新闻

鲁炜和中国网信办很明显的升级了他们控制信息的战术. 防火长城由一个被动的过滤器变成了一个具有侵略性的主动的武器。 这是一个非常可怕的发展，这种行动的影响将会延伸至互联网的每一个角落。简明的说，当局已经以前是对中国，现在到全球互联网都要执行严格的审查制度。

日前，谷歌发现在多个未授权的针对谷歌域名的电子证书，而这些证书的根证书属于中国互联网络信息中心（CNNIC）。谷歌和Mozilla（火狐）分别公开了这一安全事件，就此分别发表了博客文章(Google, Mozilla)。但谷歌与Mozilla有关CNNIC发布中间人攻击证书文章的中文翻译，则在中国被勒令删除。

 

• 中国著名IT博客“月光博客”不加任何评论，将谷歌的文章翻译成中文。在谷歌和百度上用中文搜索“CNNIC中间人攻击”，他的这篇文章都是搜索的首个结果。3月26日，他在推特上表示，新闻办打电话给他， 要求立即删除他的这篇文章。原文 http://www.williamlong.info/archives/4183.html 被删除了。但谷歌缓存仍然存在。

省政府新闻办打电话来称，“谷歌称CNNIC发布中间人攻击证书”一文需要立刻删除。

 

自从2013年，我们曾多次呼吁各大软件厂商撤销CNNIC颁发的证书。值得注意的是，我们提出这个问题的时候，我们报道了中国网信办（CAC）在谷歌，微软的Outlook，苹果，雅虎和Github上进行中间人（MITM）攻击。许多主流媒体在此前也纷纷报道了这些安全问题，在3月24日，Ars Technica的报道了谷歌宣布他们有确凿的证据表明CNNIC（中国互联网络信息中心）是使谷歌遭受MITM攻击的幕后黑手。

2014年十月，我们的博文：

CNNIC是中国互联网信息中心，属工信部管理。据报道，CNNIC曾审查网络（并试图隐瞒）、发布恶意软件、安全记录不良。中国的技术型网民多年来一直抵制将CNNIC作为可信任的根证书。在2013年一月Github在中国遭受攻击后，我们公开呼吁取消CNNIC作为根证书的资格。鉴于近期中国接连发生的中间人（MITM）的攻击，为了保护中国和世界各地用户的隐私，我们再次呼吁撤销CNNIC证书颁发机构。

今年10月份，中国当局对苹果iCloud、谷歌、微软Outlook以及雅虎发动了中间人攻击。而CNNIC扮演了默许支持或积极配合的角色。

CNNIC是“中国信息社会的基础设施建设者、运营者与管理者”。GreatFire证实，最近几次的中间人攻击来自中国互联网的中枢。针对雅虎与谷歌的攻击在互联网中枢上持续了数周。

而在今天我们就有了谷歌展示的具体的证据，证明CNNIC（或者包括CAC）是MITM攻击的确同谋。谷歌在自己的博文中声称：

在3月20日，星期五，我们发现CNNIC颁发了多个针对谷歌域名的用于中间人攻击的证书。这个名为MCS集团的中级证书颁发机构发行了多个谷歌域名的假证书，而这些中级证书则来自CNNIC。

CNNIC的证书包含了主要的根证书和伪造证书，它们被几乎所有的浏览器和操作系统信任。由于public-key pinning机制，Windows和OS X以及Linux版的Chrome、ChromeOS和Firefox 33会拒绝这些证书，尽管伪造证书对其他网站可能是信任的。

我们受到了攻击，我们需要帮助。

像是回应最近华尔街日报（WSJ）的故事似的，我们经历了有史以来第一个分布式拒绝服务（DDoS）攻击。这种攻击是通过发动向洪水一般的大量垃圾请求来使网站崩溃 - 就在这篇文章在撰写的时候，每小时有大约26亿次请求。一般的网站根本不具备能力处理这么大的流量，所以在濒临崩溃后不得不被迫下线。

这种攻击是非常野蛮的，甚至可以说是暴力的。攻击者只有在一般的攻击方法都不奏效时才会采取这样极端的手段。

我们无法防御这种规模的DDoS攻击，所以我们不得不寻求帮助。

一些背景资料：

• 攻击开始于3月17日，我们每小时都要收到高达26亿的请求，这是大约正常水平的2500倍以上。

• 这种攻击影响了我们所有的镜像网站。虽然我们已经公开谈论过我们的使用“依附的自由”和手机APP来解放被中国当局封锁网站，华尔街日报的报道也明确这样的策略是如何奏效的，以及它如何成功地将未经审查的内容引入中国。我们已经解封了包括博讯，德国之声和谷歌等被中国封锁的网站。

• 我们并不知道这次攻击的幕后黑手是谁。然而，攻击恰逢我们的组织在过去几个月中压力越来越大的时候。中国网信办（CAC）公开宣判我们是“由海外反华组织成立的反华网站”。我们也知道，CAC对我们的合作伙伴施压来使他们停止与我们合作。最近，我们还注意到，有人曾试图冒充我们来截取加密的电子邮件。

• 上周，一个总部设在巴黎的无国界非政府组织的报道，用我们的“依附的自由”方法来疏通世界各地的九个网站，其中包括两个对中国比较重要的：明镜新闻和国际西藏邮报。

我们需要您在以下几个方面的帮助：

• 巨大的请求数致使我们的带宽成本已经飙升至30000美元一天。我们正在使用亚马逊的云服务，我们仍不确定亚马逊会不会额外计算这笔费用。如果他们会，我们的服务将会显著的紧缩。

• 我们需要像亚马逊这样的公司站在我们这一边，尤其是言论自由的一边。我们需要你告诉亚马逊，你认为言论自由是一个非常重要的问题，并且亚马逊作为全球互联网的领先推动者，在获取信息的上起到很重要作用。

我们已经升级到更快的服务器，并使用一些技术来管理负载，现在暂时好一些了，但我们担心这次攻击随时可能会更加激化。我们需要帮助来处理这些事情。如果你有这方面的人才，请联系查理·史密斯或通过Twitter联系我们。

Recognizing that the authorities have been hesitant to crackdown on our method of circumvention, we have accelerated our expansion of the development of collateral freedom, in three key areas.

2015年1月26日

中国，北京。

鲁炜先生：

在2015年1月22日， 您领导的中国网信办对我们发表的Outlook在中国遭中间人攻击的文章进行了公开回应。 在中国网信办的公开回应中，您的同事姜军说我们的指责是“无端臆测，纯属境外反华势力的造谣和污蔑“。

我们GreatFire.org成员对中国网信办的评论非常愤怒，我们在本公开信中逐条驳斥。

我们没有轻易指责中国网信办。我们收集了大量数据来支持我们的结论。很多报告都支持了我们的分析，包括了截图，许多中国网民的报告和其他技术人员的独立分析。

我们之前报道过对iCloud，雅虎，微软和谷歌进行的中间人攻击，每个公司都确认了中间人攻击的真实性。我们还邀请了其他技术人员对攻击数据进行了独立分析。 你可以阅读对每次攻击的独立分析： Outlook, iCloud, 谷歌, 雅虎, Github 。 每个分析结论都类似：

Our conclusion is that this was a real attack on Microsoft's email service. Additionally, the attack is very similar to previous nationwide Chinese attacks on SSL encrypted traffic, such as the attack on Google a few months ago.   

我们认为对微软Email的中间人攻击是真实的。并且，此次攻击与此前中国对谷歌等公司的攻击类似。

网络监测组织GreatFire于1月17日收到了报告，指微软电邮系统outlook在中国遭中间人攻击（MITM）。此次攻击针对通过移动设备上的邮件客户端收发outlook邮件的人士。该组织怀疑，此次攻击是审查部门在测试防火墙技术。

当中国用户通过电子邮件客户端（Ice-dove）进入outlook时，可看到以下证书：

Greatfire的测试证实了outlook确实遭到攻击：IMAP（交互邮件访问协议）与SMTP（简单邮件传输协议）都遭受了中间人攻击。但网站界面(https://outlook.com 和 https://login.live.com/)没有受到影响。这次攻击持续了大约一天，现在已经停止。

这种形式的攻击尤其狡猾：相比于通过浏览器，用户通过电子邮件客户端所接收到的警告非常不明显，更容易被忽略。如下图：

（从iphone默认电邮客户端接收到的错误样本）

当客户端试图自动检索信息时，用户只能看见一个突然弹出的警告。因为用户没有主动检索信息，大多数的用户在点击“继续”之前不会细想，却忽视了警告信息、或把警告信息归咎于网络连线的故障。如果用户真的点击了“继续”，他（她）所有的邮件、通讯录、密码都会被黑客所窃取。