网络隐私保护工具已无法阻挡中国黑客

　　旧金山——新的研究显示，中国黑客已经找到一种方法，绕开广泛使用的隐私保护技术，并把矛头对准了一些网络内容的作者和读者，中国审查机构认为那些内容怀有敌意。

　　硅谷安全公司AlienVault的安全研究员杰米·布拉斯科(Jaime Blasco)的调查结果显示，黑客们破解了互联网上两个最值得信赖的隐私保护工具：一是虚拟专用网络，简称VPN；另一个是匿名软件Tor，后者通过位于全球各地的路由来建立网络连接，从而掩盖电脑的真正位置。

　　在中国，有很多企业和数以百万计的公众都在使用这两种工具，绕开通常被称为“防火长城”(Great Firewall)的中国审查技术，让政府的窥探者无法看到自己的网络活动。

　　布拉斯科上周发现，中国记者以及中国的穆斯林少数民族维吾尔族经常访问的网站已经被黑客攻陷。

　　只要这些网站的访问者也登录过15个中国互联网门户之一——包括百度、阿里巴巴和人人网旗下的网站——黑客就能够窃取他们的姓名、地址、性别、出生日期、电子邮件地址、电话号码、甚至用来追踪用户上过哪些网站的cookie。

　　布拉斯科说，为了攻破Tor和VPN技术，攻击者利用了中国顶级公司的一个服务器软件漏洞。这些公司似乎没有打补丁修补该漏洞。

　　虽然布拉斯科和其他人无法查明黑客的身份，但是从攻击目标和攻击的周密性来看，他们可能是受到了中国政府的派遣。

　　“还有谁会对这样的信息感兴趣，宁愿费这么大的周章呢？还会有谁想知道中国境内的哪些人在访问维吾尔语网站和记者网站呢？”布拉斯科在接受采访时说。“把这些网站当作目标没有任何经济上的好处。”

　　自从2012年年底掌权以来，习近平本人就对互联网的管理方式展现了很大兴趣，他建立了一个负责治理互联网的小组，并担任其组长。

　　他也向新成立的国家互联网信息办公室赋予了广泛的权力，于是该机构打压了影响网上舆论的互联网名人。接着他又扩大了对外国网站的封锁，并试图把中国的影响力投射到国际互联网空间中。

　　在过去几个月里，中国政府屏蔽了VPN的销售，并禁用了相关通讯协议。此外还劫持了流向中国最大互联网公司百度的互联网流量，利用其冲击和破坏GitHub等网站，因为中国官员认为这些网站上的内容含有敌意，其中包括来自《纽约时报》的内容。

　　活动人士和安全专家建议中国互联网用户使用Tor和VPN来保护自己，不受国家支持的监视行为侵害；中国境内的外国人早就在采取这样的做法。但布拉斯科的发现表明，北京的互联网审查机构已经找到一种方法，让这些工具失去效果。

　　“人们广泛使用的VPN服务一度被认为固若金汤，现在却受到了破坏——在中国这种感觉越来越强，”内森·弗雷塔斯(Nathan Freitas)说。他是哈佛大学伯克曼互联网与社会研究中心(Berkman Center for Internet and Society)研究员，也是西藏行动中心(Tibet Action Institute)的技术顾问。

　　中国国家互联网信息办公室未回应置评请求。

　　布拉斯科表示，与维吾尔人及媒体有关的网站受到了“水坑式攻击”的破坏。攻击者想办法将恶意代码藏在攻击目标常去的网站上，然后等着受害者上钩。人们一旦访问那些网站，恶意代码就会被注入他们的网页浏览器。

　　该技术被政府和黑客用来监视和窃取密码。

　　布拉斯科称，让上述袭击变得尤为严重的是，只要受害者登录中国的15大网络服务平台，包括百度、淘宝、QQ、新浪、搜狐、携程和人人网，攻击者就能确定他们的身份，并提取个人数字信息，哪怕受害者是通过Tor或VPN登录的。

　　他们做到这一点是借助了一个特别严重的漏洞。中国那15家网络服务平台似乎从未修补过该漏洞。

　　被称作JSONP的这个漏洞并不是新出现的。布拉斯科表示，2013年前后，这个漏洞在一个中文安全和网络论坛上被公布出来。有证据显示，大约在同一时间，黑客用它将维吾尔人访问的网站，以及非政府组织的网站当成了攻击目标。

　　布拉斯科表示，由于没有修补该漏洞，像百度和阿里巴巴旗下的淘宝这样的大型网站，实际上让中国境内的网络用户唯一可用的隐私保护措施失去了作用。

　　“这就相当于执法部门能够利用Facebook的一个严重漏洞，让美国的Tor和VPN用户无法匿名，”布拉斯科说。“你肯定会认为Facbook很快就会修复。”

　　考虑到漏洞很严重，而且大约两年前就已经发现了，尚不清楚为何这么多中国多顶级网站均未修补。

　　百度的一名发言人表示，该公司的确曾尝试解决这个问题。

　　“据我们所知，我们较早前为防止严重泄露个人数据而采取的措施是成功的。但这次了解到进一步信息后，我们已经针对JSONP漏洞，在百度展开了更主动、更全面的修复，”这名发言人称。

　　阿里巴巴的一名发言人也表示，该公司现在正在采取措施，解决这个问题。“阿里巴巴集团重视数据安全，我们会尽一切可能保护用户，”阿里巴巴负责国际媒体事务的副总裁罗伯特·克里斯蒂(Robert Christie)说。

　　“在我们这个领域，很多公司都面临这个问题。我们一发现这个问题，就迅速采取了行动，着手解决。我们没有发现用户信息遭到泄露的证据，”他说。

　　研究人员表示，由于袭击相当复杂，且没有留下数字指纹，这显示进行指挥的是某个具有极大影响力的人。弗雷塔斯说，如若不然，“肯定就是一个网络犯罪分子，而且他能广泛地访问中国的互联网基础设施。”

　　（作者NICOLE PERLROTH 2015年06月15日。Paul Mozur自香港对本文有报道贡献。）