来源:新纪元周刊
近日,一份名为"违反信任:中共对TOM-Skype平台的监控和安全行为"的报告引起轰动。北美等各大媒体纷纷报导了中共对中国网民进行监控的现况。
以往对中共会记录发布敏感字眼的线民资讯的行为都只是猜测,但这次报告的撰写者纳特・威勒纽夫非但证实了这事,还观测到了网路公司具体过滤的内容。在被过滤的内容中,"共产"、"共产党"、"法轮功"、"胡锦涛"是中国人在聊天时使用次数最多的"敏感字眼"。
威勒纽夫表示,他发现了网路公司过滤、监控用户的问题,比如用户资讯被自动上传,此外是伺服器安全问题,比如像他这样的专家能轻易看到终端伺服器上的所有资料。
威勒纽夫还曝光TOM公司在Skype中植入了木马程式,对此,Skype公司却一直在企图逃避责任。早在二零零六年雅虎就因为向中共提供异议人士的相关讯息而备受美国国会批评,现今Skype公司似乎也将走上此路,不可不为借镜。
过滤・间谍・敏感字眼
文 林小凡
近日,一份披露中共监控TOM-Skype平台的报告引起美加关注。以往对中共记录发布敏感字眼的线民资讯的行为只能推论,但这次报告撰写者威勒纽夫证实了此事,还观测到网路公司具体过滤的内容……
近日,一份名为"违反信任:中共对TOM-Skype平台的监控和安全行为"的报告引起轰动。加拿大最大的平面媒体《环球邮报》(Globe and Mail),及美国的大媒体《纽约时报》(New York Times)分别几次对这份报告进行报导。
以往对中共会记录发布敏感字眼的线民资讯的行为都只是猜测,但是这次报告的撰写者纳特・威勒纽夫(Nart Villeneuve)非但证实了这些事实,还观测到了网络公司具体过滤的内容。在被过滤的内容中,"共产"、"共产党"、"法轮功"、"胡锦涛"是中国人在聊天时使用次数最多的"敏感字眼"。
多伦多大学公民实验室(Citizen Lab)主任威勒纽夫研究世界网络审查多年,并曾在二零零五年、二零零六年两次在美国国会听证会上就中国的网络监控作证。
多伦多大学公民实验室专门从事网络政治教学工作,在该实验室接受过电脑网络培训的学生已经有一百多人。这个实验室与哈佛法学院伯克曼中心(Berkman Center)、剑桥大学的高级网络研究组等就促进网络开放进行专案研究。
威勒纽夫表示,我们现在见证的是,为了追逐利益和市场份额的行为而凌驾于人权与道德之上的失败的市场行为。他还说:"然而,我尊敬那些在高压下还在公开追求民主、自由的中国人。"
"纯属偶然"的发现
威勒纽夫的发现"纯属偶然"。威勒纽夫想要研究的是中文My Space系统。My Space系统在用户输入特定的关键字的时候,不允许该用户发新帖子。但是要想在My Space成为用户,必须要键入系统注册时候提供的一些特定的中文字元。威勒纽夫先生因为不很熟悉中文,结果无法注册,于是他一气之下先转向研究TOM-Skype。
带着一肚子的气,他在两台电脑间的TOM-Skype文字框内打入一些特定的文字,同时他打开"Wireshark"软体(这个软体能使用户看见在网卡之间流动的资讯封包)跟踪TOM-Skype。奇怪的是,每次他键入特定的字元后,Wireshark都警告他键入的资讯产生了额外的http连接。
这个事实显然吸引了威勒纽夫,在二零零六年他做过同样的测试,但是并没有发生产生额外的http连接的情况。经过大量的测试,威勒纽夫表示最终他确定这些被过滤的资讯流向了八个TOM-Skype的伺服器,而他也成功登陆了这些伺服器,并利用这些伺服器的安全漏洞轻而易举地流�了所有储存在其上的资料。
他说:"幸运的是,那时候这些伺服器都没有加密,所以我很轻易地就看到了他们储存的所有资料。"据威勒纽夫介绍,这些伺服器里存有发过敏感辞汇的四万四千两百五十四个用户的资料,同时还有这些用户的个人电话、姓名等。
威勒纽夫说:"在即时通讯软体中,比如Skype、MSN等,在中国大陆,当你输入敏感辞汇的时候,对方无法收到。换句话说,那些词都被过滤了。但是发送消息的用户资讯是否会被伺服器给储藏起来,以备中共日后的使用,过去我们只是猜测,没有任何的事实证据可以证明。但是今天终于被证实了,这是一大突破。"
威勒纽夫表示现在情况较为复杂,"现在存在两种模式。一种是文字不能通过,被过滤掉,然后用户资讯被直接上传到伺服器。另外一种则是文字可以通过,但是被监控,用户资讯依然会被上传。"
TOM-Skype的木马间谍
威勒纽夫还曝光TOM公司在Skype中植入了木马程式。他说:"在TOM-Skype提供的一个Skype下载版本中,在安装过程中会从诺顿防毒软体(Norton AntiVirus)中得到警告说这个Skype版本中存在木马。"
威勒纽夫还通过另外两种病毒软体(Ikarus: Trojan-Spy.Win32.Mslagent & TrendMicro: TROJ_ADCLICKE.IX)确认这个Skype版本中确实存在木马程式。
威勒纽夫说:"所有发生的事情,其实只会让Skype的名誉受损。人们不会说是TOM公司干了这一切,相反的人们会指责说是Skype公司在这样做。"虽然这些网络公司已经向中共妥协,但是当被问到今后这些公司会否因为利益出卖中共感兴趣的中国之外的用户资讯的时候,威勒纽夫先生忧心忡忡地表示他希望他们(网络公司)不会这么做。
"所有的东西就是一个'钱',每个公司的内部政策都不同,那些公司在使用内部的政策去衡量一些来自其他国家的政府的要求的时候,可能那个要求是合法的,比如某些罪犯应该受到惩处,但是有可能那个要求是想要对付那些持不同政见的人士。那些公司需要知道他们面临的这个要求到底是什么,比如最近发生的师涛事件。"
Skype公司逃避责任
威勒纽夫表示,其实这次他的发现,严格地说分成两个部份。第一个部份是他发现了网络公司过滤、监控用户的问题,比如用户资讯被自动上传。第二个问题是伺服器安全问题,比如像他这样的专家能轻易看到终端伺服器上的所有资料。
威勒纽夫说:"我个人认为,他们(Skype公司)并不准备移除网络监控和过滤的功能,但是他们可能会在协议(Code of Conduct)中告诉中国用户这点。"
在二零零四年左右,Skype公司表示资讯过滤只是为了"安全原因"。
二零零六年,Skype公司表示TOM线上使用筛检程式阻止在文字框内出现一些辞汇。同时Skype还表示,如果该辞汇被发现不适合于显示,这些辞汇仅仅被丢弃,不会被显示,但是不会被传输到其他地方。当时Skype总裁乔斯・休夫曼(Josh Silverman)曾经说:"根据协定,TOM不应该做出这类举动,我们正在与TOM公司联系并查找他们改动协议的原因。"
威勒纽夫在发现问题以后,曾经打电话给Skype公司,告知他们的安全隐患及过滤事宜。但是Skype公司发言人看来只关注伺服器安全问题。
"我们的用户安全和隐私权对于Skype来说很重要。"Skype女发言人詹妮弗・考金(Jennifer Caukin)在给《亚洲华尔街日报》的电邮声明中称,"我们已经通知了TOM-Skype公司,伺服器安全问题已经解决。"对于监控事宜,考金则没有直接回应。她只是表示,"中共政府监控进出该国的通讯,并不令任何人感到意外。"
威勒纽夫对此说:"实际上从他们(Skype公司)最初的反应到现在,他们一直在企图逃避责任。"
两年前,雅虎(Yahoo!)公司因向中国政府提供中国政治异议人士网上言论资料,导致师涛等人被捕判刑。二零零七年,师涛的母亲等先后向美国法院控告雅虎。美国国会众议院外交事务委员会也召开听证会,斥责雅虎的卑劣行为。美国国会众议院外交事务委员会去年十一月间为此举行听证会,雅虎负责人提出辩解,但遭美国国会议员的猛烈抨击。
众议院外交事务委员会主席、加州民主党国会议员兰托斯的要求下,雅虎总裁杨致远和副总裁麦克尔・卡拉汉(Michael Callahan),在听证会中向在座的师涛母亲鞠躬表示歉意。虽然雅虎已向受害者道歉,并与受害者家属达成和解,但雅虎的声誉已一落千丈,至今不能挽回。
威勒纽夫说:"我想雅虎和Skype公司已经学到了教训,当他们与中共公司进行交易的时候,为中共搜集情报,那是雅虎、Skype公司的品牌受到了伤害,而不是TOM Online。在西方很少有人知道TOM Online,但是很多人知道Skype……希望他们能主动为他们的合作伙伴的行为负责,不然雅虎曾经被美国国会的传召就是一个很好的例子。"
没有评论:
发表评论