网络审查加剧:防火墙“窥视”加密连接

在中国的网络审查员与互联网用户的猫鼠游戏中,政府似乎又在测试新型的“捕鼠器”,一种可能旨在侦测并屏蔽翻墙通道的方法——就算这些通道中的数据是经过加密保护的,并指向一台不知名的电脑。

用加密连接为用户提供远程访问保障的服务商透露,近几个月,他们检测到了来自中国的异常活动:当中国国内用户试图连接到国外服务器时,一串看似随机的数据在用户成功连接之前被发送到目标计算机,有时导致该用户与服务器的连接神秘断开。

例如,反审查与匿名服务项目“洋葱路由”(Tor)的很多“网桥节点”——分布在世界各地的个人服务器,负责将用户连接到由能对信息流进行重新路由的计算机组成的Tor网络中——与中国国内用户在连接上后几个小时甚至几分钟内就无法访问了,该项目理事长安德鲁•雷曼(Andrew Lewman)表示。用户告诉他,其他规避审查的服务如无界(Ultrasurf)和自由门(Freegate)也碰到了类似问题。“用户在尝试连接时,会出现奇怪的扫描现象,随后网桥中断,卢曼表示。“异常现象每时每刻都发生,但这一现象有点前后一致性,而且仅来自于中国。”

卢曼认为,中国的互联网服务提供商可能正在测试一个新的系统,和以前仅仅屏蔽IP地址或某些特定的网页不同,该新系统试图通过比用户抢先一步连接到一个加密服务,以侦测用户试图访问的是何种服务。“这就像我告诉我妻子我要和朋友去打保龄球,而她先我一步去了趟保龄球馆,看看我说的是不是真的。”卢曼说。“也就是验证你所建立的连接是否真的是表面上所显示的那个连接。”

但到目前为止,卢曼说,Tor的项目开发员还没有确定该侦测方式是如何做到区分哪些加密连接是指向Tor的,哪些只不过是指向银行或商务网站的。理论上说,这两者在喜欢偷窥的政府看来都像是无法解析的、杂乱的网络信息流。毕竟,中国政府不太可能阻止所有的加密连接,如企业VPN等,卢曼指出。“如果富士康(Foxconn)与苹果公司的连接被断开,这将是很大的问题。”他说。

与此同时,只有一小部分Tor的中国用户遇到了这一问题,这意味着可能只有一小部分的中国宽带服务提供商在测试这一新工具,卢曼表示。

中国对加密信息流的侦测目标不仅限于美国。设在林雪平大学(Linkoping University)瑞典国家超级计算机中心(National Supercomputer Centre of Sweden)的一位IT安全管理员雷夫•尼克松(Leif Nixon)表示,一年以前他独立发现了这种现象,当时,当中国学生或研究人员试图通过SSH(“安全壳”)连接到该中心的系统时,他发现了服务器受到此种攻击。尼克松于本月早些时候在博客撰文论及此事,“我不知道这些探测活动的目的何在,”他在博文中写道,“我唯一能猜测的就是政府在寻找它所不欢迎的某些特定服务,如为Tor中继设立的开放代理等,而精确识别的代价过于昂贵。于是,他们采取了一种类似于模糊测试的方法,向服务器发送伪随机数据,只为了探个究竟。”

“这也符合了众所周知的中国政府对公民进行网络审查这一事实,”他补充道,“我对中国政府疑似对我们的系统所采取的动作感觉很厌恶。”

美国某超级计算机中心一位不愿公开姓名的安全工程师表示,在来自中国的访问中,他发现达20%的情况中有类似异常。“我们起初以为是一种攻击。但现在看来,它更像是一个试探,目的是得知这是否是他们所要审查的东西,”这位工程师说,“我自己从来没有看见过与之类似的东西。”

自从中国在60周年国庆前后开始网络严打,以及与谷歌在公共审查问题上发生纠葛以来,中国人一直都在寻求翻墙工具。中国方面先前专注于基于IP地址对服务实施屏蔽,但随着世界各地不断出现新的服务器,用新的IP地址帮助规避政府审查,这变成了一场无休无止的“打地鼠”游戏,Tor项目的安德鲁•卢曼说。

2009年,伊朗也类似地开始尝试将连接到Tor的网桥节点从其他加密信息流中区分出来,然后屏蔽该服务,卢曼说。作为回应,Tor设法改变其外在表现,以更好地与其他网络服务保持一致,如调整每次改变SSL(加密套接字协议层;用于对连接到服务器的用户进行认证)证书的时间间隔。

卢曼对中国能否成功将类似的系统在全国范围内实施表示怀疑,考虑到其拥有数亿网络用户。尽管如此,Tor的工作人员仍希望比中国的审查员先行一步。“我们正在解开这个谜团,”卢曼说,“这很让人好奇。”

本文留言

作者Andy Greenberg相关文章


近期读者推荐