【翻牆問答】BGP劫持:中國電訊公司危害美國國家安全的有力事例

2020-04-24
電郵
評論
Share
打印
2018年11月7日,第五屆世界互聯網大會在浙江烏鎮舉行。中國電訊設置攤位宣傳其5G服務。(路透社)
2018年11月7日,第五屆世界互聯網大會在浙江烏鎮舉行。中國電訊設置攤位宣傳其5G服務。(路透社)

問:Cloudflare公司近日推出一個BGP安全檢查網站,方便網友檢查一下自己所用的ISP或VPN服務供應商,有沒有做出適當的保安安排,防止BGP刼持。甚麼叫BGP劫持,這種劫持又同翻牆有甚麼關係?

李建軍:所謂BGP劫持,就係有人故意作出偽造的邊界閘道協議的資料,假裝自己是目的地的網絡供應商,然後藉此騎劫網絡流量。這種手法往往涉及國家級的黑客行為,因為一般黑客難以進入電訊公司系統,改變BGP設定並劫持流量,雖然有黑客曾經因此賺得大量加密貨幣,只不過大部分BGP劫持都涉及中國電訊公司,以及被劫持的流量有軍事或政治價值,多於商業價值,甚至為了封網而作出劫持行動。因此,NTT以及Cloudflare等公司,提出一套加密機制,確認BGP身份方可以作進一步連結,防止有人偽裝其他網絡公司劫持流量。而Cloudflare公司的行動,是希望引起公眾關注,令公眾向電訊公司以至雲端服務供應商施加壓力,儘早作出加密安排,避免同類BGP劫持事件發生。

問:美國政府多個部門聯手向FCC發出信件,要求聯邦通訊委員會吊銷中國電信美國的營運牌照,指中國電信美國可能危害美國國家安全,又是否與BGP劫持有關?

李建軍:在去年六月,歐洲有大量通訊流量,一度被劫持到中國電信的網絡,雖然有分析指中國電信可能有保安上失誤,但亦不排除,中國電信有在這兩小時劫持流量事件中,獲得大量軍事、經濟或政治上敏感的數據,加上多次BGP劫持事件,都與中國的電訊公司有關,因此美國政府要求聯邦通訊委員會吊銷牌照,BGP劫持事件的紀錄,相信是其中一個顯露這些中國國有電訊公司危害美國國家安全的有力事例。

問:各大電訊公司、互聯網供應商或雲端服務供應商,又會不會採用新的BGP技術,防止劫持事件?

李建軍:現時有不少電訊公司未採用新技術,因為這涉及部分大型電訊公司設備比較舊,未必能使用新技術,以及未必每一間電訊公司的客戶,都願意採用新技術,而中國作為在BGP劫持上得益不少的國家,亦可能因為拒絕升級新技術,而令部分有大量通訊流量與中國連接的電訊公司,暫時未必願意大規模採用新技術,怕影響與中國之間的通訊往來。但現時與中國亦有大量通訊往來的日本NTT,以及美國Cloudflare都採用新技術,再加上現時各國與中國關係緊張,在公眾和政府壓力下,或者各大電訊公司會陸續採用新技術。

問:如果VPN所屬的電訊公司,願意採用新技術,是否比較安全?

李建軍:這肯定,因為VPN都可能會受到BGP流量劫持影響,如果VPN都被劫持流量,其實你用VPN翻牆都會變得有危險性。因此,你可以在用VPN翻牆後,用Cloudflare的測試網站測試一下你用的VPN安不安全,如果有安全問題,就向你的VPN供應商反映,要求你的供應商提供免受BGP劫持影響的線路。而如果你是自建VPN主機,亦可以在考慮選擇主機供應商時,參考網友關於BGP劫持的測試報告,作為選擇主機時其中一個考慮因素。

Edge及Safari用戶可直接點擊收聽
其他瀏覽器用戶請點此下載播放插件

完整网站