【翻墙问答】BGP劫持:中国电讯公司危害美国国家安全的有力事例


2020-04-24
Share
firewall-bgp620.jpg 2018年11月7日,第五届世界互联网大会在浙江乌镇举行。中国电讯设置摊位宣传其5G服务。(路透社)

问:Cloudflare公司近日推出一个BGP安全检查网站,方便网友检查一下自己所用的ISP或VPN服务供应商,有没有做出适当的保安安排,防止BGP刼持。甚么叫BGP劫持,这种劫持又同翻墙有甚么关系?

李建军:所谓BGP劫持,就系有人故意作出伪造的边界闸道协议的资料,假装自己是目的地的网络供应商,然后藉此骑劫网络流量。这种手法往往涉及国家级的黑客行为,因为一般黑客难以进入电讯公司系统,改变BGP设定并劫持流量,虽然有黑客曾经因此赚得大量加密货币,只不过大部分BGP劫持都涉及中国电讯公司,以及被劫持的流量有军事或政治价值,多于商业价值,甚至为了封网而作出劫持行动。因此,NTT以及Cloudflare等公司,提出一套加密机制,确认BGP身份方可以作进一步连结,防止有人伪装其他网络公司劫持流量。而Cloudflare公司的行动,是希望引起公众关注,令公众向电讯公司以至云端服务供应商施加压力,尽早作出加密安排,避免同类BGP劫持事件发生。

问:美国政府多个部门联手向FCC发出信件,要求联邦通讯委员会吊销中国电信美国的营运牌照,指中国电信美国可能危害美国国家安全,又是否与BGP劫持有关?

李建军:在去年六月,欧洲有大量通讯流量,一度被劫持到中国电信的网络,虽然有分析指中国电信可能有保安上失误,但亦不排除,中国电信有在这两小时劫持流量事件中,获得大量军事、经济或政治上敏感的数据,加上多次BGP劫持事件,都与中国的电讯公司有关,因此美国政府要求联邦通讯委员会吊销牌照,BGP劫持事件的纪录,相信是其中一个显露这些中国国有电讯公司危害美国国家安全的有力事例。

问:各大电讯公司、互联网供应商或云端服务供应商,又会不会采用新的BGP技术,防止劫持事件?

李建军:现时有不少电讯公司未采用新技术,因为这涉及部分大型电讯公司设备比较旧,未必能使用新技术,以及未必每一间电讯公司的客户,都愿意采用新技术,而中国作为在BGP劫持上得益不少的国家,亦可能因为拒绝升级新技术,而令部分有大量通讯流量与中国连接的电讯公司,暂时未必愿意大规模采用新技术,怕影响与中国之间的通讯往来。但现时与中国亦有大量通讯往来的日本NTT,以及美国Cloudflare都采用新技术,再加上现时各国与中国关系紧张,在公众和政府压力下,或者各大电讯公司会陆续采用新技术。

问:如果VPN所属的电讯公司,愿意采用新技术,是否比较安全?

李建军:这肯定,因为VPN都可能会受到BGP流量劫持影响,如果VPN都被劫持流量,其实你用VPN翻墙都会变得有危险性。因此,你可以在用VPN翻墙后,用Cloudflare的测试网站测试一下你用的VPN安不安全,如果有安全问题,就向你的VPN供应商反映,要求你的供应商提供免受BGP劫持影响的线路。而如果你是自建VPN主机,亦可以在考虑选择主机供应商时,参考网友关于BGP劫持的测试报告,作为选择主机时其中一个考虑因素。

Edge及Safari用户可直接点击收听
其他浏览器用户请点此下载播放插件

新增评论

请将评论填写在如下表格中。 评论必须符合自由亚洲电台的 《使用条款》并经管理员通过后方能显示。因此,评论将不会在您提交后即时出现。自由亚洲电台对网友评论的内容不负任何责任。敬请各位尊重他人观点并严守事实。

完整网站