巴基斯坦测试类似中国的秘密“防火墙”以加强其在线监控

巴基斯坦政府正在部署其国家互联网防火墙,专家们担心该防火墙可被用于监视普通互联网用户 (美联社)

巴基斯坦政府已经部署了中国技术来构建其全新的国内互联网“防火墙”,据该国一些熟悉该项目的高级官员称,这将允许巴当局监控在线流量并且以比以前更大的控制力来规范流行应用程序的使用。

该项目旨在升级政府在该国主要互联网网关以及移动服务和主要互联网服务提供商的数据中心的网络监控能力。

两家互联网服务提供商(ISP)的高管与该国安全机构的一名官员告诉半岛电视台记者,作为巴基斯坦互联网基础设施的一部分而安装的这款新防火墙的试用,是近几个月来引起该国互联网连接不良的一系列投诉的原因所在。

然而在官方层面上,尽管政府官员承认正在加强该国的在线监控结构,但却否认这是导致该国互联网速度变慢的原因。

新防火墙的试用正值巴基斯坦政治紧张局势加剧之际。在前总理伊姆兰·汗的支持者发起大规模抗议活动期间,该国当局暂停了移动互联网并封锁了多个虚拟专用网络(VPN)。伊姆兰·汗自2023年8月以来因一系列指控而被捕。抗议者不顾法院的命令抵达伊斯兰堡,要求释放他。截止目前,至少已有6名安全人员在与抗议者的冲突中丧生。

据了解该项目的官员称,针对新的监控系统的试验早在最近的抗议游行之前就开始了,该项目耗资200亿至300亿卢比(7200万至1.07亿美元)。

自今年7月中旬以来,巴基斯坦的互联网用户报告称,广泛使用的即时通讯应用WhatsApp经常出现网速减慢、服务质量下降和多媒体功能偶尔中断的情况。

该国一家主要互联网服务提供商的高级官员表示,“互联网用户在7月份遇到的问题是由于防火墙测试,这也影响了WhatsApp的多媒体功能,例如发送照片、视频、语音备忘录和拨打音频或视频电话”。

防火墙是政府或组织用来控制和监控互联网流量的硬件和软件的组合,充当决定允许或拦截哪些数据的数字守门人。

据互联网服务提供商的官员称,巴基斯坦以前的技术缺乏在“粒度级别”管理应用程序或网站的能力——而其最近收购的中国技术则提供了这种能力。

他解释道,“新的防火墙还允许拦截或限制应用程序或网站内的特定功能”,并且引用了WhatsApp在几个中东国家的例子——这些国家的用户无法在该平台上进行音频或视频通话,但却可以使用其他的多媒体功能。

该国一位熟悉新部署情况的国防部官员也证实,巴基斯坦已从中国购买了一套新的“防火墙系统”,该系统于7月中旬首次进行了测试。

“通常,此类系统会在沙盒环境中进行测试,以避免大范围的服务中断”,这位因无权向媒体发言而要求匿名的官员这样告诉半岛电视台。

然而,巴基斯坦的互联网基础设施(例如光纤、网络相关设备、交换机和路由器)却是使用来自法国、芬兰、美国和中国等多个国家的技术建造的。

这位官员解释称,“由于巴基斯坦互联网基础设施中的设备种类繁多,因此需要在实时系统上进行测试,这导致了一些初始连接和服务问题。”

该官员补充道,新系统能够阻止虚拟专用网络,并通过一系列内容过滤功能显著增强实时监控和内容过滤方法。

虚拟专用网络是一种通过加密互联网流量和掩盖用户在线身份而在设备和网络之间建立安全连接的工具。

互联网
什么是URL?
URL是因特网中唯一资源的地址,是浏览器用于检索已发布资源的关键机制之一 (半岛电视台)

长期以来,巴基斯坦当局一直在努力拦截特定的在线文章、视频或其他内容,而无需关闭整个网站。

在2008年发生的一次著名事件中,巴基斯坦政府想要封锁一个YouTube链接,因为政府认为该链接包含一部亵渎神明的纪录片。然而,巴基斯坦此举最终导致了YouTube在全球范围内的崩溃。

这位国防部官员表示,新系统将是第一个帮助巴基斯坦解决这一令人沮丧的挑战的系统。“我们现在可以限制对单个视频或文章的访问,而不是封锁整个YouTube平台或网站。”

关于互联网减速的解释不断变化

在今年7月和8月,巴基斯坦的互联网减速现象达到顶峰,对此,该国政府给出了一系列解释:过度使用虚拟专用网络、海底电缆故障、美国网络安全公司CrowdStrike发生中断后导致全球互联网崩溃、网络攻击和常规故障。

巴基斯坦信息技术和电信部部长卡瓦贾否认存在“国家防火墙”

今年8月15日,在议会委员会召开会议之后,巴基斯坦信息技术部长卡瓦贾表示,她“不知道”存在任何防火墙测试,但补充称,由于网络安全威胁,巴基斯坦正在升级其现有的“网络管理系统”。

卡瓦贾告诉记者,“世界上每个政府都会采取措施以保障网络安全。我们之前有一个网络管理系统,现在又对其进行了升级。”

在3天后召开的新闻发布会上,卡瓦贾坚决否认政府篡改互联网的任何指控,并称没有下令“限制”网络。她将责任归咎于过度使用虚拟专用网络。

“现在,该国有大量人使用虚拟专用网络,这给互联网带来了压力,导致网速变慢”,她这样告诉媒体。

今年8月21日,退役少将、巴基斯坦电信管理局(PTA)负责人哈菲兹·乌尔·拉赫曼告诉一群议员,在连接巴基斯坦与全球互联网的7条海底电缆中有一条出现了故障,而这就是网速变慢的原因。

拉赫曼坚决否认安装新的监控系统是造成中断的原因。

拉赫曼在会议期间告诉议员们,“每个国家都有某种机制来监控互联网内容或服务。无论你称之为防火墙、网络监控系统还是内容过滤,这无处不在。我们也在升级我们的系统,但这不是导致互联网速度变慢的原因。”

在致半岛电视台的书面回复中,监管机构重申,网络管理系统 已在该国运行多年,并被用于“监控和缓解”非法电信活动(通常称为灰色流量),但对互联网质量下降不负有责任。巴基斯坦电信管理局指出,“网络管理系统不断升级,以满足日益增长的互联网使用量。它从未导致互联网服务变慢”。

卡瓦贾还于8月26日向国民议会提交了一份回复,并在其中证实巴基斯坦电信管理局正在使用网络管理系统,通过在巴基斯坦境内屏蔽某些应用程序或网站来进行“互联网内容管理”。

尽管多次尝试联系卡瓦贾,但这位部长仍没有回应半岛电视台提出的关于新防火墙的功能、目标、来源、采购细节或成本的问题,也没有提供关于该网络管理系统的任何细节。

然而,在提交给巴基斯坦参议院的书面回复中,卡瓦贾表示,巴基斯坦电信管理局作为监管机构,并未参与防火墙项目。

“巴基斯坦电信管理局不参与任何国家级防火墙项目的融资、采购、部署或运营”,卡瓦贾在9月12日回答参议员的问题时这样表示。

令人困惑的是,卡瓦贾在过去几个月中多次交替使用“管理”和“监控”这两个词,同时还提到了监控系统。据该国军方官员和半岛电视台采访的互联网服务提供商高管称,该系统具有监视能力。

“国家防火墙”被用于“国家安全”

巴基斯坦是一个拥有2.41亿人口的国家,并拥有近1.4亿宽带用户和1.9亿移动用户。然而,它仅依赖两个主要的互联网网关点——二者均位于该国最大的城市及经济中心卡拉奇。

这些网关由国有巴基斯坦电信有限公司(PTCL)及私营公司TWA(Transworld Associates)运营,并通过7条提供互联网连接的海底电缆连通。

根据巴基斯坦电信管理局在今年1月份出台的一份声明,巴基斯坦这些网关的网络监控系统升级将于2023年12月开始。

此前,时任巴基斯坦总理的安瓦尔-哈克·卡卡尔透露,即将推出所谓的“国家防火墙”来监管该国的社交媒体。

卡卡尔在1月底(2月8日大选前夕)接受采访时表示,“我们正在研究基于技术的解决方案来应对我们面对的挑战和威胁”。

在2月8日上午,该国内政部宣布关闭全国的移动互联网服务,以“维护法律和秩序并应对潜在威胁”。

但在2月17日,互联网被全面封杀的迹象初现,用户无法访问社交媒体平台X。

一家独立的虚拟专用网络评论网站的研究主管西蒙·米利亚诺指出,在X平台被封后,巴基斯坦的虚拟专用网络使用量比前4周增加了超过一倍。

由总理夏巴兹·谢里夫领导的新当选政府最初对此事保持沉默,但又在后来透露,X平台因不遵守政府删除内容的指令而被内政部下令封锁。

“封锁X平台的决定是为了维护国家安全、维护公共秩序和维护国家完整”,巴基斯坦内政部在4月份向伊斯兰堡高等法院提交的报告中这样提到。

尽管各位政府官员的声明继续暗示将引入新的“防火墙”,但直到7月中旬,互联网服务才开始出现大面积中断。全国各地的用户都报告了网速缓慢、服务质量下降和频繁出现的连接问题。

今年7月,巴基斯坦互联网用户抱怨互联网服务出现大面积中断,尤其是与通信应用程序 WhatsApp的连接

最值得注意的是,WhatsApp的多媒体服务被切断,尽管该平台上的短信仍能继续正常发送。

开放网络干扰观测站(OONI)的联合创始人阿图罗·菲拉斯图斯证实,WhatsApp多媒体功能已于7月17日“受到限制”。

8月份的数据显示了类似的干扰,显示互联网流量受到“监控”,用户尝试连接另一个加密通信应用程序Signal也受到阻碍。

该国最大的移动服务提供商Jazz承认收到了有关互联网服务质量下降的投诉。

“我们收到了有关某些社交媒体平台上某些用户受到干扰的报告。我们的团队正在积极调查这个问题,并将继续致力于确保服务不中断”,Jazz发言人在9月初发给半岛电视台的电子邮件声明中这样表示。

半岛电视台还联系了多家互联网服务提供商、电信公司和政府部门的20多名官员。只有少数人做出了回应,那些做出回应的人也要求匿名,而大多数人拒绝置评。

就像安全检查站一样,网速变慢不可避免

近20年来,巴基斯坦部署了监控硬件和软件解决方案,主要是为了打击灰色流量和打击网上的“攻击性内容”。

该国长期禁止色情和亵渎内容。它还根据国家法律定期向社交媒体平台发出内容删除请求。

在本世纪10年代,政府开始寻求更复杂的监控技术,以拦截手机通话和开展监控互联网活动。

2018年12月,巴基斯坦与加拿大公司Sandvine签署了一份为期5年、价值1800万美元的网络管理系统合同。

Sandvine网络管理系统 与其他类似的监控系统一样,可以执行各种内容过滤措施,例如统一资源定位器(URL)过滤、互联网协议(IP)过滤、域名系统(DNS)过滤和关键字过滤——所有这些都旨在管理通过网络管理系统的互联网流量,而网络管理系统被安装在该国的互联网网关点上。

互联网
内容拦截技术
有关一些内容拦截技术的介绍 (半岛电视台)

然而,其最强大的工具是深度数据包检测(DPI)——一种拦截和分析通过网络传输的数据的方法,能够解密和监控用户和服务器之间的流量。

深度数据包检测的工作原理就像机场扫描仪一样,允许当局查看通过互联网传输的数据包并检查其内容中是否存在敏感信息。

网络安全专家、澳大利亚网络公司董事哈龙·阿里解释称,像Sandvine这样的监控系统“严重依赖深度数据包检测”——该公司是一家总部位于悉尼的私人组织,专门为企业和政府客户提供网络安全服务。

阿里告诉半岛电视台记者,“深度数据包检测在粒度级别检查数据包,识别流量类型并允许根据网络管理系统中设置的规则进行拦截或更深入的检查。”

据一家大型互联网服务提供商的两名员工称,Sandvine的合同于2023年11月结束,而且该系统难以应对巴基斯坦不断增长的互联网流量和不断增加的监控需求。

“由于不断增加新规则,系统变得超载。每条规则都会消耗带宽和容量”,一名互联网服务提供商员工这样告诉半岛电视台。

与此同时,该国国防部官员表示,正在实施的新防火墙系统将提供更先进的监控功能。

该官员指出,“目标是在不关闭或限制整个系统的情况下监控一切。一个强大的深度数据包检测系统可以收集用户的元数据,即使他们的主要数据流量仍处于加密状态。”

元数据或“有关数据的数据”包括用户网络、设备、时间戳和位置等关键信息,在识别个人方面发挥着关键作用。

例如,WhatsApp收集各种类型的元数据,包括时间戳、IP地址、设备信息、使用时间以及发送者和接收者详细信息。

虽然元数据不包含实际的消息内容,并且不像网络管理系统可以读取消息本身,但网络安全专家阿里解释称,元数据仍然包含足够的信息来损害用户的匿名性。

“网络管理系统可以成为一种强大的监视工具,它使用深度数据包检测分析元数据并且可能侵犯用户隐私。”

但是一些专家警告称,巴基斯坦计划部署新系统的方式不可避免地会降低互联网速度——这不是一个缺陷,而是一个功能。

谷歌、网飞和Meta等主要网站和服务将经常请求的在线内容的副本存储在本地,从而减少了从远程服务器获取数据的需求。然而,这意味着仅监控该国互联网网关的网络管理系统不会捕获本地存储数据的使用细节。

为了解决这个问题,一位高级互联网服务提供商高管表示,新的网络监控系统不仅部署在该国的互联网网关,还被部署在移动服务提供商和互联网服务提供商的本地数据中心内。

这位高管补充道,“与Sandvine系统不同,新的基于深度数据包检测的系统现在能够监控本地互联网流量。”

但为了监控本地流量,新的防火墙将使用所谓的“内联网络”,它就像一个安全检查点,每个数据包都必须经过检查,要么允许通过,要么被拦截——而不是仅仅观察和记录流量而不干扰流量的替代机制。

互联网服务提供商官员表示,使用内联网络“将不可避免地降低互联网速度”。

伯明翰大学助理教授乌斯曼·伊利亚斯表示,这可能会导致“互联网速度变慢和延迟,影响视频会议等实时应用并降低整体用户体验”。

那么,为什么任何政府都会采用在线网络呢?伊利亚斯认为,答案很简单:这种机制对于监视和审查是必要的。

虚拟专用网络会导致网速变慢吗?

巴基斯坦电信管理局和信息技术部都一再否认互联网速度变慢的担忧与新防火墙的部署或测试相关。

巴基斯坦当局表示,该国今年至少经历了3起重大海底电缆故障,他们称这导致该国互联网服务质量下降

9月6日,巴基斯坦信息技术部向国民议会提交了一份书面回复,详细说明了2024年影响该国互联网服务的3起重大海底电缆故障。该部表示,除了6月份发生的一次故障外,其他所有故障都已解决。

总部位于伊斯兰堡的信息和通信技术组织“Bytes for All”的研究记录了今年巴基斯坦遭遇的至少15次重大互联网和移动服务中断。

国际倡导组织“互联网协会”的高级经理阿夫塔布·西迪基也证实了6月份巴基斯坦互联网服务因电缆故障而中断的事实,但他补充称,仅凭这一点并不能完全解释服务普遍恶化的原因。

他表示,政府通常根本不解释网速变慢和故障的原因中断,这“显示出缺乏透明度的现实”。

“Bytes for All”还在一份详细的技术报告中质疑了该信息技术部长卡瓦贾将互联网速度减慢归咎于过度使用虚拟专用网络的说法。

该报告于8月27日发布,表明使用虚拟专用网络通常可以提高互联网质量,从而与卡瓦贾的说法相矛盾。

该报告进一步指出,服务质量的改善表明虚拟专用网络允许用户绕过“限制或深度数据包检测措施”。

根据“Top10VPN”网站提供的数据,巴基斯坦在2024年7月和8月的虚拟专用网络使用量比2023年同期高出63%。该网站的主管米利亚诺表示,过度使用虚拟专用网络导致互联网速度减慢的说法“绝对荒谬”。

“这是否是无知或故意误导的案例,我不清楚”,他这样告诉半岛电视台。虽然虚拟专用网络消耗的带宽比常规连接略高,但“虚拟专用网络根本不可能影响到安装它的设备以外的更广泛的网络”。

与此同时,开放网络干扰观测站联合创始人阿图罗·菲拉斯图表示,该组织收集的互联网退化数据与政府的说法“非常不一致”——政府方面的说法是,一条海底电缆被切断就可能导致该国遭受互联网中断。

菲拉斯图解释称,“如果是这样的话,你不会看到故障只影响特定的服务,而将是会不加区分地影响许多服务”,“我们在数据中看到的情况与这是新获得的技术导致的结果的假设一致。”

扩大互联网控制

多年来,巴基斯坦政府扩大了对互联网的控制,使用技术手段和立法来规范用户可以访问和消费的内容。

但最新的防火墙测试,正值巴基斯坦政府被批评者指责特别针对前总理伊姆兰··汗的巴基斯坦正义运动党(该国最受欢迎的政党)之际。

具有讽刺意味的是,伊姆兰·汗的正义运动党政府本身已授权购买Sandvine网络管理系统,并被指控在执政期间(2018年8月至2022年4月)进行审查。

据总部位于华盛顿特区的政治倡导组织“自由之家”称,在此期间,巴基斯坦的净自由得分徘徊在100分中的25到27分之间。

据最新的2024年网络自由报告显示,其情况没有任何改善,巴基斯坦得分为100分中的27分,即保持了原有的“不自由”状态。

然而,自从伊姆兰·汗两年前因议会不信任投票而被罢免以来,该党一直面临镇压。伊姆兰·汗因多项指控而被关押了15个月的时间,他所在的政党也面临针对其领导人和成员的大规模逮捕以及网络限制。

在去年12月,作为竞选活动的一部分,正义运动党举行了一场“虚拟集会”,并在社交媒体平台上吸引了超过500万次观看,被监禁的伊姆兰·汗在此期间发表了为时4分钟的演讲——这段演讲是在人工智能的帮助下生成的。

互联网用户报告称,在演讲直播期间出现了互联网服务中断,而互联网跟踪公司“NetBlocks”也证实了这一中断。截至本文成稿时,该党的网站在巴基斯坦境内仍然无法访问。

11月24日,正义运动党的支持者发起了前往伊斯兰堡的抗议游行,要求释放伊姆兰·汗,在此期间,政府再次限制对虚拟专用网络的访问,并关闭了全国范围内的移动互联网服务。

WhatsApp的多媒体服务也被切断,心怀不满的用户无法下载照片和视频,也无法在没有虚拟专用网络的情况下交换语音笔记。“Netblocks”在X平台上发布的一条消息中也证实了针对互联网服务的限制。

数字权利活动家法里哈·阿齐兹将巴基斯坦新防火墙系统部署的“高度保密”和“明显的紧迫感”与该国的政治气候联系起来。

法里哈·阿齐兹告诉半岛电视台,“这种匆忙似乎与当前的政治环境有关,旨在控制信息流和叙事构建”。

这些秘密防火墙测试背后的紧迫性,也出现在巴基斯坦强大的军方描述其所谓的“数字恐怖主义”威胁之际。

军方直接统治该国已有30多年的时间,并且继续发挥着重大的政治和社会影响力,它于今年早些时候引入了这一术语。

巴基斯坦军方的媒体部门三军公共关系部(ISPR)声称,“出于政治动机和既得利益的数字恐怖主义”,被用来在该国传播沮丧情绪。

巴基斯坦军方在今年5月的一份新闻声明中表示,“这是通过散布赤裸裸的谎言、虚假新闻和宣传,而在国家机构——特别是武装部队——与巴基斯坦人民之间挑拨离间。”

巴基斯坦前总理伊姆兰·汗和他的政党被认为擅长利用社交媒体来宣传他们的言论,并且面临政府的打击——他们的办公室遭到突袭,社交媒体工作者也遭到逮捕

巴基斯坦军方的声明被广泛解读为对巴基斯坦正义运动党的暗示——该党被认为是该国技术最精通的政党,其支持者经常主导社交媒体上的叙事。

该党的支持者因开展“反国家数字运动”而成为目标,而对巴基斯坦正义运动党办公室(包括其在伊斯兰堡的总部)的突袭导致人们因社交媒体上的“数字恐怖主义”和“虚假宣传”而被捕。

然而,阿齐兹认为,“数字恐怖主义”这一概念没有法律地位。

“这个术语是在政治背景下创造的,并不具有法律效力。围绕它构建的叙述表明,它更多的是控制政治言论,而不是应对任何真正的网络安全威胁。”

求助中国

分析人士指出,这一切都不是新鲜事。在正义运动党执政期间——当时人们普遍认为该党与军方关系密切,有许多批评者因其在社交媒体上的观点而被捕。

网站和页面被封锁,社交媒体平台被迫删除被认为违反了“巴基斯坦的完整性、安全和防御”及其他违规的内容。

在伊姆兰·汗的领导下,正义运动党政府和军方都开始使用“第五代战争”一词,以暗示社交媒体上正在传播针对巴基斯坦的“反国家宣传”,从而需要开展强有力的数字防御。这正是“数字恐怖主义”概念的前身。

但是有些事情已经改变了。

此前,巴基斯坦严重依赖西方技术来监管其互联网,并且使用了Sandvine、FinFisher和Netsweeper等公司的硬件和软件解决方案。然而,面对来自数字权利组织的压力,许多公司已经停止向巴基斯坦提供服务,其可供选择的方案越来越少。

随着巴基斯坦与其邻国和最亲密盟友中国之间的关系进一步加强,特别是在价值620亿美元的中巴经济走廊基础设施项目启动之后,中国也成为其新的技术合作伙伴。

在过去几年内,复制中国防火墙(其复杂的互联网审查和监视系统)的想法也开始在巴基斯坦安全机构中扎根。

任何防火墙都只能阻止泄漏。与中国一样,只有政府批准的虚拟专用网络才能合法用于绕过网络障碍,巴基斯坦也在朝着禁止使用“非法”虚拟专用网络的方向发展。

巴基斯坦电信管理局在9月致半岛电视台的书面回复中表示,它“正在与利益相关方联系,以采取可行的解决方案,促进合法虚拟专用网络的使用,同时履行其在法律下的义务”。

然而,在今年11月初,巴基斯坦的几项虚拟专用网络服务在恢复之前的数小时内曾一度无法访问。监管机构巴基斯坦电信管理局并未直接解决突然中断或恢复的问题。

随后,在11月15日,巴基斯坦内政部致函该国电信管理局,要求其在全国范围内“封锁非法虚拟专用网络”,并称这些虚拟专用网络被用于“促进暴力活动”以及访问“色情和亵渎内容”——这两项内容在该国都是被禁止的。

半岛电视台掌握的这封内政部致函指出,“最近,人们发现了一个令人震惊的事实,即恐怖分子使用虚拟专用网络来掩盖和隐瞒他们的通信。”

经济风险

虽然巴基斯坦新防火墙背后的供应商尚未得到证实,但分析师一致认为,该国的互联网基础设施是集中式的,而且相当严格。

据学者伊利亚斯称,在最近的干扰开始之前,巴基斯坦的审查能力还很有限。

“但据传今年将部署的新系统透明度要低得多,对生产力和用户体验的破坏性要大得多。”

常驻悉尼的网络安全专家阿里解释称,虽然许多国家都部署了网络监控系统,但他们是在法律监督下这样做的。

他说,“美国或英国等国家使用类似的系统,但它们通常拥有法律护栏——例如法院命令和程序检查——来保护隐私和言论自由。”

专家们表示,巴基斯坦在使用新防火墙时几乎不能确保类似的保障措施。

对于一个努力通过不断发展的信息技术行业获得出口收入来改善其陷入困境的经济的国家而言,更具侵入性的防火墙在经济上也具有重大影响。

数字权利活动家阿齐兹表示,任何破坏的互联网服务、阻碍商业运作或者引发隐私问题的系统,都可能会对私人和更广泛的商业界构成严重威胁。

她还警告称,“巴基斯坦企业依赖全球平台提供网络托管等服务,许多企业都签有保密合同。如果新系统检查网络流量、阻止虚拟专用网络或者实施注册制度,那么就可能会造成更多的障碍。”

她还表示,巴基斯坦可能会被视为一个不稳定且缺乏吸引力的投资市场——而此时,该国总理谢里夫和他的团队正在拼命争取沙特、中国和阿联酋等国家参与其大型项目。

阿齐兹认为,“缺乏透明度、侵入性技术和倒退的政策,正在巴基斯坦创造一种没有服务保障、法治薄弱、甚至法院诉讼也不一定能带来救济的环境。”

“这不是一个好兆头。”

来源 : 半岛电视台

广告