Pages

Saturday, 27 October 2018

中国利用'入网点'截取网络资讯, 劫持西方的骨干网络

最新研究发现,为了绕过美中两国2015年签署的禁止商业网络攻击的协定,中国利用在北美地区设置的入网点,劫持互联网供应商之间的路由传输,把北美地区的网络资讯悄然传回中国。
美国《军事网络专业协会杂志》今天转载了美国海军战争学院和特拉维夫大学两位学者上周发布的研究报告,称中国2015年以来一直在“劫持西方国家关键的骨干网络”。
文章说,中国政府2015年与美国政府签署了协议,禁止军方为了经济利益攻击商业网站,对商用电脑网络发动直接袭击。协议签署后,西方怀疑“华为”和“中兴”等中国国有企业代而为之,并酝酿制裁。面对这种情况,“中国电信”这个国有互联网供应商就悄然受命,利用自身的优势截获网络资讯。
具体做法是,“中国电信”2000年开始在北美设置了10个网络入网点(point-of-presence)。入网点的功能是对小型分散网络的资讯进行重新路由疏导,并根据《边境网关协议》(Border Gateway Protocol,简称“协议”)的IP路由表在小型网络之间进行资讯传送。可是“协议”缺乏足够的安全防范,允许任何小型网络宣布路由错误,接受大量本不是发给他的资讯。
这种错误通常几分钟或者几个小时内就能纠正,可有的网络劫持“协议”的路由,把正常的网络资讯传送给不良的服务器,而且看上去像是“协议”正常的处理方式。
两名学者说,他们建立了一套系统,可以跟踪“协议”的路由宣布,并对处理的时间和路由长短进行鉴别,以确定是“意外劫持”还是“故意劫持”。
结果发现,对协议持续的劫持发生在“中国电信”2000年开始在北美设置了10个入网点,其中8个设在美国,2个设在加拿大。报告说,“利用这些众多的入网点,(中国电信)已经相对顺利地对美国国内与横跨美国的网络通联资讯进行了劫持,并在连续几天、几个星期和几个月的时间内把通联资讯重新传给中国。”他们特别提到,这些传输的路由十分遥远,传送的时间很长。
2018年10月,美国几个地区通过网络向意大利米兰Anglo-American 银行总部传送的资讯就被“中国电信”传回中国;2017年4月到5月间的6个星期里,瑞典和挪威的用户通过网络向美国一家大型日本新闻机构传送的资讯被中国截获。两起事件都是通过“中国电信”设在美国马里兰州的入网点开始截获,然后传给设在洛杉矶附近的入网点,再传给设在日本和香港的入网点传回中国。
研究人员表示,中国互联网是个基本封闭的系统,只通过设在北京、上海和香港的三个节点与全球互联网链接。这种设置结构意味着中国无法对“协议”处理的国际通联资讯进行劫持,因为资讯很少经过中国大陆的互联网节点。这就是“中国电信”在北美、欧洲和亚洲设置入网点的原因。
报告批评说,中国在美国设有入网点,美国在中国却一个都没有。这种互联网准入的不平衡使得中国可以通过“中国电信”在任何时间和地点对“协议”处理的资讯进行重新传递,“而不让美国与盟国有这样做的能力”。
报告呼吁,“一个人可以通过控制埋在一个国家基础设施下的关键传输节点来重新引导并记录数据。这种行为的普遍和随意需要紧急的政策回应。”
-------

西方国家之间的互联网通信数据,为什么舍近求远绕道中国?美国和以色列的两名学者近日发布了一项研究报告称,多年来,国有企业-中国电信一直利用其在北美的互联网节点设施窃取西方国家的网络通信内容
两名学者分别来自美国海军战争学院以及以色列特拉维夫大学,他们的合作研究报告刊登在最新一期的专业期刊《网络军事事务》上。报告指,作为中国第三大电信服务商,中国电信多年来都在"窃听各主要国家至关重要的骨干互联网",窃听行为在2015年秋天之后尤其明显。当时,习近平与奥巴马签署了协议,规定中美两国军队或政府部门不互相进行网络攻击、窃取知识产权。但是该协议并没有涵盖企业部门的相关行为。
研究称,早在新世纪伊始,中国国有的电信企业就开始利用部署在西方国家的PoP接入点设施劫持、窃取互联网通信。中国电信利用BGP(边界网关协议)允许接入点宣布路由错误的设计,将正常的网络通信"绕道"传输往中国。
舍近求远浑然不觉
研究者以2016年加拿大通往韩国政府网站的网络路由为例:最短路由本应该是加拿大-美国-韩国,而被劫持的路由则通过位于加拿大多伦多的中国电信节点,先后转发到中国电信加利福尼亚节点、中国大陆节点,最终迂回到韩国。报告注意到,这种绕道传输的方式持续了大约6个月,说明这不可能是临时性网络故障、拥堵引起的路由改变,而受害方的防护系统通常也不会对长期的路由改变发出警报。
在另一个案例中,美国多地与一家意大利银行之间的通信也在2016年10月被劫持。相应的网络通讯没有经过正常的美国-瑞士-意大利路由,而是经过中国电信加利福尼亚节点前往中国。不过,这起案例中,中国劫持者显然遇到了一些困难,他们反复更改被劫持数据在各中国节点之间的路由,但却始终无法让数据最终回到意大利。整个劫持仅仅维持了9个小时。
用于决定数据传输路径的BGP协议诞生于80年代,受时代所限并无太多的安全机制。因此,黑客可以较容易地改变传输路由,让数据经过特定的节点服务器从而方便窃听。
目前,中国电信在美国以及加拿大共拥有10个PoP接入点。而中国本身的互联网基础设施则相对封闭,仅拥有北京、上海、香港三个出口节点,且全部由本国企业所控制。研究者呼吁,美中两国的互联网接入点也应该符合"对等原则":要么让美国电信企业也能在中国建设PoP接入点,要么就通过修改BGP协议的路由表来阻止美国的互联网通信数据经过中国电信设立在北美的节点,从而增加数据劫持的难度.

No comments:

Post a Comment