本页使用了标题或全文手工转换

对GitHub的审查和封锁

维基百科,自由的百科全书
跳转至: 导航搜索
GitHub logo

GitHub的审查和封锁经常在多个国家发生,例如中国俄罗斯印度土耳其等。审查和封锁方式包括但不限于DNS污染中间人攻击等。但是,由於封鎖引發了用戶和科技公司的強烈反應,這些國家最終都解除了對GitHub的封鎖。

背景[编辑]

GitHub是一个基于Git的源代码托管网站,主要用于存储源代码并用于项目管理。截止到2015年,GitHub已有超过1000万用户和2.4亿个Git仓库。[1]此外,GitHub还提供了免费的粘贴箱英语pastebin服务(Gist)和免费的网络空间GitHub Pages。GitHub许可协议禁止滥用GitHub的各项服务,保留了删除内容的权力。[2]此外,如果GitHub收到DMCA删除通知,GitHub也会删除项目。[3]

中国[编辑]

DNS污染[编辑]

2013年1月20日,中國大陸政府的防火長城利用域名污染和關鍵詞過濾等手段封鎖GitHub,令中國大陸的用戶無法直接進入。針對政府對GitHub的封鎖行動,李开复新浪微博抗議,迅速引起網民的關注,該訊息更在三小時内被轉發逾3萬2千次[4][5]。2013年1月23日,GitHub被解封,事件平息。

後來,Gist又被防火長城封鎖,但GitHub其他服務未受影響。[6]

中间人攻击[编辑]

2013年1月26日,有中国大陆的用户在访问GitHub时发现证书无效,经检查发现,GitHub的证书变为了一自签署的X.509证书,生成时间为2013年1月25日14时29分12秒,有效期一年,故有人推测GitHub疑似遭到了中间人攻击。攻击持续了约一个小时后停止,访问恢复正常。[7] [8]

DDoS攻击[编辑]

抢票插件风波[编辑]

2013年1月15日晚,GitHub遭到疑似DDoS攻击,管理员查询日志后得知,攻击来自中国的一个12306抢票插件。因为该插件代码本身的缺陷,加上插件作者低估了春运抢票的人数,构成了DDoS攻击。[9]1月20日,GitHub在中国遭到屏蔽。有评论认为,该抢票插件是导致GitHub在中国被屏蔽的原因。[10]

旁觀者攻擊[编辑]

GitHub从2015年3月26日凌晨2時左右(世界協調時間,以下簡稱為UTC)起遭到了持续的DDoS攻击。[11]GitHub在其部落格称,这次攻击是GitHub历史上最严重的一次DDoS攻击,[12] GitHub堅信攻擊者的目的在於迫使GitHub刪除特定類型的內容。[12][13][14]第三方研究者指出,此次攻击采用了HTTP劫持,百度JS脚本文件中间人植入了攻击GitHub的代码,其功能是每隔2秒加载一次GreatFire纽约时报中文网的帳號主頁。[15]百度已否认自身产品存在安全问题。[16]。这次攻击导致GitHub在全球范围内的访问速度下降。[17]外界普遍相信這是中國政府所為,但中国政府予以否认。[13] [18] 3月28日(UTC+8)起,GitHub在中国大陆十分不稳定,多数情况下无法访问。[19]截止29日,攻击者共使用了四種DDoS攻擊技術:

  1. 第一輪,利用中國大陸以外的網民與翻牆的網民瀏覽被劫持的百度JavaScript檔案,該檔案每2秒向GitHub上的两个頁面發出請求,被GitHub的彈窗警告攔住;
  2. 第二轮,跨網域<img>攻擊,被GitHub检查Referer攔住;
  3. 第三輪,DDoS攻擊GitHub Pages
  4. 第四輪,SYN flood,利用TCP協定缺陷发送大批伪造的TCP連線請求,耗盡GitHub的資源。[20]
使用Traceroute追踪TTL来证明中国政府对GitHub发动攻击

根據系統狀態訊息頁面的顯示,已於3月31日停止了網路攻擊,該日凌晨0:09分(UTC)已經穩定。GitHub在其Twitter與微博予以了證實。至此,此網路攻擊共持續了五天。这次用于网络攻击的工具被称为“大炮”。

3月30日(UTC+8),中國外交部发言人在例行記者會上被媒体问及此事时,不承認也不否認网络攻击與中國政府有關,称“中国历来是网络攻击的受害国”、“近期似乎只要是美国或者其他哪个国家有网站受到攻击,就会有人联想是不是中方黑客所为,这很奇怪。”[21][22]

4月1日,美國總統歐巴馬簽署了一項政令,授权的内容為:凡參與由美國境外授意或實施,且对“美国的国家安全、外交政策、经济状况,或者金融稳定造成重大威胁”的駭客,将採取旅行與金融方面的制裁。[23]

5月8日,美國國務院發言人Jeff Rathke稱,美国聯邦政府已要求中国當局调查相关的網路攻擊并告知调查结果。[24]

再遭攻擊[编辑]

2015年8月,中國政府進一步收緊對網際網路的控制。22日,翻牆軟體Shadowsocks作者迫於警方壓力刪除項目。25日,翻牆軟體GoAgent作者自行刪除自己的代碼。同一天GitHub再次遭到來自中國大陸的DDoS攻擊。[25][26]开发者普遍认为此次攻击与中国政府有关。[27]

政府删除请求[编辑]

2016年6月8日,中国网络空间安全协会致信GitHub,称其中一个名为“Zhao”的项目诽谤中国领导人习近平,要求立刻删除。3天后GitHub公开了这封公开信。这是GitHub收到的第六个政府删除请求,也是第一个来自中国政府的请求。[28]该项目是博客主编程随想制作的“赵家人”名单。目前,在中国大陆访问该项目,网站会返回HTTP 451错误。[28]

俄罗斯[编辑]

俄罗斯政府通过俄联邦电信、信息技术和大众传媒监督局英语Roscomnadzor维护一份网络封锁的黑名单,封锁网站包括儿童色情、毒品、宣扬自杀、宣扬恐怖主义和其他非法网站等。[29]

运营商封锁[编辑]

在俄罗斯使用火狐浏览器时收到的错误信息
2014年12月2日,在俄罗斯内试图访问GitHub时收到的封锁消息。[a]

2014年12月2日,俄联邦电信、信息技术和大众传媒监督局英语Roscomnadzor因为网站内包含了几种涉及自杀教学的内容而封禁了GitHub。因为GitHub全站使用HTTPS连接,无法针对部分页面进行封锁,因此互联网服务供应商被强制要求封锁整个网站。 实行封锁的运营商包括:Beeline、MTS、MGTS和Megafon。监督局负责人Maxim Ksenzov表示,GitHub被封禁是因为之前的2014年10月10日GitHub未遵守俄罗斯的删除请求。[30]在2014年10月2日GitHub曾被短暂封锁,直到原始的自杀教程被删除。[31]

被封禁的内容[编辑]

2014年3月23日,有人在GitHub上面发布了介绍自杀的手册,内含在俄罗斯内的31种自杀方法,该项目被数个用户复刻[32]在GitHub被封锁之后,很多GitHub用户举报了该项目。该项目于2014年10月2日被建立者删除。[b][32][33]

回应[编辑]

按照俄罗斯政府的相关要求,GitHub屏蔽了相关仓库在俄罗斯内的访问,以解除对GitHub的封锁。GitHub为监督局专门建立了一个名为“roskomnadzor”的仓库,并记录来自监督局的删除通知。在仓库的README文件中,GitHub指出,他们对互联网审查表示关注,公开透明是为了防止潜在的史翠珊效应。GitHub还指出,发布通知仅仅是为了记录,不会针对仓库内容的观点进行判断。[34]

政府删除请求[编辑]

截止到2016年6月,GitHub共收到6份政府删除请求,其中5份来自俄罗斯政府。[28]

印度[编辑]

印度根据联邦和州法律来审查网站。互联网服务供应商需要按照信息技术法英语Information Technology Act, 2000的要求来进行审查。但有评论指出,这些法律规定比较模糊,供应商容易过分审查。[35]

运营商封锁[编辑]

在2014年12月17日,印度电信部门英语Department of Telecommunications命令运营商封禁32个网站。[36]命令于2014年12月31日被公开,其中包括GitHub、Gist、Vimeo互联网档案馆和多个粘贴箱英语pastebin服务。[37]

封锁令被印度执政党印度人民党的Arvind Gupta所证实,他还指出封锁令与印度的反恐小组针对伊斯兰国的建议有关。Gupta还指出,配合政府调查的网站会被解除封锁。[38]

2015年1月2日,印度通信部门宣布将解封四个网站,其中有GitHub Gist,并指出一旦剩下的网站遵守印度法律,也会被解除封锁。解释封禁原因时,部长提到“在这些网站中,大多数网站在发布内容之前都不需要任何审核……这些网站经常被用于传递和交流吉哈德内容……”[39]

2015年1月4日,一个GitHub发言人指出,一些用户在访问GitHub时仍然会遇到困难,GitHub已经和印度政府进行接触,但仍然无法确定封禁的具体原因。发言人还指出,使印度的开发者能够重新访问GitHub是他们的高优先级工作,他们“愿意与印度政府合作,建立一套识别和处理非法内容的过滤系统,以恢复网站的正常访问,并确保将来不会再受到影响。”[40]

影响[编辑]

印度时报报道,运营商Vodafone、BSNL、Hathway封锁了GitHub而通过Airtel仍能访问。[36]因为封锁令只告诉运营商封锁哪些网站但未指出如何封锁,因此封锁程度是不同的。封锁是不可靠的,并且似乎发生在多个层面上。即使是同一运营商,封锁方法也有多种,包括IP封锁、使用代理服务器DNS污染。根据封锁程度不同,突破封锁的方法也不同,例如更换DNS服务器或使用代理软件[41]

批评[编辑]

GitHub章鱼猫和Vimeo标志的轮廓,里面写着“被封禁”。
Free Software Foundation Tamil Nadu英语Free Software Foundation Tamil Nadu绘制的海报,用“#GOIBlocks”的标签来抗议封锁。

针对封锁,TechCrunch评论到“在名单中加入GitHub……是最脑残的决定之一”,并预言GitHub在信息技术领域的重要性会使封禁行为引发抗议。Twitter用户通过“#GOIblocks”标签进行抗议,并引用纳伦德拉·莫迪在2012年发表的信息来谴责网络封锁。[42]印度匿名者多次向政府发出威胁,但并未采取实际行动。[39]

土耳其[编辑]

由Turkey Blocks提供的证明GitHub已被封锁的截图

2016年10月8日,在土耳其黑客组织RedHack英语RedHack声称入侵土耳其能源部长、埃尔多安女婿阿尔巴伊拉克英语Berat Albayrak之后,土耳其信息与通信技术署英语Information and Communication Technologies Authority命令互联网服务供应商封锁几个檔案分享网站,包括DropboxMicrosoft OneDriveGoogle Drive[43]。觀測網路審查情況的Turkey Blocks英语Turkey Blocks注意到GitHub於次日上午被封鎖,並且相關的封鎖令被信息与通信技术署逐步發佈出來[44]。封鎖導致依賴GitHub的軟體(例如Font AwesomeHomebrew等)無法正常運行。Startup Istanbul活動的參與者也表達了對基礎設施可用性的不滿。在土耳其,#GitHub標籤成為了Twitter的熱門標籤之一。按照The Daily Dot英语The Daily Dot的說法,RedHack組織蓄意通過多種服務來傳播郵件內容,期待土耳其政府將其封鎖,以造成史翠珊效應。18小時後GitHub被解封[45]

注释[编辑]

  1. ^ 页面提示网站已被封禁,并列出了4个违反俄罗斯联邦法律的原因。
  2. ^ 然而,因为该项目被复刻,并且Git会记录变更历史,因此内容仍然可以在GitHub内被找到。

参考文献[编辑]

  1. ^ GitHub Press Info. github.com. Github. [27 June 2015]. 
  2. ^ GitHub Terms of Service. GitHub. [27 June 2015].  (Specifically terms A8 and G7)
  3. ^ DMCA Takedown Policy. GitHub. [27 June 2015]. 
  4. ^ 程序员叫苦 李开复质疑. 南方都市报. 2013-01-23 [2013-01-23]. 
  5. ^ Programmers angry over blocking of GitHub code-sharing site. 南华早报. 2013-01-24 [2013-01-24]. 
  6. ^ http://www.solidot.org/story?sid=41709
  7. ^ 中国国家防火墙对GitHub进行了中间人攻击. solidot. 2013-01-26 [2013-01-26]. (原始内容存档于2013-01-28). 
  8. ^ 中国, GitHub 和中间人攻击. greatfire. 2013-01-30 [2013-01-30]. 
  9. ^ 12306抢票插件拖垮美国代码托管站Github. 2013-01-16. 
  10. ^ GitHub blocked in China, 'ticket snatching' plugins seen as possible cause. PC World. 2013-01-22. 
  11. ^ GitHub System Status Messages
  12. ^ 12.0 12.1 Large Scale DDoS Attack on github.com. GitHub's blog. March 27, 2015 [2015-03-31] (英语). 
  13. ^ 13.0 13.1 陳曉莉. GitHub遭遇史上最大規模DDoS攻擊,反中國網路防火牆專案被鎖定. 台灣iThome. 2015-03-30 [2015-03-30] (中文(台灣)‎). 
  14. ^ GitHub DDoS 攻击还在继续,百度否认与其有关. 奇客Solidot.org. 2015-03-28 [2015-03-30] (中文(中国大陆)‎). 
  15. ^ insight-labs. 百度统计js被劫持用来DDOS Github. 乌云知识库. 
  16. ^ 百度在线網络技术(北京)有限公司. 百度安全攻防实验室的微博. 
  17. ^ GitHub. GitHub System Status. 
  18. ^ 海寧. 中共借刀杀人 利用海外华人发起DDoS攻击. 大紀元新聞網. 2015-03-27 [2015-03-30] (中文(简体)‎). 
  19. ^ Github证实遭到DDoS攻击,HTTP劫持已停止. 奇客Solidot. 2015-03-27 (中文(中国大陆)‎). 
  20. ^ 对GitHub的大规模DDoS攻击已超过80个小时. 奇客Solidot. 2015-03-30 [2015-03-30] (中文(中国大陆)‎). 
  21. ^ 2015年3月30日外交部发言人华春莹主持例行记者会. 中华人民共和国外交部. 2015-03-30 [2015-04-04]. 
  22. ^ 丁雨、苏静. 美媒硬指中国公司搞网络攻击 中方:美方想法很奇怪. 环球时报. 2015-03-30 [2015-04-04]. 
  23. ^ Peter Baker. Obama Expands Options for Retaliating Against Foreign Hackers. 紐約時報. 2015-04-02 [2015-04-18] (英语). 
  24. ^ 侯雪苹、程芳. 美国要求中国调查针对美国网站的网络攻击活动. 路透社中文網. 2015-05-11 [2015-05-12] (中文(简体)‎). 
  25. ^ Andrew Blake. China tightens noose on Internet as anti-censorship tools suddenly shutter. The Washington Times. 2015-08-26. (英文)
  26. ^ GoAgent开发者删除项目,GitHub再次受到DDoS攻击. Solidot. 2015-08-25. (简体中文)
  27. ^ Catalin Cimpanu. Recent GitHub DDOS Linked to Chinese Government and Two GitHub Projects. Softpedia. 2015-08-29. (英文)
  28. ^ 28.0 28.1 28.2 开源“赵家人”名单,GitHub激怒中国网安协会首出拳. 端传媒. 2016-06-28. 
  29. ^ Khazan, Olga. Russia’s secret new Internet blacklist. The Washington Post. [2 April 2015]. 
  30. ^ Lunden, Ingrid. Russia Blacklists, Blocks GitHub Over Pages That Refer To Suicide. TechCrunch. [1 April 2015]. 
  31. ^ Лихачёв, Никита. AliExpress, 2ch и GitHub попали в реестр запрещённых сайтов [AliExpress, 2ch and GitHub put on the register of banned sites]. TJournal. [9 April 2015] (Russian). 
  32. ^ 32.0 32.1 Create suicide.txt. GitHub - amdf/objidlib. [8 April 2015]. (原始内容存档于27 June 2015). 
  33. ^ Delete suicide.txt. GitHub - amdf/objidlib. [9 April 2015]. (原始内容存档于27 June 2015). 
  34. ^ Geraci, Jesse. github/roskomnadzor - README.md. GitHub. [1 April 2015]. 
  35. ^ Patry, Melody. India: Digital freedom under threat? Online censorship. index. [2 April 2015]. 
  36. ^ 36.0 36.1 Saxena, Anupam. Pastebin, Dailymotion, Github blocked after DoT order: Report. The Times of India. [1 April 2015]. 
  37. ^ Blue, Violet. India blocks 32 websites, including GitHub, Internet Archive, Pastebin, Vimeo. ZDNet. [1 April 2015]. 
  38. ^ Ghoshal, Abhimanyu. GitHub, Vimeo and 30 more sites blocked in India over content from ISIS. The Next Web. [1 April 2015]. 
  39. ^ 39.0 39.1 Sharma, Ravi. Indian government unblocks Vimeo, Dailymotion, 2 other websites. The Times of India. [1 April 2015]. 
  40. ^ Orsini, Lauren. India Unblocks GitHub, Three Other Websites. readwrite. [1 April 2015]. 
  41. ^ Srikanth, Kaustubh. Technical Observations About Recent Internet Censorship In India. The Huffington Post. [1 April 2015]. 
  42. ^ Arora, Kim. Government blocks 32 websites to check ISIS propaganda. The Times of India - Tech. [1 April 2015]. 
  43. ^ Dropbox, Google Drive and Microsoft OneDrive cloud services blocked in Turkey following leaks. Turkey Blocks. [9 October 2016]. 
  44. ^ Dropbox, Google Drive and Microsoft OneDrive cloud services blocked in Turkey following leaks. Turkey Blocks. [9 October 2016]. 
  45. ^ Sozeri, Efe Kerem. How hacktivist group RedHack gamed Turkey’s censorship regime. Daily Dot. [12 October 2016].