Citizen Lab:不只達賴喇嘛,藏人社群整體成國家力量駭客攻擊目標

作者 | 發布日期 2017 年 09 月 19 日 10:00 | 分類 中國觀察 , 網路 , 資訊安全 follow us in feedly

儘管 WCIT 展覽可視為只是英文多、規模大些的智慧城市展,新東西並不多;主題演講部分受限於昂貴的門票,不是有興趣的人都有辦法參與,但 WCIT 活動期間其實有些精彩的活動,在大會周邊進行。像是因 WCIT 大會來台,且參與 WCIT 網路安全、隱私與信賴論壇討論的 Citizen Lab 研究經理 Masashi Crete-Nishihata,就應西藏台灣人權連線以及台灣人權促進會邀請,談論世界上最容易被網路攻擊的西藏社群,怎麼培力自身的資訊安全素養。




駭客全面性企圖入侵藏人電腦

西藏流亡人士由於被中國政府視為眼中釘,因此被網軍盯上也不是什麼稀奇的事。早期針對藏人流亡社群的攻擊,大部分是用 email 社交攻擊手法,像是假冒相關領域研究者,企圖欺騙收件者打開郵件含有惡意程式 Gh0st Rat 的附件。如果打開惡意程式電腦就會被感染,導致該台電腦被遠方駭客控制,可以瀏覽被駭者的電腦檔案,以及往來 email,幫助駭客取得更多人際網路資訊,有助於下次社交攻擊時有更可靠的資訊。攻擊者不只鎖定高度政經價格的目標,如流亡藏人領袖達賴喇嘛,幾乎所有流亡藏人都可能是駭客攻擊的對象。

▲ 被 Gh0st Rat 侵入的電腦,可說門戶洞開,攻擊者可瀏覽往來郵件、電腦檔案。

儘管藏人社群最初面對一看就知道是假冒者寄來的電子郵件,後來攻擊方持續進步,像是用看起來可信的身分,如援助組織或學者。當攻擊者意識到藏人社群已出現呼籲不要隨意打開郵件附件的資安宣傳時,他們與時俱進,進而用釣魚網頁,像是放惡意程式連結在 Google Drive,或偽裝成 Google 登入頁面,企圖騙取藏人個資。

▲ 藏人社群開始製作資安傳單,上面寫著「放下執念,不要打開附件」口號。攻擊者察覺後,調整攻擊手法,改成假冒常見的網路服務。

Citizen Lab 研究者舉了一個比較特別的例子,說明攻擊方如何處心積慮花時間改變攻擊手法。攻擊者假冒 Cheng Li 身分,向藏人社群寄送含惡意程式的附件。Citizen Lab 的人故意玩弄駭客,回信說他打連結,下載的檔案在 Mac 下面無法開啟。過了一週駭客回信,信中含有惡意程式連結──駭客花了一週打造可感染 Mac 的惡意程式。

▲ 幾年以來攻擊者改變作法,使用釣魚網頁替代含有惡意程式的附件,侵入藏人電腦。

除了西藏之外,其他國家也被攻擊,總計 1,295 台電腦被入侵。這些攻擊被發現遠自中國大使館或經貿辦事處,而懷疑是來自中國的網軍,但無法證實與中國官方的關係。但是與中國官方敵對國家的組織,如台灣外交部,以及半官方屬性的資策會,都曾是駭客入侵的對象,來源最終都可追到中國。

Citizen Lab 指出,由於整個藏人社群都被針對,因此資安防護不是只有幾位大人物的事情,而是每位成員,甚至海外藏人都必須嚴格遵循。藏人社群製作宣傳品,甚至拍攝影片,要喚起每位藏人的資安意識。

Skype 本地化營運,需配合中國政府監控機制

隨著中國即時通訊軟體越來越普及,流亡藏人為了與仍在西藏的親友聯繫,不得不使用如微信等軟體跟中國境內親友聯繫。同樣的情況也出現在出國念書或是移民的中國人身上。但是這些通訊軟體,不論中國廠商產品,還是國外產品,要在中國境內活動,必須配合中國政策,其中包括言論審查。

其中常拿來做語音通話的 Skype,在中國由中國公司 TOM 在線營運,名叫 Tom Skype。Citizen Lab 試驗,用中國版 Skype 和一般正常 Skype 比較流量差界,比對出有那些資訊被屏障。F**K 如預期被擋,而有加密訊息從被實驗的電腦以加密訊息方式,連到位於中國的伺服器。

▲ Citizen Lab 統計 Skype 的禁語清單,發現台灣獨立排名第五。

Citizen Lab 追蹤 Skype 傳送的禁語資料,在本地端電腦追到一個資料夾,整個資料夾被加密了,但很幸運在資料夾旁邊看到金鑰,因此直接解密資料。Citizen Lab 取得達 120 萬筆交談紀錄,統計對話中被中國政屏障的辭彙,不意外以政治性辭彙為主,有共產主義、共產黨、法輪功,以及統計當下的國家主席胡錦濤,還有台灣獨立在名單上排名第五。

與藏人相關的辭彙方面,只要發生自焚事件,不出一週,相關字就會跑到禁語清單上面。

Skype 易手微軟後,中國的合作廠商從 Tom 變成 GMW,對話的監控與審查方式大不相同,Citizen Lab 無法用相同方法研究可能的監控與審查方法。

微信用戶即便換非中國號碼,仍然受到中國政府監控

微信由於是中國廠商產品,必須完全配合中國政策才能營運。而微信很早就必須用電話號碼等能對應真實身分的資訊註冊微信帳號,甚至 2012 年時連外國電話號碼註冊的帳號也被審查,但微信否認。

相對以前的中國網路審查還會出現訊息,告知訊息無法傳送,現在微信擋訊息,已經不會出現阻擋訊息的提醒,因此對方不會發現被阻擋訊息的狀況。要驗證網路言論審查,必須詢問對方是否收到訊息。恐怖的是,即便已換成中國以外的電話號碼,像是移民,只要帳號最初是用中國號碼,該帳號仍會一直被審查。

中國人驕傲的國格,是微信擴充到海外的絆腳石。微信曾在美國馬丁·路德·金紀念日期間辦活動,只要打 Civil Rights,就會出現美國國旗。這樣卻造成中國微信使用者不滿,最後微信只得道歉。

微信的群聊功能,也會針對關鍵字,讓中國用戶無法收到。跟藏人有關的關鍵字如雪山獅子旗就被擋。不論字體、語言,如正體中文、簡體中文、英文都會被微信的關鍵字過濾系統屏障。

業者進入中國需透明化處事,爭取使用者信任

臉書相當熱中進入中國,令人擔心如果有一天臉書在中國營運,會不會影響到使用臉書的中國異議人士,除了言論審查,甚至還有人身安全問題。 Nishihata 覺得業者必須將妥協的事對用戶透明化,這樣才能爭取使用者的信任。

藏人是相當特殊的群體,面臨的網路攻擊值得大家借鏡。台灣不少人因與中國人打交道,必須使用中國網路服務。如果需要使用,必須知道可能面臨的問題及風險。

(首圖來源:科技新報)