可以不要封鎖掰噗嗎

美國資訊安全公司研究指出，中國駭客已能繞過兩個被廣泛用來保護網路使用者隱私的工具：「虛擬私有網路」（VPN）和「洋蔥瀏覽器」（TOR），找出被中國當局視為有害的網頁內容產製者和閱讀者，亦即中國網路用戶或記者即便利用這兩種工具繞過政府網路監視和封鎖，瀏覽敏感網站，也難保身分不會曝光。研究人員並直指，這些駭客應是接受中國政府指示。

紐約時報報導，VPN和TOR都是透過將使用者電腦的網路連線轉向全球多個不同節點，以隱匿其真正位址。但矽谷資安公司AlienVault研究員布萊斯科（Jaime Blasco）說，現在中國駭客利用「水坑攻擊法」（watering hole attack）以及中國十五大熱門網站的「JSONP綁架漏洞」，已能繞過這些工具的隱私保護。

水坑攻擊法即透過一些網站，鎖定常使用該網站的特定族群。在此案例中，駭客入侵維吾爾、伊斯蘭、媒體和非政府組織常用的中文網站，植入惡意程式碼，一旦目標族群使用這些網站，就會被病毒感染。

布萊斯科說，這類攻擊格外嚴重之處在於，一旦被攻擊者登入存有JSONP漏洞的中國十五大網路服務業，如百度、淘寶、QQ、新浪、搜狐、人人、攜程旅行網等，駭客即可蒐集他們的個人資料，甚至追蹤他們瀏覽過網頁的歷史資料，如暫存檔（cookie），即使用戶是透過TOR或VPN，也會被過濾出身分。

JSONP被廣泛用來取得跨網域資料，可繞過瀏覽器的「同網域政策」，卻可能導致不同網域間的資料外洩，攻擊者藉此蒐集使用者資料後，傳至受其控制的伺服器。

布萊斯科說，JSONP漏洞在二○一三年就被發現並公開，但受影響的中國各大網站一直未予修補。研究發現攻擊者鎖定極小群人，由於未從其所蒐集的資料中獲取金融利益，顯然是要揭露造訪某些網站的用戶身分。

紐時指出，現任中國國家主席二○一二年底掌權後，就展露對於如何管理網路的興趣，成立並領導「中共中央網絡安全和信息化領導小組」，賦予該單位廣泛權力。布萊斯科還未能確定這些駭客的身分，但是從其攻擊對象、使用手法之高明來看，「他們或許是受中國政府指示」。

=引用結束=

[生活中找樂趣] - 再也無法翻牆了？　傳大陸正式封鎖VPN #中國 #鎖國 #網路自由 #中國網路自...

中共：不鎖VPN啦，大家盡量翻吧！這樣我們才能抓到人。[解放軍表情] （設計對白）

[生活中找樂趣] - 自由廣場》我成為共匪監視人民的幫兇 - 自由電子...

[生活中找樂趣] - 中國公司被指在安卓手機留「後門」 去年爆一次不夠，今年也要爆第二次 + - ...

[生活中找樂趣] 中國下令對新疆（東突厥斯坦）數百萬台私家車安裝GPS追蹤器以強化監控 - 衛報 - ...

[生活中找樂趣] 違反"網路法規"？中國將質詢蘋果的用以擊敗審查與規制的視訊串流軟體 - 衛報國際版 ...

[生活中找樂趣] 【美中諜報戰】報告指出：中國"拆解"CIA諜報行動，狙殺或囚禁線民 - 紐約時報 + ...

[生活中找樂趣] - VPN APP集體「陣亡」中共封殺翻牆 網民罵聲一片 會意外，會奇怪嗎？ via...

[生活中找樂趣] - [爆卦] 中國騰訊QQ群機器人造反了 工程師大概也要失蹤了 - 聊天批共產...

[生活中找樂趣] 2020年，中國預計將完成全國各地的臉部辨識監控網路，該系統有能力針對都會區民眾， 達...

@T680 - 美國英國控中國持續性的駭客軍事活動 - 衛報國際版「中國這項行動的觸手非常廣泛」英國官員...