從2014年8月28日起,有網友在微博和Google+上報告說,當部分大陸網友試圖在中國教育網(CERNET)內連接google.com和google.com.hk等網頁時,均收到SSL證書錯誤的提示(SSL證書是用於加密HTTP數據傳輸的證明)。這意味著谷歌在教育網上受到中間人攻擊(MITM attack)。
從今年6月4日開始,谷歌的絕大多數服務在中國遭封鎖,但在中國教育科研網內並未受到干擾。在新學期開學之際,谷歌在教育網上遭到中間人攻擊。中國網絡審查監測組織Greatfire相信,攻擊是由中國政府發起的。
在維基百科上,將「中間人攻擊」的定義為一種積極的監聽:
『中間人攻擊是指,攻擊者與通訊的兩端分別建立獨立的聯系,並交換其所收到的數據,使通訊的兩端認為他們正在通過一個私密的連接與對方直接對話,但事實上整個會話都被攻擊者完全控制。在中間人攻擊中,攻擊者可以攔截通訊雙方的通話並插入新的內容。』
動機
Greatfire相信,當局有足夠的動機,對谷歌發動中間人攻擊。谷歌於2014年3月12日開始開始對中國以及全球各地的默認搜索啟用https加密搜索。換句話說,用戶與谷歌之間的信息傳輸都默認加密。只有終端用戶和谷歌服務器知道所搜索並被返回的內容。中國的防火牆只能看到用戶連接上了谷歌的服務器,並不知道傳輸的數據內容。這也意味著,當局無法對谷歌進行逐條封鎖,因此只能將谷歌全盤封鎖。到目前為止,這種封鎖發生在中國的公共互聯網上,但還未發生在教育網中。
中國政府深知,如果中國要在科研領域取得進展和創新,中國的科研人員必須能夠通過谷歌來連接到大量的信息。也正因為這個原因,中國教育網長期都少受到網絡審查的干擾。在教育網內,中國用戶深知能使用早已在中國被封鎖的視頻網站Youtube和社交媒體Google+。與此形成強烈對比的是,在中國的公共網絡上,谷歌學術搜索被封,該網站的中文版將用戶導流到香港版的站點上,但香港版的谷歌學術搜索也在大陸被封。
在上個月之前,在教育網上連接谷歌幾乎並未遭到干擾。但本屆政府已展示出其在各個戰線上控制互聯網與信息的決心。當局並沒有在教育網上直接封鎖谷歌,因為這很可能招致全國學生、教師以及科研人員的反感。當局選擇在教育網內對谷歌發動中間人攻擊,這樣一來,學生和科研人員能繼續使用谷歌,而當局又可以監聽並有選擇地攔截搜索請求以及結果。
這並非中國當局首次發動中間人攻擊。在2013年1月,中國政府曾發動了針對Github的中間人攻擊,波及全國。
攻擊會再次發生嗎?
Greatfire表示,由於加密的網絡服務增加,當局很可能會更多地使用中間人攻擊。
攻擊細節
已有多名用戶報告,在教育網內連接谷歌均收到偽造地SSL證書。軟件安全公司Netresec曾做過有關GItHub在中國遭中間人攻擊地全面分析。Netresec分析了Greatfire發送的以下截圖後表示,所有證據表明,中國教育網與谷歌之間地信息交通正在受到中間人攻擊。發動中間人攻擊地機器很可能在教育網與其他網絡地對等連接處發送數據幀。Netresec將在近期內發布全面分析報告。
Greatfire采用網民的以下報告來進行分析。Solidot的這篇報道也引用了同樣的報告。
這個截圖顯示,當用戶使用Chrome瀏覽器連接谷歌時,收到了SSL證書錯誤的提示。由於谷歌啟用了強制安全傳輸(HSTS),Chrome和Firefox瀏覽器禁止用戶避開這個提示。
該用戶還比較了他在正常連接情況下收到的證書(左)和在遭中間人攻擊情況下連接時收到的證書(右)。
Google+上的相關報道
https://plus.google.com/u/0/115822850906053020654/posts/EGW4NEd7z3N
https://plus.google.com/+duffJiang/posts/Dk5LrD7CiWM
用戶該怎麼做
當你看到證書錯誤提示時,千萬不要將其點開。用戶應該使用Firefox或Chrome瀏覽器,這兩個瀏覽器禁止用戶點開啟用了強制安全傳輸的網站(如谷歌和Github)。如果你點開了警告,你的谷歌賬戶憑據信息可能被盜竊,這意味這你的Gmail郵件可以被攻擊者一覽無遺。
用戶可以通過谷歌的鏡像網站來連接谷歌。谷歌在6月份被中國封鎖後,Greatfire設立了一個谷歌鏡像網站。到目前為止,已有超過100萬中國用戶使用了我們的「自由谷歌」網站和其他無法在中國被封鎖的鏡像。