冷漠的阳谋

欧洲互联网自由之战中的口号就是“不要中国的阳谋、不要美国的阴谋”,欧洲应该有自己的自由互联网模式。的确如此。中国的大规模监视并不是秘密,当权者甚至愿意对自身的监视能力进行夸大化宣传,因为他们确信中国社会只会害怕而不会反抗。美国的1984事实则需要斯诺登那样的人冒着生命危险来揭露,当权者更擅长狡辩,从歪曲元数据的概念到对所谓“反恐”的伪装。当然,中国当局也擅长狡辩,他们称监视是为了“抓坏人”,导致民间流传出“我没做什么坏事所以不用担心”的自我安慰。

但是最基本的层面上你应该知道,“好”还是“坏”的定义完全取决于监视者 — 政权,而不是法律和道德规范。

事实上这种自我安慰本身就是完全无效的,即便你是政府的忠实拥护者,你同样需要担心这种收集,因为这些数据早晚会被暴露,有很多恶意行为者对此垂涎欲滴,请准备好面对包括敲诈、钓鱼、勒索在内的各种社交工程骇客攻击。

众所周知这些数据的泄漏早已不是第一次。在此前人脸识别数据库的曝光之后,安全研究人员 Victor Gevers 又报告了一个外泄的社交媒体监视数据库,包括了3.64亿用户的个人资料和聊天记录,这些账户还被关联到用户的真实身份。

这应该并不令人感到意外,中国的社交网络早已全面推行后台实名制,通常是关联手机号码,而手机号码已完成了彻底的实名制。这个监视数据库包括了腾讯旗下的QQ和微信,这两个服务在中国都有数以亿计的用户。

中国的这套监视社交通信的系统看起来很像是美国国家安全局被揭露的 PRISM 监视系统的克隆体。

因此和美国那种一样,中国的这个社交媒体监控程序一直在从6个社交平台检索每个省市的私人在线通信消息,并提取名字,ID号,ID照片,GPS位置,网络信息,并将所有会话和文件传输导入大型在线数据库。

该监视系统每天处理大约3.64亿个在线个人资料及其聊天和文件传输。然后这些帐户被链接到真实的个人身份。然后将数据分布在每个城市/省的警察局 — — 即中国人最了解的“网格化管理”,以使用相同的监视网络名称分离运营商数据库。

通过这些“运营商数据库”,当地执法部门会调查2600到2900条消息和配置文件。每天命名新表以跟踪进度。监视者们很可能手动审查社交媒体通信(包括公共的/私人的消息)。

最值得注意的是,该网络将所有这些数据同步到18个位置的 MongoDB

locations. “r_Capture_Time” : “2019–03–03 02:58:08.0”, “r_QQMsg” : “2019–03–03 02:58:08 \”ζ°? 、XXX丶ζ说:!收【【【46–48道士号】】】卖的微信XXXXXXXXXXXぁ”

https://pbs.twimg.com/media/D0woGfKWsAEEDbM.jpg

Victor,在中国的 ISP 使用这个软件 https://pbs.twimg.com/media/D0ve-qPV4AA0Tl-.jpg

大规模数据库泄漏为我们提供了深入了解中国数字监控状态的窗口。

上个月,安全研究员 Victor Gevers 已经发现并披露了一个暴露的数据库,实时跟踪中国新疆约260万居民的位置。

新疆是中国最大的省份,也是中国维吾尔人的家园,维吾尔族是一个突厥少数民族。在这里,中国政府实施了一个试验性监视国家模型,估计有100万人被任意拘留。被拘留者包括流亡维吾尔族的学者、作家、工程师和亲属。国外的许多维吾尔人担心他们被失踪的家庭成员,他们几个月没有听说过亲人的任何消息,有时甚至超过一年没有任何消息。

大规模拘留中心和新建立的监视系统的普遍证据表明,中国已经在新疆和其他地区投入了数十亿美元用于物理和数字监视手段的普及。但是,通常不清楚这些项目在多大程度上作为真正的、功能性的高科技监视运作,以及它们主要用作某种“维稳战场”的程度:中国当局公开展示压迫和控制,以恐吓和压制不同意见。

现在,这种安全漏洞可以清晰显示中国跟踪其公民的程度:该系统的哪些部分有效,哪些部分无效。它表明监控是真实的,即使它也提出了有关其运营商能力的问题。

本月早些时候,Gevers 发现了一个不安全的 MongoDB 数据库,其中包含被跟踪的260万人的位置和个人信息的记录。记录包括个人的身份证号码,种族,国籍,电话号码,出生日期,家庭住址,雇主和照片。

在24小时的时间内,670万个人GPS坐标被流式传输到数据库并由数据库收集,将个人链接到各种公共摄像机流和与位置标签相关联的识别检查点,例如“旅馆”,“清真寺”和“警察局”。 “GPS坐标全部位于新疆境内。

该数据库由 SenseNets 公司所有,SenseNets 是一家私人AI公司,专供面部识别和人群分析技术。

几天后,Gevers 又报告了第二个开放式的数据库,跟踪数百万辆汽车和行人的行动。检测到闯红灯、超速和各种其他违规行为,触发相机拍照,并ping微信 API,这是为了尝试将事件与真实身份联系起来。

尤其应该提起警惕的是,任何有互联网连接的人都可以访问这个庞大的身份信息数据库

Gevers 还发现了这些服务器以前被其他已知的全球实体访问过的证据,例如比特币勒索攻击者,他们在数据库中留下了条目。最重要的是,该服务器也容易受到几个已知漏洞的攻击

除了这个特殊的监控数据库,一家中国网络安全公司透露,在 Gevers 和其他安全研究人员开始报告之后,至少有468台 MongoDB 服务器暴露在公共互联网上。在这些情况中:数据库既包含中国核电集团拥有的远程访问控制台的详细信息,也包括共享自行车的 GPS坐标数据 — — 这是显而易见的,也是为什么我们一直提醒不要使用共享自行车,以及一切强迫扫码支付的服务和购买

与许多其他国家行为者一样,中国可能只是愿意容忍草率的工程,只要私人承包商可以满足政权对全民监视的需求。

去年,政府在新疆的相关维稳工程上额外花费了30亿美元,而“纽约时报”报道称,中国警方计划在未来再投入300亿美元用于监视。

即使执行不力的监视也非常昂贵。北京政府欺骗所有中国人称这些投资是以他们自己的“安全”为名进行的。 但是,仅通过这些泄漏所揭示的事实就足够说明了一个完全不同的故事:中国领导人似乎对所有公民的隐私或自由毫不关心。

对大多数中国人来说,政府的行为和心思应该早已不是什么秘密。但问题应该是:为什么在人们在广泛了解这些事实的情况下依旧继续留在微信、QQ等平台上,为什么不反抗?抵制这种监控并非不可能、并且很容易做到,隐私人权倡导者一直在努力传授规避的方法、推荐安全的通信应用,但至今收效甚微。这也许才是本消息真正值得思考的地方

广告

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据