搜索引擎巨頭谷歌(Google)最近表達了不願再配合中共對自由資訊的過濾,並揚言退出中國市場。這項宣告震撼了全球。這項決定是突然的嗎?導火線是甚麼?
遭駭客攻擊Gmail
谷歌日前在其官方部落格中說:「去年12月中旬,我們檢測到一次來自中國的、對我們集團網路設備高度精密和有針對性的網路攻擊。在此次攻擊中,谷歌公司的知識產權遭到竊取。我們很快就查清這並非只是一場單純的安全事件。我們發現美國、中國和歐洲的幾十個致力於中國人權活動的Gmail用戶的帳戶都似乎被第三方例行訪問過。訪問這些帳戶的人並不是通過谷歌的任何安全漏洞實現目的的,大多數是通過在用戶的電腦上安插釣魚欺詐或惡意軟體來實現的。」媒體報導,33家矽谷技術公司的基礎設施都遭到了來自中國駭客的攻擊,分析認為這可能是中國情報部門探聽海內外異議人士而採取的行動。
谷歌2008年總收入近220億美元,來自中國的收入只占其中很小比例。谷歌在2006年推出中文搜索引擎Google.cn,在中國政府的壓力下,同意審查過濾部分搜索結果,如六四、法輪功等重大歷史事件相關信息。即使這樣,2009年,中國政府藉口谷歌網站有黃色內容,導致谷歌的視頻分享網站YouTube無法從中國境內登陸。同時,中國政府一直希望谷歌公開其電子郵件系統,以便監控海內外異議人士。幾年前,當時最大的免費電郵系統公司雅虎(yahoo)就向中國政府妥協過,直接導致了一名異議人士師濤的被捕。分析人士認為,在不能得到完全配合的情況下,中國政府可能正在動用情報部門採取其他手段獲得相關信息。
來自中國的駭客
谷歌稱,去年12月中旬所偵測到的來自中國、針對谷歌公司基礎架構發起的非常高技術、有針對性的攻擊,有證據表明攻擊者的主要目的是進入中國人權活動人士的Gmail帳戶。知情人士說,攻擊針對了34家不同公司。BBC新聞報導稱,已看到了兩份發布在網上的名單,內容包括來自Gmail、雅虎、微軟Hotmail以及其他服務提供商的「超過3萬個用戶名和密碼」。微軟此前確認,逾1萬個Hotmail帳戶及密碼被洩露到一個名為pastebin.com的網站。奧多比系統公司(Adobe Systems Inc.)和瞻博網路公司(Juniper Networks Inc.)也表示受到了攻擊。知情人士透露,攻擊引起了美國國家安全局(National Security Agency)等美國情報部門的注意。
談到谷歌產品安全,網路安全專家都表示,相對而言幾乎所有的網路產品都是不安全的。但相比雅虎或是Hotmail其他產品,谷歌在網路硬件和軟體的防守系統上的資源投入是非常大的。從安全技術本身來看,相對其他公司而言,谷歌的網路安全防備系統非常好。在巨大訪問量的情況下,找出哪些是駭客入侵,哪些不是,幾乎就是大海撈針,在技術上是很難的一件事,非常不容易。谷歌開發了自己的網路安全系統,有非常強大的計算能力,幾千台電腦同時運行分析,這是一般公司根本做不到的。
美國國家安全事務公司(Defense Group Inc.)下屬的情報研究與分析中心(Center for Intelligence Research and Analysis)主任穆爾維農(James Mulvenon)說,這些攻擊似乎是通過至少6個位於台灣的網路地址發起的,這是中國駭客掩蓋其身分的慣用策略。穆爾維農說,這些駭客還盜用了位於德克薩斯州聖安東尼奧的Rackspace公司的網路地址,該公司是美國最大的互聯網服務託管提供商之一。駭客將從谷歌和其他公司盜取的數據轉到聖安東尼奧的站點,然後再發送至海外。
對於谷歌所受到的攻擊,網路安全技術界給出了各種解釋。VeriSign公司的iDefens實驗室的安全分析師發布了一份媒體公告,稱駭客攻擊了主要的原代碼庫。VeriSign iDefense在其公告中稱:「據熟悉這種攻擊的人員透露,攻擊者採取了傳播針對谷歌的惡意代碼的方式和使用PDF文件作為電郵附件的攻擊方式;這些文件的特徵和7月份的攻擊特徵很相似。這兩起攻擊中,惡意文件都在Windows DLL中安插了一個後門木馬。」VeriSign說這兩起攻擊使用了相似的IP地址,並使用了相同的命令和控制結構。這些IP地址都屬於Linode(一家美國的虛擬私有服務器主機供應商)所有。VeriSign說:「考慮到它們是如此接近,有可能這兩種攻擊就是同一種攻擊。那些遭到矽谷攻擊的組織自7月以來就一直處於威脅之中。」
間諜網路「鬼網」
多倫多大學公民實驗室(Citizen Lab)顧問會成員,渥太華SecDev集團首席執行長羅賀辛斯基(Rafal Rohozinski)說,攻擊者使用了至少7種攻擊代碼,以鑒別並從谷歌竊取數據,有跡象表明谷歌遭受的攻擊與達賴喇嘛辦公室以及許多外國大使館的電腦早些時候受到的攻擊類似。SecDev集團去年發現了一起中國針對達賴喇嘛的大規模網路間諜活動。研究人員監測到這起攻擊,並將其命名為「鬼網」(GhostNet)。受害者收到看上去像是認識的人發送的電子郵件,但實際上是出自駭客之手。當收件人打開附件時,一則電腦代碼就會自動安裝在受害人的電腦上,令駭客得以控制電腦。羅賀辛斯基經過兩年的調查發現,造成近兩年內全球103個國家至少1,295台政府和民間機構電腦遭到滲透的間諜網路「鬼網」,幾乎全部設在中國。羅賀辛斯基表示,鬼網的運作很像是中國政府網路情報部門的一部分。
微軟IE的新漏洞
《駭客大曝光》一書的作者McAfee CTO George Kurtz在部落格中稱,谷歌所受攻擊應該源於一種新的此前不大為人所知的IE漏洞。McAfee已經向微軟通報了此漏洞,預計不久微軟將提供相關建議。他表示,攻擊主要針對某些能夠訪問重要知識產權的特定人員,攻擊者向他們發送像是來自一個信任來源的鏈接或者附件,誘使目標點擊,不知不覺中下載和安裝惡意軟體,為攻擊者打開後門,進入所屬公司的網路。1月16日,微軟剛證實新發現了一個IE 0day漏洞,針對該漏洞的攻擊代碼就已開始在網上擴散。經安全中心驗證,該漏洞幾乎涉及所有IE瀏覽器,而微軟尚未推出相應補丁。
中國分公司的內鬼
知情人士稱,谷歌正在調查其中國員工是否向駭客襲擊提供了便利。該公司共有約700名中國員工,分別在中國上海、北京和香港負責一系列產品的相關工作,包括與中國市場無關的產品。知情人士透露,谷歌總部在聲明退出中國之後,立刻取消了所有中國工程師訪問谷歌代碼服務器的權限。他們都是在上班後發現服務器的home目錄進不去了。事先根本沒有通知。很多寫到一半的代碼要等調到美國才能繼續寫。分析人士推測,谷歌受到的攻擊是來源於內部,中國情報部門可能利用或脅迫一些谷歌中國員工竊取內部信息資料。
谷歌對於技術人員的誠信是相當信任的。谷歌只有一個代碼庫,即使是一個實習生,也可以訪問99%以上的代碼。而且谷歌的代碼、注釋和技術說明文檔是一體的,對每一個工程師都是公開的。
據傳,谷歌上海分公司的技術人員中被安插了中國政府情報組織的內線,一共有三個臥底,還有中共黨支部,這些人一下班就偷偷去陸家嘴開黨支部會議。支部書記是國安4年前布的局,此人是交大的,畢業去了中國信息安全部,後來進了谷歌。他在谷歌發展了兩個內線,其中一個內線用窮舉法破解了Gmail的原代碼系統,然後上交給了中國信息安全部,這樣一來Gmail系統的所有漏洞全部暴露無遺,所以才有「知識產權受到威脅」一說。
中共特工這次竊密行動,讓谷歌面臨全面破產的境地,再在中國待下去,可能要威脅到整個公司的生存,所以才如此倉促的要把中國部門的一切工作全部停掉。看來高科技公司外包到中國的路走到盡頭了,這對美國的矽谷工程師們說不定是個福音。