Cơ quan giám sát trực tuyến GreatFire cáo buộc chính phủ Trung Quốc thực hiện các cuộc nghe lén MiTM bằng cách can thiệp vào traffic đã được mã hóa bằng SSL giữa China Education và Google thông qua CERNET. Thông tin thêm là Google và những dich vụ của họ đang bị chặn ở TQ do chính sách kiểm duyệt của đất nước này và cách duy nhất để kết nối đến Google là thông qua CERNET
Thay vì ngăn chặn các truy cập trên thông qua CERNET, các nhà chức trách thực hiện một cuộc tấn công Man-in-The-Middle, bằng cách đó họ vẫn đảm bảo việc “cho phép” các sinh viên và các nhà nghiên cứu truy cập Google trong khi họ hoàn toàn có thể nghe trộm (eavesdropping) hoặc chặn các kết quả tìm kiếm từ người dùng
Cuộc tấn công như thế này được ghi nhận trước đây vào 28/8 khi người dùng ở TQ phàn nàn trên Google Plus, Weibo rằng họ không thể truy cập vào google.com và google.com.hk hoặc nhận được một thông báo chứng chỉ SSL không hợp lệ
GreatFire đã thực hiện 2 cuộc capture traffic và gửi cho Netresec phân tích. Thông qua việc phân tích họ đã kết luận rằng cuộc tấn công này không phải thông qua giả mạo DNS (DNS spoofing). Dấu hiệu cho thấy một cuộc tấn công MiTM là thời gian hồi đáp trung bình là 8ms trong khi thời gian đáp ứng trung bình phải là 150ms. Điều này cho thấy máy chủ tấn công MiTM phải cách Đại học Bắc Kinh khá gần.
Ngoài ra nhóm cũng phân tích 2 chứng chỉ X.509 thu được và nhận ra rằng nó là dạng self-signed. Họ đang nghi ngờ máy chủ tấn công này cũng hoạt động như một máy chủ proxy SSL. Các nhà nghiên cứu cáo buộc rằng chính phủ Trung Quốc giả mạo lưu lượng mạng bằng cách giả mạo chứng nhận SSL của Google và cướp các session SSL bằng cách mạo nhận là máy người dùng.
Thực sự cách đây không lâu chinh phủ Trung Quốc đã từng bị cáo buộc tấn công vào một mục tiêu lớn khác là Github hồi thang Giêng 2013
0 Nhận Xét:
Post a Comment