目的灵感来自于GreatFire自己的应用 自由浏览(https://freebrowser.org/en)的第一手经验,并希望帮助那些可能没有内部专业知识来规避中国审查制度的小型非政府组织。GreatFire的反审查工具在中国发挥了作用,而其他工具却没有。自由浏览可以引导中国的互联网用户从应用的首页进入被僧所内容的导航(http://manyvoices.news/)。

   

人权基金会 (HRF) 已经使用 GreatFire 应用生成器 创建了一个应用程序HRF 在全球范围内促进和保护人权。该组织的使命是确保自由在世界范围内得到维护和促进。 HRF 的网站 在中国被封锁, 但现在中国任何人都可以 下载 HRF Android 应用程序 并访问该网站的信息。

“现在是中国政府防火墙倒塌的时候了,”人权基金会战略顾问王珍妮说。 “与我们在 GreatFire 的朋友一起,我们致力于击败中国的审查制度——在每一部手机。”

GreatFire 应用生成器 的起源可以追溯到 2014 年,当时开放技术基金 (OTF) 支持 GreatFire 的“依附的自由”实验。该项目直接导致了 2015 年中国政府的大规模网络攻击,后来被称为“大炮”。 OTF 还为 GreatFire 开发 AppleCensorship.com,该网站正在跟踪苹果对包括香港在内的全球应用商店的审查情况。

自由浏览 是“大炮”攻击的直接结果,五年后,我们很高兴能够向任何可能遭受中国当局审查的组织提供我们的方法。 

星期五, 7月 24, 2020

Apple, anticompetition, and censorship

On July 20, 2020, GreatFire wrote to all 13 members of the Subcommittee on Antitrust, Commercial and Administrative Law of the U.S. House Committee on the Judiciary, requesting a thorough examination into Apple’s practice of censorship of its App Store, and an investigation into how the company collaborates with the Chinese authorities to maintain its unique position as one of the few foreign tech companies operating profitably in the Chinese digital market.  

This letter was sent a week before Apple CEO TIm Cook will be called for questioning in front of the Subcommittee on Antitrust, Commercial and Administrative Law. The CEOs of Amazon, Google and Facebook will also be questioned on July 27, as part of the Committee’s ongoing investigation into competition in the digital marketplace.

This hearing offers an opportunity to detail to the Subcommittee how Apple uses its closed operating ecosystem to not only abuse its market position but also to deprive certain users, most notably those in China, of their right to download and use apps related to privacy, secure communication, and censorship circumvention.

We hope that U.S. House representatives agree with our view that Apple should not be allowed to do elsewhere what would be considered as unacceptable in the U.S. Chinese citizens are not second class citizens. Private companies such as Apple compromise themselves and their self-proclaimed values of freedom and privacy when they collaborate with the Chinese government and its censors.

使用 RSS 订阅我们的博客。

评论

Next the best rule of thumb is to stroke the chain at least three times per
side. An electric battery powered chainsaw reviews (http://Qqww.co/exerciseequipment3425) is by far the cheaper model to run. Well, I was pleasantly surprised
with this little guy.

The Ghost Hunting Night Vision Action Cam picks up infrared, visible, and ultraviolet light spectrums.
Then institute must cover a whole range of courses for equipping the students with thorough knowledge of the field.
This isn't just beneficial to any budding wildlife documenters out
there ' how many uses can you think of for a motion-sensitive infrared camera that takes photos or videos which it subsequently
sends in the form of emails or MMS picture texts to your computer
or phone (no flash, of course).

My web page :: https://www.spytechgears.com

This is also a very good post which I really enjoyed reading. It is not everyday that I have the possibility to see something like this.
pagerank backlinks

I must say you have high quality content here.
Your website should go viral. You need initial boost only.
How to get it? Search for; Miftolo's tools go viral

页面

添加新评论

Filtered HTML

  • 自动将网址与电子邮件地址转变为链接。
  • 允许的HTML标签:<a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • 自动断行和分段。

Plain text

  • 不允许HTML标记。
  • 自动将网址与电子邮件地址转变为链接。
  • 自动断行和分段。
By submitting this form, you accept the Mollom privacy policy.