InterSecLab 發表了網路政變報告,分析網路監控正成為可客製化的商品輸出到其他國家…
報告揭露的技術細節與全球輸出
這份報告厚達約 70 多頁,分為 8 個章節,目前已由網路匿名社群翻譯成正體中文版本,並發布在網路上供查閱,翻譯工作已完成全文內容,但報告的附註,總計百餘條,仍在持續翻譯中。報告內容不僅包含主要發現和方法論,也深入分析了外洩的內部資料,其中包括超過 600G 的原始碼和營運文件。
資料證實,這套國家級網路審查技術已成熟到可以對外輸出,目前已確認部署在多個國家,包括哈薩克、衣索比亞、巴基斯坦和緬甸等地,還有一個代號為 A24 的新客戶尚未被證實身分。這套系統具備深度封包檢測(DPI)、即時監控使用者行為、流量控制,以及制定區域化審查政策的能力。過去人們普遍認為審查是全國統一的,但證據顯示該系統正測試以省為單位的防火牆模式,已在新疆、福建和江蘇等地證實有相關計畫。
在運作模式上,該系統採取「產學合作」模式,由學校負責培訓人才,並與實驗室合作開發產品。該服務被包裝成資安公司的形式,為各國政府單位(報告中稱之為「客戶」)提供包含軟體、硬體和客製化的服務。這些客製化的軟體需求雖來自單一客戶,但功能開發完成後會部署給所有客戶使用。
產品方面,一套名為「天狗」的系統專門用於流量分析,具備拆解封包、辨識連線、IP 定位,甚至能透過部署國家自簽憑證的方式,對 TLS / HTTPS 連線進行解密。這套系統能夠辨識傳統 VPN 和翻牆工具的封包特徵,並能根據流量情況執行延遲封鎖(例如 24 小時後鎖定 IP)或限制流量至難以使用的程度。監控能力已達到商業化水準,系統收集的資料能夠追蹤使用者的地理位置,並透過視覺化的後台介面,將流量異常情況呈現給非技術人員,進行監控與標記。
監控的深度與回溯追蹤機制
報告中最令人擔憂的發現之一是系統具備回溯網路使用者過往活動的能力。這表示所有網路流量、封包和上網行為都會被儲存和記錄下來。如果一個使用者初期被視為無風險,但一旦未來從事了「高風險行為」(例如翻牆),系統會回溯其歷史資料進行分析和分類。
這套監控技術已能追蹤到個別使用者,系統會根據使用者行為為其分類,一旦被列為「高風險」群體,該名使用者將持續受到監控,即使他們之後停止翻牆。這種追蹤模式甚至影響到在國外使用漫遊服務的使用者,他們的流量仍可能被記錄並標註為需持續關注的外國人輪廓。即使短時間內無法辨識的 VPN 封包,也會被儲存起來,待未來具備解密能力時進行回溯性地重新鎖定目標。
對抗審查的挑戰與社群反思
面對如此國家級的審查,傳統的抗審查工具(如 OpenVPN、WireGuard 等)因為有固定的封包頭,已容易被辨識和封鎖。Tor 洋蔥網路在當地也面臨被完全封鎖的狀況。然而,報告中指出了潛在的突破方法:特定的橋接技術,例如 WP Tunnel(透過 WebSocket 協定),目前被認為是有效的對策。這種技術雖然會被系統辨識,但難以有效攔截,因為如果阻擋此類通訊,許多普遍使用的網路服務(如 Gmail、聊天軟體)也會受到影響。
此監控系統的大量軟硬體元件使用了現有的開放原始碼(Open Source)組件,社群認為這種行為是對開放原始碼授權的不尊重,也是濫用社群善意的表現。部分硬體製造商也配合國家級審查的需求,客製化硬體以符合特定的監控情境。
活動中也討論了避開監控的可能,指出即使在加密程度較低的通訊軟體(如微信)的小群組中,一旦提及敏感關鍵字,使用者也可能在短時間內被警方傳喚。警方的系統效率極高,暗示執法機構可能擁有平台後台資料的即時存取權限,速度遠高於傳統的發函調閱資料的方式。此外,即使使用加密通訊軟體(如 Signal),使用的行為本身仍會被視為可疑,可能引發實體跟蹤和約談。
這項技術輸出可能是透過「數位絲綢之路」戰略下的一種包裝,藉由經濟援助的名義,將強大的監控技術部署到盟國,協助當地政府審查或壓迫公民。面對國家級監控,倡議者認為,接下來的工作重點將轉向個人隱私,包含裝置設定、瀏覽器隱私設定及安全通訊軟體的使用,以提高公眾對抗全面監控的意識。報告撰寫者也呼籲更多技術人才加入,共同審查外洩的原始碼,進行更深入的分析和探討,尋求反制措施。
<為什麼要來網路自由小聚?>
身在臺灣的我們,或許對於網路自由反而比較無感,因為跟世界上許多地方相比,臺灣的網路世界相對自由、較沒受到監控、管制和侵害,因此沒有深刻感受到國際上疾呼且捍衛網路自由的結迫性。 然而,現代數位社會,一言一行早已跨越國界,人人都應該要關心自身在數位世界上的權利。大家一起來小聚聊聊,認識更多全球重要網路自由課題 !!!!!!
本文為網路自由小聚:數位威權主義商品化-網路政變報告分享會 - 活動摘要,內容為源自現場錄音與共筆記錄,透過 NotebookLM 整理後,再經人工編輯。本文採 CC-BY 公眾授權釋出,歡迎自由轉貼利用。