搜索引擎巨头谷歌(Google)最近表达了不愿再配合中共对自由信息的过滤,并扬言退出中国市场。这项宣告震撼了全球。这项决定是突然的吗?导火线是甚么?
遭黑客攻击Gmail
谷歌日前在其官方部落格中说:「去年12月中旬,我们检测到一次来自中国的、对我们集团网络设备高度精密和有针对性的网络攻击。在此次攻击中,谷歌公司的知识产权遭到窃取。我们很快就查清这并非只是一场单纯的安全事件。我们发现美国、中国和欧洲的几十个致力于中国人权活动的Gmail用户的帐户都似乎被第三方例行访问过。访问这些账户的人并不是通过谷歌的任何安全漏洞实现目的的,大多数是通过在用户的计算机上安插钓鱼欺诈或恶意软件来实现的。」媒体报导,33家硅谷技术公司的基础设施都遭到了来自中国黑客的攻击,分析认为这可能是中国情报部门探听海内外异议人士而采取的行动。
谷歌2008年总收入近220亿美元,来自中国的收入只占其中很小比例。谷歌在2006年推出中文搜索引擎Google.cn,在中国政府的压力下,同意审查过滤部分搜索结果,如六四、法轮功等重大历史事件相关信息。即使这样,2009年,中国政府借口谷歌网站有黄色内容,导致谷歌的视频分享网站YouTube无法从中国境内登陆。同时,中国政府一直希望谷歌公开其电子邮件系统,以便监控海内外异议人士。几年前,当时最大的免费电邮系统公司雅虎(yahoo)就向中国政府妥协过,直接导致了一名异议人士师涛的被捕。分析人士认为,在不能得到完全配合的情况下,中国政府可能正在动用情报部门采取其他手段获得相关信息。
来自中国的黑客
谷歌称,去年12月中旬所侦测到的来自中国、针对谷歌公司基础架构发起的非常高技术、有针对性的攻击,有证据表明攻击者的主要目的是进入中国人权活动人士的Gmail账户。知情人士说,攻击针对了34家不同公司。BBC新闻报导称,已看到了两份发布在网上的名单,内容包括来自Gmail、雅虎、微软Hotmail以及其他服务提供商的「超过3万个用户名和密码」。微软此前确认,逾1万个Hotmail帐户及密码被泄露到一个名为pastebin.com的网站。奥多比系统公司(Adobe Systems Inc.)和瞻博网络公司(Juniper Networks Inc.)也表示受到了攻击。知情人士透露,攻击引起了美国国家安全局(National Security Agency)等美国情报部门的注意。
谈到谷歌产品安全,网络安全专家都表示,相对而言几乎所有的网络产品都是不安全的。但相比雅虎或是Hotmail其他产品,谷歌在网络硬件和软件的防守系统上的资源投入是非常大的。从安全技术本身来看,相对其他公司而言,谷歌的网络安全防备系统非常好。在巨大访问量的情况下,找出哪些是黑客入侵,哪些不是,几乎就是大海捞针,在技术上是很难的一件事,非常不容易。谷歌开发了自己的网络安全系统,有非常强大的计算能力,几千台计算机同时运行分析,这是一般公司根本做不到的。
美国国家安全事务公司(Defense Group Inc.)下属的情报研究与分析中心(Center for Intelligence Research and Analysis)主任穆尔维农(James Mulvenon)说,这些攻击似乎是通过至少6个位于台湾的网络地址发起的,这是中国黑客掩盖其身分的惯用策略。穆尔维农说,这些黑客还盗用了位于得克萨斯州圣安东尼奥的Rackspace公司的网络地址,该公司是美国最大的互联网服务托管提供商之一。黑客将从谷歌和其他公司盗取的数据转到圣安东尼奥的站点,然后再发送至海外。
对于谷歌所受到的攻击,网络安全技术界给出了各种解释。VeriSign公司的iDefens实验室的安全分析师发布了一份媒体公告,称黑客攻击了主要的原代码库。VeriSign iDefense在其公告中称:「据熟悉这种攻击的人员透露,攻击者采取了传播针对谷歌的恶意代码的方式和使用PDF文件作为电邮附件的攻击方式;这些文件的特征和7月份的攻击特征很相似。这两起攻击中,恶意文件都在Windows DLL中安插了一个后门木马。」VeriSign说这两起攻击使用了相似的IP地址,并使用了相同的命令和控制结构。这些IP地址都属于Linode(一家美国的虚拟私有服务器主机供货商)所有。VeriSign说:「考虑到它们是如此接近,有可能这两种攻击就是同一种攻击。那些遭到硅谷攻击的组织自7月以来就一直处于威胁之中。」
间谍网络「鬼网」
多伦多大学公民实验室(Citizen Lab)顾问会成员,渥太华SecDev集团首席执行长罗贺辛斯基(Rafal Rohozinski)说,攻击者使用了至少7种攻击代码,以鉴别并从谷歌窃取数据,有迹象表明谷歌遭受的攻击与达赖喇嘛办公室以及许多外国大使馆的计算机早些时候受到的攻击类似。SecDev集团去年发现了一起中国针对达赖喇嘛的大规模网络间谍活动。研究人员监测到这起攻击,并将其命名为「鬼网」(GhostNet)。受害者收到看上去像是认识的人发送的电子邮件,但实际上是出自黑客之手。当收件人打开附件时,一则计算机代码就会自动安装在受害人的计算机上,令黑客得以控制计算机。罗贺辛斯基经过两年的调查发现,造成近两年内全球103个国家至少1,295台政府和民间机构计算机遭到渗透的间谍网络「鬼网」,几乎全部设在中国。罗贺辛斯基表示,鬼网的运作很像是中国政府网络情报部门的一部分。
微软IE的新漏洞
《黑客大曝光》一书的作者McAfee CTO George Kurtz在部落格中称,谷歌所受攻击应该源于一种新的此前不大为人所知的IE漏洞。McAfee已经向微软通报了此漏洞,预计不久微软将提供相关建议。他表示,攻击主要针对某些能够访问重要知识产权的特定人员,攻击者向他们发送像是来自一个信任来源的链接或者附件,诱使目标点击,不知不觉中下载和安装恶意软件,为攻击者打开后门,进入所属公司的网络。1月16日,微软刚证实新发现了一个IE 0day漏洞,针对该漏洞的攻击代码就已开始在网上扩散。经安全中心验证,该漏洞几乎涉及所有IE浏览器,而微软尚未推出相应补丁。
中国分公司的内鬼
知情人士称,谷歌正在调查其中国员工是否向黑客袭击提供了便利。该公司共有约700名中国员工,分别在中国上海、北京和香港负责一系列产品的相关工作,包括与中国市场无关的产品。知情人士透露,谷歌总部在声明退出中国之后,立刻取消了所有中国工程师访问谷歌代码服务器的权限。他们都是在上班后发现服务器的home目录进不去了。事先根本没有通知。很多写到一半的代码要等调到美国才能继续写。分析人士推测,谷歌受到的攻击是来源于内部,中国情报部门可能利用或胁迫一些谷歌中国员工窃取内部信息数据。
谷歌对于技术人员的诚信是相当信任的。谷歌只有一个代码库,即使是一个实习生,也可以访问99%以上的代码。而且谷歌的代码、注释和技术说明文档是一体的,对每一个工程师都是公开的。
据传,谷歌上海分公司的技术人员中被安插了中国政府情报组织的内线,一共有三个卧底,还有中共党支部,这些人一下班就偷偷去陆家嘴开党支部会议。支部书记是国安4年前布的局,此人是交大的,毕业去了中国信息安全部,后来进了谷歌。他在谷歌发展了两个内线,其中一个内线用穷举法破解了Gmail的原代码系统,然后上交给了中国信息安全部,这样一来Gmail系统的所有漏洞全部暴露无遗,所以才有「知识产权受到威胁」一说。
中共特工这次窃密行动,让谷歌面临全面破产的境地,再在中国待下去,可能要威胁到整个公司的生存,所以才如此仓促的要把中国部门的一切工作全部停掉。看来高科技公司外包到中国的路走到尽头了,这对美国的硅谷工程师们说不定是个福音。
