中国的信息控制如何导致网络薄弱?

  • 没有任何审查和监控的便利性可以是 “专有” 的 —— 要么每个人都能得到这种能力,要么没有任何人能得到。绝无其他选项。对任何国家任何人来说都是如此

【按】这篇文章的视角比较狭窄,但它的潜在立场(它所暗示的立场)与我们是一致的,即:如果您能在不自由的世界里为自己和同道营造一片自由空间,您活着这件事本身,就是反抗

为此我们提供了很多做法以帮助您实现这点。

并且这篇文章有一点说的没错,在数字世界里,没有任何审查和监控的便利性可以是 “专有” 的 —— 要么每个人都能得到这种能力,要么没有任何人能得到。绝无其他选项。对任何国家任何人来说都是如此。我们曾经在《监视之恶》第6集(下)中解释过这个问题。

这篇文章的视角之所以狭窄是因为,它没有看到禁止加密(中国的做法)和制造间谍工具(美国的做法)不完全相同,中国的数字化程度不如美国,尤其是该国的密码法给予当权者以更高的保密性,于是最终中国的做法更多侵害的是普通公民和一些下层公职人员。

在全球反加密的战争中也许没人能干得过美国,但是中国除外。中国社会没有能成功抵制密码法的施行,中国缺少专业的民间权利组织(虽然中国公民大的隐私意识正在明显提升);而同样的法律在美国很可能难以通过,因为权利组织和整个社会都会抵制它。于是美国的监视审查更多是秘密进行的,如果没有吹哨人,大众不可能知道;而中国很大程度上是明目张胆地进行。

但这篇文章重申的常识目前依旧有用,即:当您不得不使用中国的网络服务和登录中国的网站时,分身是您能做的最好的选择。

2015年,有消息称,中国黑客入侵了美国人事管理办公室的计算机网络,暴露了数百万政府雇员的个人数据。对此,白宫主动采取多种措施提高政府网络安全。其中,白宫管理和预算办公室要求所有政府网站在2016年底前实施HTTPS。

HTTPS是超文本传输安全协议的首字母缩写,它可以确保访问者与网站之间的连接的私密性、网站是 “真实的” — — 意味着访问者没有登陆假冒网站,而且访问者与网站之间的数据没有被修改。在网站上实施HTTPS并不是抵御恶意网络攻击的灵丹妙药,但它可以使广泛的跟踪和拦截浏览流量变得更加困难。同样,虽然目前还不清楚此前美国政府系统缺乏HTTPS是否在人事管理办公室被入侵事件中起到了作用,但实施HTTPS至少消除了一个可能被未来黑客利用的安全漏洞。

具有讽刺意味的是,虽然在中国发生高调的网络攻击事件后,美国政府推动了HTTPS的实施,但HTTPS在中国国内却很少被使用。

使用TLS1.3  — — 最新版本的传输层安全协议,在网络浏览器和服务器之间提供安全通信、和ESNI — — 加密服务器名称指示,防止第三方看到用户访问的网站 — — 的HTTPS,在中国几乎被完全封锁。中国政府之所以实施这一禁令,是因为TLS1.3通过ESNI运行后,中国的审查人员很难看到用户访问的网站,从而降低了政府的信息控制能力。即使是BBC或维基百科这样的国外平台,一迁移到HTTPS就被中国禁止了。

然而,中国政府努力抑制加密,只为了方便自己的审查和监控,已经创造了一个这样的在线环境:即使是携带敏感的政府数据、健康数据和商业数据的网站也没有加密,这就使得这些网站更容易被间谍机构和网络犯罪分子利用。

有人提出了一些反驳意见。西方国家政府很热衷于削弱加密技术以方便执法部门进行刑事调查。就在最近,“五眼” 情报联盟的成员(澳大利亚、加拿大、新西兰、英国和美国)、以及印度和日本,都呼吁科技公司让政府获得端到端加密的私密内容。澳大利亚还通过了一项法律,规定技术公司有义务为澳大利亚政府引入后门。但尽管有这些举措,加密技术在大多数民主国家仍然很普遍,增加了对恶意攻击和利用的弹性。

【注:您可以在我们的 列表-1 “加密和反加密之战” 板块中看到具体内容】

加密在中国遇到的阻力更大。中国政府的《密码法》及其实施是世界上最严格的法规之一,政府可以完全接触到国内所有的加密内容。

中国《密码法》第31条允许国家密码管理局检查和接触加密系统。这条法律适用于所有行业,包括微信等社交媒体公司,因为信息不是端到端加密的,所以它们必须(也能够)交出所有用户数据。

在金融领域,网络安全咨询公司 Trustwave SpiderLabs 披露了一家中国银行要求客户安装的税务软件中如何存在后门,该软件是为了让人们可以在当地缴税。这个被称为 Golden Spy 的恶意软件具有民族国家协调性网络行动的某些特征,由总部位于北京的中国航天科工集团开发,该公司是中国国家税务机关的主要承包商。

虽然 Trustwave SpiderLabs 并未将此次行动归结为任何行为人,但该后门可能是中国当局根据《密码法》对公司网络进行审查的工具。

简而言之,中国的监管环境允许对互联网流量和静止状态下的数据进行侵入性技术监控。该国的互联网生态系统是为监控所有相关的金融、政治、社会和经济数据而量身定做的,通过在网上扼杀任何异议以避免异议扩散到线下,来维护政权稳定。

限制HTTPS的使用和更广泛的加密,对中国的监控基础设施非常重要,并使该国领导人对在线网络有至关重要的洞察力。当数据在未加密的情况下传输时,政府当局可以随时衡量民众的政治情绪,他们可以允许赞美中共的内容,并屏蔽批评中共的内容。

然而,这种对侵入性监控的需求和规避加密的强调是有代价的。正如专家和国家安全官员认为的那样,破坏加密会危及网络安全和国家安全,中国在多大程度上阻止境内加密可能会伴随着其网络防御能力的削弱。

中国的信息控制基础设施如何潜在影响其网络防御能力的问题受到了有限的关注。例如,Robert Sheldon 就认为,在中国,将大量资源投入到运营审查监控的基础设施上,使有限的熟练人力资源被抽走,而这些人力资源本来可以在网络防御或进攻中发挥作用。

中国无孔不入的监控基础设施,加上弱小的或有时根本不存在的加密技术,也让中国的许多数据暴露在被操纵和被间谍的状态中。我在各个政府和行业部门进行了搜索,以衡量与中国国家安全相关的网站是否部署了HTTPS。

许多与政府服务、国家重要基础设施或社交媒体平台有关的网站和登录入口均未实施 HTTPS。因此,这些网站很容易被第三方操纵和冒充,敏感用户数据更容易被外国情报机构拦截。这使得不仅是国家安全官员、政府间谍/军事人员,还包括普通公民、就医的患者和银行客户,都面临这些风险。

受影响的机构包括中国人民解放军海军、中国人民公安大学、中国政府网、外交部、中共中央统战部、北京医院、中国联合航空公司、吉林银行、人人网(社交媒体平台)和人民日报(报纸)。

值得注意的是,部分中国网站确实部署了HTTPS。另一些网站则在HTTP页面中嵌入HTTPS内容,但这还不够,因为恶意者可以进行中间人攻击,将 “真实” 的登录页面替换成另一个 “虚假” 的登录页面。

中国目前的网站安全状况,以及更广泛的网络防御能力,之所以严峻,可能有很多原因。一种解释可能是当局和运营网站的私营公司一直没有意识到他们的不良安全行为;另一个原因可能是,虽然私营行业和非政府组织在西方推动了HTTPS的实施,但类似的运动在中国可能还没有发生。然而,网络安全和防御能力被削弱的最可能原因是,政府有意削弱加密和安全实践,以便中国的信息控制机器能够发挥作用。

信息控制(通过监视审查、诱导自我审查、和战略性信息传播)具有经济和人权方面的影响。中国和许多西方国家都在很大程度上依赖于监视和塑造公众舆论来控制其领土内的人口,民主国家在信息控制方面的做法各不相同,它们限制审查的数量,更多诱导民众进行自我审查

过于压抑的信息控制并没有阻碍中国数字经济的发展,但一些评论家认为,限制信息的自由流动扼杀了经济的增长,这在直播行业中就可以看到。无孔不入的信息控制在人权方面产生了更直接的影响,使少数民族和持不同政见者都暴露在执政党的压迫之下。

虽然信息控制对经济和人权的影响已经有了较为广泛的研究,但对其对网络防御能力的影响还没有被充分的分析。

政策制定者需要意识到,网络空间的成功竞争取决于对民主或专制政府模式对一国网络防御的后果有内在的了解。长期以来,西方领导人一直将物理基础设施的安全放在首位,这可能会转化为更好的网络防御能力,但它也相当于让这些政府对信息操纵持开放态度;同时,更多专制主义倾向的国家在防御信息操纵方面可能具有更多优势,但代价是可能更容易受到网络攻击和利用。专制政府可能会容忍这种对安全的妥协,因为他们优先考虑监视和审查的做法。

民主政府和专制政府对网络安全不同方面的不同侧重并不新鲜。然而,西方政府过于强调民主政体在信息操纵方面的脆弱性,而对专制政权在网络防御方面的脆弱性关注不够。民主政府必须评估专制倾向国家在信息控制和政权稳定方面的考虑对其日常网络行动的影响。

不同的信息控制制度不仅影响到加密技术的采用,而且还影响到一个国家更广泛的互联网基础设施。这就提出了一个问题,即 所谓的防火长城(中国的审查和监控项目)或 SORM(操作性调查活动系统 — — 俄罗斯的在线监控系统)如何在潜在的敌对活动中被用于防御目的或被进攻者利用。例如,GFW的基础设施在中国国外已经被用于进攻目的,在被称为大炮的分布式拒绝服务攻击中。

长期以来,中国可能更愿意关注其进攻性而非防御性网络能力。解放军已经将其思维向这个方向倾斜,强调需要加强网络防御能力。也许中国内部应该进行更广泛的反思,通过提高真正的网络安全,让网民有更大的自由度和匿名性。

但包括实施无处不在的加密在内的根本性体制改革不太可能发生,因为更广泛地采用强加密会削弱政府对公民意见的监视能力,并降低其在国内操纵和拒绝内容的能力。这将意味着对巩固统治阶级权力的信息控制机器的根本性挑战。然而,如果中国保持现状,这样做可能会以牺牲其网络防御能力为代价  — — 并在未来几年内使竞争大国的网络行动受益。⚪️

How China’s Control of Information is a Cyber Weakness 

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据