操纵社交网络编辑本段回目录
在叙利亚和伊朗,社交媒体用户正不知不觉陷入一种危险的安全感错觉。
吉利安·约克上次修改于2011年8月31日14:55
叙利亚人抗议黑客攻击他们的Facebook帐户(Gallo图库/盖蒂图片社)
从突尼斯到巴林,熟悉网络的活动分子都知道一件事:互联网不是永远安全的。大到随时随地的监视,小到在Facebook上贴错一张图都可能害你被抓——或者更惨——长期以来,活动分子通过自己小心、使用Tor之类的特殊工具,或是一致远离某些网络,来设法降低风险。
不幸的是,不光那些缺乏必要常识的活动分子,甚至连他们中最熟悉网络的都可能被更精通网络的当局陷害。比如,早在12月,突尼斯起义正要开始的时候,国内的活动分子发现,他们的Facebook帐户被攻击了,一些报道被删除。这使得Facebook展开调查,并最终把用户导向它的一个HTTPS安全模式。
这次事故促使Facebook决定把安全模式推广到所有用户。2月底,用户可以更安全地使用Facebook。可是本周出现的两次事故表明,他们高兴得太早了。最近,使用Facebook的异见人士在一系列事件中遭到利用。在当局和使用社交媒体的反对派之间,“猫抓老鼠”的游戏似乎一直上演。
叙利亚Facebook用户中招
几个月以来,叙利亚当局和它的支持者不断设计和采取新方法打击亲反对派的社交媒体用户,把Twitter标签连到不相关链接,攻击和涂抹反对网站,等等。大量的Facebook操纵事件被发现,却无一得以证实。
今天,《信息站观察员》报道了新一轮针对反叙利亚派的攻击尝试。虽然攻击方不明,但攻击目标是Twitter和Facebook用户。根据这篇报道,罪魁祸首尝试发送一条链接,引人前往观看Facebook上的一段录像,而点击者将被引到一个伪装的Facebook页面。用户一旦登录,他们的认证信息就会被获取,帐号安全受到威胁。
不论攻击者是当局还是第三方,这种基于观测的攻击有可能毁坏用户尚未备份的Facebook数据,并给帐号中包含私人信息或敏感联系人的活动分子带来高度危险。不过,相对于本周在邻国伊朗的发现,这种攻击不过是小巫见大巫。
伊朗连接
随着阿拉伯之春的发生和Firesheep之类工具的发展,不断升级的风险迫使社交媒体平台提供加密HTTPS连接,给用户提供更安全可靠的登录方法。在上述突尼斯攻击发生后,Facebook向用户普及了加密登录服务,而Twitter由于大意(它已经有一个加密服务)还处于这项服务的初级阶段。大部分网络邮件程序也都提供安全浏览。
用户访问这些网站时,依赖于电子证书(CAs)。成百上千的公司签署了这些假设能够担保安全浏览的电子证书。但是如果其中之一上当签署了一个欺骗性的证书,会怎么样?那个欺骗性证书会被用来危害人们相信可以安全浏览的网站。
星期一,伊朗的一位Gmail用户报告,来自Google的Chrome浏览器的一个警告表示存在一个虚假证书。Google发表声明,承认主要是伊朗用户受到影响,那个证书是两个月之前,6月10日由一个名叫DigiNotar的认证方发布的。尽管电子认证系统的批评者们已经长时间担心攻击的可能性,这还是第一次“在自然环境中”发生这种攻击。
在过去的两个月中,使用过加密Google网站和Gmail的伊朗人很可能已暴露在监视之下,他们的用户数据(包括密码和任意登录活动)可以被攻击者获取。
Google方面发布了一个声明,提醒用户注意更新软件,并当心浏览器的警告。谋智(火狐浏览器的制造者)和微软也向用户传达了这一情况。
不同方法,同样的目的
尽管伊朗的攻击明显比叙利亚对Facebook用户的渗透更老练,二者都为同样的结果服务:通过恶意行为攫取用户数据,来封杀或迫害异见人士。
叙利亚当局利用被拘留者的Facebook帐号,比如,去追查其它活动分子。同样的事情也发生在巴林。据报道,伊朗使用深度数据包检测技术来窥探电子邮件、网络语音电话和其它在线活动。这三个国家的活动分子被逮捕、监禁,有的甚至遭受酷刑。
关于加密和电子认证系统的批评长期以来都集中在针对普通用户的威胁。电子前沿基金会(我受雇的地方)则担心这样的事故会变得广泛,几十年前,“在那个最大网络安全顾虑是保护用户信用卡号码免遭窃取的年代”,电子认证系统的所做所为只不过是皇帝的新装。
最近数次攻击让伊朗和叙利亚这些国家的用户看清了后果的严重性,那里的当局定期使用社交媒体来封杀异见人士。当一个政权有能力监控大批用户的时候,它就不再需要依靠传统的、昂贵的方法来识别和监视个人。
因此,安全机构,尤其是电子商务证书授权中心,亟需意识到它们的技术牵连全球:攸关性命。
吉利安·约克是旧金山的电子前沿基金会国际自由表达项目主管。她为半岛电视台官方网站撰写关于自由表达和互联网自由的专栏。她也是全球之声的董事会成员,并为其撰稿。
文中体现的作者个人观点不代表半岛电视台的编辑方针。
