真是一個富有哲理的問題

最近網路世界發生了一件很重大的事情。中國當局疑似透過知名中國廠商百度的廣告機制，對提供程式碼儲存的知名廠商github發動DDoS攻擊（阻斷服務攻擊，也就是用大流量癱瘓服務）。這次的攻擊，導致從3/18到3/27之間，對github的存取容易發生錯誤。

為何要攻擊github？這要從中國的防火牆說起。中國有防火牆，藉此屏蔽對中國不利的網站。有個名為Greatfire的網站因此幫助大家辨識哪些網站已遭到封鎖。另外，有些網站也會利用github的機制，將一些被封鎖的網站備份到github上，以方便中國民眾瀏覽。

中國曾多次嘗試封鎖github，但由於github上保存的程式碼是許多程式人員從業所需要的資料，也是目前資訊圈許多先進程式碼的存放位置，中國的封鎖引來包含李開復等許多資訊人員的抗議，因此難以封鎖。

既然很難封鎖，那麼把那些可能造成問題的內容幹掉應該就可以了吧？因此，中國這次的作法是，利用百度廣告的投放機制，引導世界各地的人在沒有察覺的狀況下攻擊github特定頁面。

百度的廣告會存取一個小小的Javascript程式（hm.baidu.com/h.js），這個程式存...

也就是說，如果你是中國以外地區的人，瀏覽了一個放入百度廣告的網頁，你的瀏覽器會收到一個變造過的網頁廣告程式碼，引導瀏覽器每兩秒攻擊一次這兩個github頁面。而且，攻擊流量來自於世界各地，就是沒有中國－－中國會跟別人說，這絕不是中國網軍發動的攻擊。

後來，這兩個網頁只好暫時下架網頁內容，而以程式碼取代網頁內容。這個程式碼會彈出視窗，導致攻擊無法進行下去（如附圖）。

當然，嚴格來說，只能確定這次的攻擊應該是藉由百度廣告發動。但究竟是如何嵌入這些程式碼到百度廣告當中？有人認為可能是程式碼透過防火牆送出時，遭到防火牆嵌入或是替換，但目前已不得而知，中國政府與攻擊之間的關聯也難以證明。但看到被攻擊的網頁，很明顯可以知道得利者是中國當局。

這也是我們應該憂心的部分。中國可透過許多看似無害的公司，藉由這些公司投放的程式碼，達到攻擊異己，或是竊取資料的間諜行為。這次的事件只是冰山一角，未來可能還有更多攻擊，躲在我們不知道的地方。一不小心，我們都將成為發動攻擊的一份子。

延伸閱讀：
百度统计js被劫持用来DDOS Github | WooYun知识库

【更正】經過本人測試，英國、美國、台灣訪問hm.baidu.com均指向IP 61.135.185.140，而該IP來自中國，因此並非存放於CDN的程式碼有問題，而是存取該檔案的連線通過中國防火牆時遭到竄改。

＝引用結束＝

[生活中找樂趣] - 香港公投網站DDoS攻擊內幕大公開，連Googl...
-
[生活中找樂趣] - Re: [新聞] 百度vs. 360安全衛士 誰是中國流氓軟體？ 中國人表示： ...-
[生活中找樂趣] - 中國駭客鑽IE漏洞 攻擊富比世網站用戶 - 國際...
-
[生活中找樂趣] - 日去年遭境外網攻 四成來自中國 - 國際 - 自...
-
[生活中找樂趣] - 美前國安局長：中國駭入美各大公司 - 國際 - ...

好個借刀殺人的奧步，真是垃圾到極點！

[生活中找樂趣] - 網路審查撒手鐧 中國「大加農砲」登場 - 國際 ...

[生活中找樂趣] - 中國採取新方式 網絡封鎖擴大到境外 除了這個之外，中國現在還會亂改DNS，然後讓...

[生活中找樂趣] - [轉FB] 台灣的主流媒體，幾乎沒有報導中國「芝...

[生活中找樂趣] - 自由廣場》我成為共匪監視人民的幫兇 - 自由電子...

[生活中找樂趣] DDoS攻擊 干擾橫跨歐美網路服務 - 衛報 - Major cyber attac...

@T680 - 印度政府公布42款中國高風險間諜軟體/App不意外的又是新浪微博、微信、小米、百度、36...

@T680 - 美國英國控中國持續性的駭客軍事活動 - 衛報國際版「中國這項行動的觸手非常廣泛」英國官員...

@T680 - [轉FB]【沈榮欽】購買華為、OPPO、Vivo和小米手機要三思，立即刪去包括微信在內的...

@T680 - 【悲憤】iOS版Safari會傳送部分安全瀏覽數據予騰訊 關閉方式：#蘋果電腦爭議 #i...