[ 历史贴 ] “翻墙软件的选择与安全系数” 全系列之:3.1 论无界的安全性


Phantom Knight 写的翻墙软件的选择与安全系数


作者 Phantom Knight 链接:

G+ : https://plus.google.com/+GhostAssassin
Twittre: https://twitter.com/killerdarkGhost

翻墙软件的选择与安全系数其它帖子:

1. 该怎么选择合适的翻墙工具呢? 2014年11月27日
2. 翻墙软件和匿名软件 2014年12月1日
3.1. 无界的安全性  2014年12月4日
3.2. 无界突破封锁的原理和对虚假宣传的打脸  2014年12月5日
4. 赛风三突破封锁的原理以及为什么不能匿名  2014年12月18日
5. 为什么goagent要导入证书?  2014年12月25日
6.  shadowsocks,翻墙界的新秀! 2015年1月10日
7. VPNGate,曾经的英雄 2015年1月16日
8. VPN是什么? 2015年2月13日

3.1 无界的安全性




(在科普发布之后,有一些被共匪洗脑洗傻了的货色来说我是五毛,哈哈,哪个五毛会用共匪这词?看看我的补充说明吧:https://plus.google.com/109790703964908675921/posts/4cqs6rvsNJT

系列的上一篇我预告过这一篇要分析的翻墙软件:无界。那么现在就开始吧!

TOR开发者一直都不信任无界,看完你就知道他们为什么不信任了。

无界和自由门是一样的背景,都是由法轮功学员开发的翻墙软件,历史也非常悠久了[1]。无界宣称自己全程对用户数据进行超高度加密传输,安全性极强,而且能有效保护隐私,用无界上网后别人不会在PC上发现痕迹,没人能追踪到你,可以自由浏览任何网站,几乎无法被封锁,无需安装的纯绿色软件[2]。

听起来很厉害,甚至比TOR都厉害(TOR还要搭配上特制的TBB才能有效保护隐私呢,无界宣称不需要对浏览器进行额外设置就能保护隐私,不是比TOR还厉害吗?),但这些是真的吗?

真相是残酷的:无界的宣传全部都是假的!

听我慢慢道来:首先,不管无界开发者怎么吹,有一点他们是不得不承认的,那就是无界是个一重代理,远程服务器知道你的一切。
那么,问题来了:无界服务器可靠吗?安全性怎样?服务器拥有者会不会出卖你呢?

无界开发者对于服务器相关信息一直坚持保密,声称是为了用户安全,不过这也是谎言!

先来看看他们的服务器是怎样的吧:
他们的服务器由一个代理链条组成:用户连接到Squid proxy(一种可以提升网速的缓存代理[3]),再连接到ziproxy[4](没有缓存功能的HTTP代理),最终连接到目标网站。

有人看到这大概会有意见:既然是代理链条,为什么你还说无界是一重代理呢?
首先,注意一下其中的Squid proxy是无法单独翻墙的,只是起到一个辅助作用而已,真正起作用的是ziproxy;最重要的是,不管是哪个proxy,在HTTP的情况下,他们中的任何一个都知道你的一切,不管其中哪个的数据泄露,你都会game over,那么从安全性上来说这就是一重代理。

接着说服务器的事吧。这两个proxy本身的安全性倒是还过得去,用户也很多,更新也算是及时,但问题是无界服务器上的这两个proxy更新是不及时的!无界服务器使用的是落后的旧版本,而且很久都没有打过补丁了。具体来说就是无界服务器使用了这样的版本: squid/2.7.STABLE7,一个不安全的版本[5],还有与SSL/TLS相关的 lighttpd 1.4.26, Apache httpd 2.2.3 on CentOS, Apache httpd 2.0.63, Apache
httpd 1.3,这些版本都是被发现有严重安全漏洞的[5,6]

对于一重代理,远程服务器的安全就是一切啊,而且无界服务器会很仔细的记录流量并储存相应日志,一旦日志落到共匪御用黑客手里,后果不用我说了吧?偏偏无界服务器如此脆弱,别说什么开发者自吹的“额外安全保护”,连基本的及时更新打补丁都做不到,最关键的是使用的都是已经明确有严重安全漏洞的版本,鬼才会相信服务器的安全系数高呢!

那,安全系数不高,但“自由浏览任何网站”总做到了吧?

很不幸,没有!

无界服务器内置了ACL[8](连接控制清单),屏蔽了不少网站,啊,是那种有成人内容的网站,但大部分都是合法的。换句话说,美国政府都找不到理由屏蔽这些网站,但自吹“自由浏览”的无界开发者们却这么做了,他们又在撒谎!

服务器脆弱不堪,那所谓的“超高度加密连接”是真的吗?

对不起,也是假的!

用户到无界服务器的这段连接的加密方式是RC4[8],RC4都是二十多年前的老皇历了,GFW再废柴也能轻松暴力破解了[7],这算个屁的“超高度加密连接?”

还有更坏的消息:不仅加密是废柴,无界客户端与远程服务器通信时也根本就连个像样的身份验证机制都没有[8],对,中间人攻击,在没有身份验证的情况下,GFW搞个中间人攻击轻而易举,你就等着被查水表吧!

分析到这里,诸位应该大致能明白为什么TOR开发者不信任无界了:这种安全性渣到爆的狗屁居然一直自吹“安全系数很高”,骗了多少人?更重要的是又他妈害了多少人!想一想,一个小白相信了无界的虚假宣传,挂着无界发表了一些“煽动颠覆国家政权”的言论,然后共匪很轻易就能来查他的水表,而他还以为可能是自己误操作泄露真实身份的呢,却不知道是不安全的无界把他害了!

不过还没完呢:无界严格意义上来说可不是“绿色软件”,尽管不需要安装,但启动之后会在无界所在的文件路径上生成设置文件和一个名为utmp的文件夹(储存临时文件),而且同时会修改系统注册表(为了自动设置IE代理)。特别注意:对于系统注册表的修改,不管哪台PC都会留下相应系统日志进行记录,也就是说如果你用无界上网,即使是之后删除了同时生成的其他文件,别人还是能从系统注册表的变化中发现你用了无界。对,那群开发者又撒谎了![8]

嘿,还有呢:无界宣称自己能保护用户隐私,实际上却恰恰相反,他们不仅没有任何有效保护隐私的设置,很多时候还逼迫用户启用第三方cookie,而且他们和google analytics(著名的用户追踪脚本以及cookie,google出品,被很多公司和网站所使用以追踪用户)有着紧密的合作,每次启动无界之后跳转到的无界主页就是google analytics的用户之一。[8]这算什么狗屁?
想象一下这样一个场景:两个人同时访问一个曾经访问过并且被cookie标记了的网站,一个这次用了TBB,一个用无界;TBB默认禁止所有cookie,所以网站没法认出现在这个TOR用户到底是谁,但无界没有做到这点,结果就是网站通过cookie认出了无界用户的真实身份。对,匿名失效了!(关于cookie,有空我会进行具体说明,很有用也很恐怖的小曲奇饼)

现在可以给无界做个总结了:安全性极差外加吹牛不上税,完全不值得信任,唯一可靠的地方就是法轮功开发者几乎没可能与共匪合作,不会主动把你给卖了,仅此而已。适合用户群:无价值目标,低价值目标(低价值目标最好都不要用,原因在下一篇会给出)

下一篇,让我们看看安全性全无的无界在突破封锁上表现如何吧。

参考资料:

1,无界中文WIKI
https://zh.wikipedia.org/wiki/%E6%97%A0%E7%95%8C%E6%B5%8F%E8%A7%88
2,无界官网的用户指南
http://www.wujieliulan.com/userguide.php
3,http://www.squid-cache.org/
4,http://ziproxy.sourceforge.net/
5,Squid security advisories.
http://www.squid-cache.org/Advisories/.
6,Apachehttpd2.2vulnerabilities. https://httpd.apache.org/security/vulnerabilities_22.html. ms08-076.  https://technet.microsoft.com/en-us/security/bulletin/ms08-076
lighttpd version 1.4.29 - important changes. http://www.lighttpd.net/2011/7/3/1-4-29.
7,VPN翻墙,不安全的加密,不要相信墙内公司https://plus.google.com/109790703964908675921/posts/AXgoJutf5sz
8,Technical analysis of the Ultrasurf proxying software
https://media.torproject.org/misc/2012-04-16-ultrasurf-analysis.pdf

最后照例给出科普文链接集合https://plus.google.com/u/0/109790703964908675921/about
发表评论