GFW发飙,SSL窃听?

作者:老冒  来源:http://robertmao.com/2009/09/25/gfwssl/

据说GFW发飙了,大部分翻墙措施,包括Tor都被攻陷了。via @iGFW

# GFW今天发飙了,各路翻墙楼梯将被锯掉,#GFW
# PUFF 倒下 #GFW
# UltraVPN、AlwaysVPN、AlonwebVPN、YourFreedom倒下 #GFW
# Hotspot、Itshidden、CybeyghostVPN倒下 #GFW
# 大量PHproxy、GlypeProxy、Appspot.com上的Proxy、Psiphon倒下
# Freedur、Skydur倒下
# Gladder、Phzilla倒下
# Skydur倒下 #gfw
# Tor、JAP正慢慢倒下
# Phproxy类Web代理被群奸,建议嵌套一次用。用一个Web代理套另一Web代理再操 #GFW
# JAP也就是现在的Jondo,和Tor是共用节点和桥的
# glype已经和phproxy一起废了
# 用Mirrorrr在GAE上搭建的众多Proxy倒得差不多了
# Tor已完全倒下,套都破了
# Tor死的很惨,目录服务器、桥服务、国外第一条节点等均被破解,就算将Tor套上代理成功启动(洋葱变绿)都是徒劳。
# Puff 惨遭 #gfw 追杀,最新0.03b2版本倒下

无独有偶,看到一个前Netscreen出来的创业公司的产品的介绍,其中谈到它能够截获SSL通讯并进行“审计”,相当恐怖:

对 外发信息进行审计,防止机密外泄及不必要的法律纠纷,是UTM Plus中上网行为管理模块的另一大作用。该模块对HTTP、FTP、SMTP和主流即时通信类应用提供了由信令到内容层面的审计能力,莫说论坛发帖,就 连163、Hotmail、Gmail、QQ邮箱等国内应用比较广泛的Webmail发信都被囊括在内。妄想使用Gmail等采用HTTPS登录的Webmail逃避检查也是徒劳的,UTM  Plus内置的SSL代理可以截断所有单向验证的SSL请求,对解密后的内容进行控制、审计。也就是说,利用这个代理,一切基于SSL隧道的应用协议都被纳入控管范围,不会再有漏网之鱼。不过,我们也注意到内容审计功能开启时,客户端并不会得到任何提示,山石网科称会在产品正式发布时以告警提示和法律免责申明的方式加以完善。

不知道其技术实现具体细节如何,貌似是通过一个“SSL代理”来做到的,但是这个代理是对用户透明的吗? 如果是代理如何欺骗用户端的证书认证的呢? 

如果这个技术是真实有效而且透明的,一旦被GFW利用后果不堪设想啊。


2 条评论:

MichealY 说...

长沙.现在.puff可用.

小白 说...

拿Tor测试,连接上服务器后,google敏感词,未见过滤。。。