儘管中國迴避了是否主導攻擊程式碼代管網站GitHub的問題,但電子前線基金會(Electronic Frontier Foundation, EFF)在本周抨擊中國利用國家的網路架構來攻擊政治上的異議份子,把一般使用者的瀏覽器變成阻斷服務工具。EFF並呼籲全球網站應使用HTTPS加密協定以避免淪為相關攻擊的媒介。

長期觀察與批評中國網路審查機制的Greatfire.org與知名程式碼代管網站GitHub相繼在今年3月17日與26日間遭受大規模的分散式阻斷服務攻擊(DDoS)。其中GitHub受到攻擊的兩個專案分別是GreatFire與CN-NYTimes,都是用來讓中國民眾得以造訪被中國網路防火牆封鎖的網站。

由於Greatfire.org吸引的多是關心中國局勢的使用者,被駭並未引起太大的騷動。然而GitHub卻是全球知名的程式碼代管網站,因此GitHub受到有史以來最嚴重的DDoS攻擊不但惹來了全球科技社群的注意,也佔據了大篇幅的媒體版面,還讓美國總統歐巴馬發布行政命令,宣稱近來來自海外的惡意網路行動危害了美國的安全、外交政策,與經濟,因而將其歸類為必須嚴加防範的國家緊急事故。

根據資安研究機構Netressec的分析,駭客在存在於各大網站上的百度分析工具中嵌入了惡意程式,該JavaScript程式會指使瀏覽器不斷造訪GitHub上的兩個專案。但並非中國境內所有的百度分析工具都挾帶惡意程式,估計只有1%的比例受到影響。

EFF則指出,中國干預了百度伺服器及出口中國的流量,促成此事的主要原因之一是百度的分析工具被置放在沒有HTTPS加密保護的網站上,使得位於使用者與網站伺服器中間的任何人都能修改傳輸內容。網站應該全面採用HTTPS協定。其實就算這樣,中國還是可以有其他辦法執行攻擊,例如脅迫服務供應商參與攻擊行動。

EFF認為,要解決相關問題必須同時從政治與技術面著手,網站最好自己保管公用程式函式庫並部署HTTPS,提高惡意程式入侵的門檻。再者民眾應支持諸如Manila Principles等提倡建立全球網路通訊正式規範的計畫,以限制各國政府恣意綁架使用者瀏覽器並用來審查全球網路的行為。(編譯/陳曉莉)

 


熱門新聞

Advertisement