新闻

2015年1月26日

中国，北京。

鲁炜先生：

在2015年1月22日， 您领导的中国网信办对我们发表的Outlook在中国遭中间人攻击的文章进行了公开回应。 在中国网信办的公开回应中，您的同事姜军说我们的指责是“无端臆测，纯属境外反华势力的造谣和污蔑“。

我们GreatFire.org成员对中国网信办的评论非常愤怒，我们在本公开信中逐条驳斥。

我们没有轻易指责中国网信办。我们收集了大量数据来支持我们的结论。很多报告都支持了我们的分析，包括了截图，许多中国网民的报告和其他技术人员的独立分析。

我们之前报道过对iCloud，雅虎，微软和谷歌进行的中间人攻击，每个公司都确认了中间人攻击的真实性。我们还邀请了其他技术人员对攻击数据进行了独立分析。 你可以阅读对每次攻击的独立分析： Outlook, iCloud, 谷歌, 雅虎, Github 。 每个分析结论都类似：

Our conclusion is that this was a real attack on Microsoft's email service. Additionally, the attack is very similar to previous nationwide Chinese attacks on SSL encrypted traffic, such as the attack on Google a few months ago.   

我们认为对微软Email的中间人攻击是真实的。并且，此次攻击与此前中国对谷歌等公司的攻击类似。

网络监测组织GreatFire于1月17日收到了报告，指微软电邮系统outlook在中国遭中间人攻击（MITM）。此次攻击针对通过移动设备上的邮件客户端收发outlook邮件的人士。该组织怀疑，此次攻击是审查部门在测试防火墙技术。

当中国用户通过电子邮件客户端（Ice-dove）进入outlook时，可看到以下证书：

Greatfire的测试证实了outlook确实遭到攻击：IMAP（交互邮件访问协议）与SMTP（简单邮件传输协议）都遭受了中间人攻击。但网站界面(https://outlook.com 和 https://login.live.com/)没有受到影响。这次攻击持续了大约一天，现在已经停止。

这种形式的攻击尤其狡猾：相比于通过浏览器，用户通过电子邮件客户端所接收到的警告非常不明显，更容易被忽略。如下图：

（从iphone默认电邮客户端接收到的错误样本）

当客户端试图自动检索信息时，用户只能看见一个突然弹出的警告。因为用户没有主动检索信息，大多数的用户在点击“继续”之前不会细想，却忽视了警告信息、或把警告信息归咎于网络连线的故障。如果用户真的点击了“继续”，他（她）所有的邮件、通讯录、密码都会被黑客所窃取。

网络审查监测组织Greatfire指出，中国的防火墙日前进行了升级，加入新的“墙”法，导致用户甚至被墙到色情网站。此次升级也导致许多翻墙工具失效。

此前，中国的网民在未使用翻墙工具的情况下，若要连接Facebook，Twitter和其他被封的网站，会被域名服务器污染系统导到一系列被封锁、或根本不存在的假IP地址。然后，用户将跳转到连接超时的页面。

但中国的域名服务器污染系统升级之后，在原有假IP地址的基础上，审查机构开始使用有相应网站的真IP地址。例如，https://support.dnspod.cn/Tools/tools/ 显示，如果中国网民试图在国内连接Facebook，用户可能登入一个随机的页面，如http://178.62.75.99

一位中国网民向Greatfire报告说，当他从中国连接Facebook时，他竟然连到了一个俄罗斯的网站，且完全与Facebook无关。另一位用户在推特上表示，当他试图连接一个VPN网站时，他被导到一个德国的成人网站。

某墙你这什么意思，DNS 污染返回给我一个德国工口站的 IP，满屏很黄很暴力弹弹弹（

— nil (@xierch) January 4, 2015

在中国强力扫黄的大环境下，用户被导到成人网站，显得尤其讽刺。北京经常将“保护未成年人”作为网络审查的一个说辞。但在这个例子上，当用户想连接一个合法但被封锁的网站时，却被返回到被中国视为违法的成人网站。如果这不是审查方出错，是否意味着中国的审查机构是超越中国法律的？

此次中国的防火墙升级，有效地导致许多反DNS污染的工具失效。由于GFW此前仅适用小量的假IP，这些翻墙工具可容易跳过这些假IP，并绕过封锁连接到正确的IP地址。但由于现在GFW也使用有效的IP地址来进行污染，这样的翻墙原理也随之失效。

这也可能意味着，审查机构可能在试验新的隐藏审查的方法，通过将网民导到随机的可连接的页面，让用户以为是原网站出了问题。

中国网民对于连接超时并不陌生，许多人自然而然地将其与墙联系起来。Greatfire认为，当局可能希望，在一段过渡期后，网民将适应新的DNS污染模式。中国的许多网络服务提供商此前已经使用这种重新导向随机页面的方法，来向用户推送广告。

很显然，当局在不断地修补升级审查机制。Greatfire预期，在今后几个月内，GFW将有更多的变化。

On December 26, 2014, in an announcement posted on their website, a new chairperson for CNNIC was directly appointed by the Cyberspace Administration of China. The announcement of this appointment coincided with the complete blocking of Gmail.

Cyberspace Administration of China (中央网信办) is chaired by Lu Wei, “China’s web doorkeeper”. Lu Wei is also the vice chair of the Central Propaganda Department, according to his official resume.

This office is directly responsible for the blocking of Gmail and other websites including Facebook, Twitter and Google.

CNNIC is China’s certification authority and operates the country’s domain name registry. 

What are certificates used for?

Certificates are used primarily to verify the identity of a person or device, authenticate a service, or encrypt files. 

What is a certification authority (CA)?  

All Google products in China have been severely disrupted since June of this year and Chinese users have not been able to access Gmail via its web interface since the summer. However, email protocols such as IMAP, SMTP and POP3 had been accessible but are not anymore. These protocols are used in the default email app on iPhone, Microsoft Outlook on PC and many more email clients.

On December 26, GFW started to block large numbers of IP addresses used by Gmail. These IP addresses are used by IMAP/SMTP/POP3. Chinese users now have no way of accessing Gmail behind the GFW. Before, they could still send or receive emails via email clients even though Gmail's web interface was not accessible. 

Google's own traffic chart shows a sharp decline of Chinese traffic to Gmail. 

Below is a ping request to the Gmail SMTP server, which is completely inaccessible in China.

GreatFire.org从即日起为BBC中文网提供免翻墙镜像网站，供中国大陆用户浏览。

BBC中文网在建网初期，即被中国防火墙封锁。中国的用户只能通过VPN访问其网站。BBC也曾推荐翻墙软件赛风。

BBC中文网的免翻墙网站上线时间，恰逢台湾地方选举。因此，大陆网民有机会一睹，台湾地方选举是如何在一个透明、公开、民主的过程中进行。BBC中文网将对候选人进行深度介绍与分析。

由于中国当局大量封锁外媒中文网，中国官方媒体垄断了大陆网络资源，中国网民在中文新闻资讯来源上的选择有限。华尔街中文网、纽约时报中文网均被防火墙封锁。FT中文网、路透社中文网等网站上敏感的内容也被封锁。

随着英文在中国的普及，许多国际新闻的英文网站被封也成为常态。虽然BBC英文网最近短暂遭干扰，但该网站仍未被防火墙完全封锁。

GreatFire使用“依附的自由”策略解封网站，并借助全球的内容传输网络（CDNs）来存放BBC中文网的镜像。免翻墙的BBC中文网和其他中文资讯网络列在GreatFire.org的Github专页上。

The censorship authorities in China have blocked access to HSBC’s corporate banking portal, HSBCnet, casting a large shadow over the the ability for both foreign and domestic companies to conduct day-to-day business inside the country.

What happened?

On October 23, 2014 users started to report that they had trouble accessing the online corporate banking service at global behemoth HSBC.

HSBC's corporate portal HSBCnet apparently blocked in China cc @GreatFireChina http://t.co/80WvVpeKpG pic.twitter.com/uEnTBwCU7n

— Larry Salibra (@larrysalibra) October 22, 2014

The bank itself was forced to add a note on its website acknowledging a problem:

Important Message: Customers logging in from China

Dear HSBCnet User

Please be advised that HSBCnet Users are currently experiencing problems when attempting to log into the system from within China. We are aware of this issue and are diligently working with local providers to deliver a prompt resolution.

This challenge resides outside the HSBCnet system and activity performed through our online banking platform remains secure.

Edgecastcdn.net在中国遭到域名服务器缓存污染攻击，导致其下的所有子域名在中国被封。EdgeCast是全球最大的内容分发网络（CDN），为中国成千上万的网站和app提供云服务。

网络监测组织GreatFire使用“依附的自由”方式为网站解封，其假设便是，中国不会封锁通往全球内容发布网络的连接，因为当局很清楚中国融入全球互联网的价值。但该组织此次宣称，中国当局正试图将中国从全球互联网中孤立出来。

在过去数日内， “依附的自由”技术带来了许多“连带破坏”。GreatFire组织收到一些小网站发来的邮件，这些网站弄不清，为何自己网站的内容并不敏感，却遭到防火墙的封锁。

发生了什么?

据GreatFire称，他们于2014年11月13日监测到对EdgeCast的首个污染攻击。EdgeCast于2014年11月14日在其网站上告示，其服务在中国遭到干扰。并于17日发表相关博客称：

从我们的CDN、业界合作伙伴、和我们的用户处得知，愈来愈多的网站、CDNs和网络遭到中国防火墙过滤和封锁。本周，我们目睹了过滤升级，越来越多的网站遭到影响，甚至我们的一个服务器遭到部分封锁······当局没有提供任何理由。

该公司称，已推出相应政策和措施，协助用户应付中国此次的封锁，且表示“这是一直持续的问题”。

受影响的网站（皆为EdgeCast用户）包括：

             索尼移动 的全球网站和中国网站均遭到封锁。

《大西洋月刊》The Atlantic