五千年(敝帚自珍)

主题:我所了解的中国“棱镜”情况 -- 汴梁牛二

共:💬146 🌺1539 🌵8
全看树展主题 · 分页首页 上页
/ 10
下页 末页
家园 我所了解的中国“棱镜”情况

“棱镜”这个事情出了,不少人哗然说美国政府也会如此。其实真正业内人士反而会觉得莫名其妙,因为从理论上说每个人都应该知道政府肯定会监控通信网络,如果美国政府没有这么做反而是不负责任,纳税人的钱交给政府就是换取政府的安全保证的。所谓被监控的一点点不便或者受侵犯的感觉,实在是没人在乎的。从这个角度来说,美国人要么是在装傻,要么是天真的不可理喻。

从另一个方面说,对通信系统的监控系统,或者叫LI系统,早就不是什么秘密。在电信联盟的技术规范里面,通信侦听有一整套公开的技术规范。任何一个通信系统设备如果不满足这个规范是无法投入市场的。对语音通信网络的侦听,录音从来就不是一个秘密,绝大多数国家的相关部门可以在自己的终端上直接监听任何一个号码的通话。目前引起轩然大波的,可能主要还是数据通信网络,或者说互联网通信。人们总是有一个莫名其妙的感觉,似乎Email,SNS,IM通信内容更加隐秘一些,所以就应该更加安全,不能说不是一种感知错位。

在中国的电信网络里面,所有通信光缆都要有一个镜像接口复制所有内容给相关部门,这是公开的。至于有关部门是不是检查所有的内容则看他们的需要。美国国土安全部(好像叫HLS)的要求更加变态,要求能够短时间内获取通信内容发送方的详细位置。这是一个浩大的工程,对于一个可能四处移动的设备来说,跟踪起来难度极大。国内政府控制力度要强一些,所以对技术手段的依赖不是那么高,这就是为什么我们现在走到哪里,用Wifi上网总是要输入手机号码的原因。

问题在于,目前越来越多的通信手段,你获取了数据包也无法复原。例如Gmail使用了SSL加密通信,截取数据包是无法恢复文件内容的。Google和中国政府闹翻的导火索,就是国安部门用“中间人攻击”的方法去获取一些藏独分子的Gmail内容。例如一个监控目标A用Gmail发送信息,安全部门虽然有他通信的数据包,但是恢复不回来。但是相关部门可以全权控制网络,所以他们做了一个网关,这位A君以为自己在用Gmail,实际是先登到安全部门的服务器上,然后再转发给Google的服务器的,这样就获取的相关内容。这种方法存在一个问题,就是Gmail采用端到端SSL加密,如果中间插入网关进行劫持,会导致安全证书弹出。比较低级的做法是伪造一个安全证书,例如伪造一个Gooogle公司的安全证书,比较粗枝大叶的人也许就会忽略这个不同。但是安全部门应该不会采用这种低劣的手段,也许他们攻破了MD5或者SHA-1,能够真正伪造出一个证书来。但是最后Google还是发现了这种行为,所以就有了几年前退出中国市场大义凛然的举动,因为这种对Gmail邮箱的工具"突破了Google的底线"。

现在美国棱镜计划的曝光让google最为尴尬的是,我们现在知道了为何美国政府不需要用这种“中间人攻击”的方法了。原来美国政府可以直接命令Google交出Gmail的内容。相比之下,Google对中国政府的指责就显得有些可笑了。

对于现在越来越多的通信应用来说,美国政府最大的优势其实不是思科或者IBM这样的硬件制造商,而在于Google,Facebook,Twitter这些大型ICP都要听从美国政府的命令。从这点说,除了中国以外,其他所有国家的信息命脉都掌握在美国人手里。中国政府的态度很明确,一个ICP如果不肯被监控,就不要进入中国。这方面Skype就是一个例子。Skype是P2P语音应用,刚开始监听和跟踪起来极难。FBI甚至专门有一个funding对支持对Skype监听的研究,这方面有不少的论文发表。中国政府的做法则是,如果不给我监听,你就不能在中国顺利的应用,不要说落地,连顺畅的通话都做不到。Skype虽然很难监听,但是却很容易干扰。最后的结果大家都看到了,在国内你要下载一个Tom Skype才行,这可是特制的版本哦。

我们公司原来有一个LI的事业部,后来解散了,因为这一行实在不好做。没想到后来阿拉伯之春一来,我们收到很多邮件,都是中东地区的各个国家发来的,问我们能否提供我们的产品,重点就是Twitter,Facebook和Youtube。所以说在这个方面,没有哪个国家是干净的,也没有哪个国家是特别邪恶的。

通宝推:海底鼠拨土,laska,njyd,李根,南京老萝卜,梓童,东方射日,tojinge,Leono1,daharry,jellobean,donghan,airman,范进中举,RR若林,每周虎,王小棉她妈,西瓜子,逐水而行,2313234454dfsd,加东,奥森,bluesknight,presario2200,foureyes,格瑞斯华尔德,平淡是真,空格,远航,回旋镖,喝咖啡就煎饼,浣花岛主,端履门,老虎尾巴,biglw,打铁的,桥上,悠悠又见西山,上古神兵,高地,puma2011,猪啊猪,方恨少,小飕风风,df31,匆匆过,潮起潮落,西电鲁丁,jboyin,kkilo,Climb,曾自洲,stamilo,好说好说,我爱我家fh,seesee0,PCB,桃子甜,

本帖一共被 1 帖 引用 (帖内工具实现)
家园 仁兄大文不知是否可转?

呵呵,谢谢!

家园 就是美国特别恶心。

不但做婊子,还要立牌坊,还要攻击别人不干净。

家园 补充几句:关于电话、传真、数据通讯的监听

电话监听自自贝尔发明电话之时就有了。土八路在军用电话线加挂一个话机,就能监听日军的通讯。军统、中统这样的机构都对监听电话很在行,不要说TG的社会部以及总参下属某部了,小儿科。解放战争中,陈赓本人百忙之余就经常很休闲地亲自监听国军的无线通讯。

90年代模拟电话变成程控电话之后,国内设备商自从有了开发程控电话交换机的能力,也就有了自动全面监听通过网络交换的通话的能力。现在监控不仅廉价、成熟,更是智能化了。可以把某些敏感号码的全部通话自动录成MP3格式存储起来,可以全面分析语音通话中敏感词(比如您突然说了一句“李老师托我带了一本书”,鬼知道计算机会如何识别解析这句话),还可以根据号码之间的通话记录,自动计算分析其中的关系以增加监听号码。存储的语音信息自然是海量的。

手机语音通讯,除非专门加密,比有线更容易监听。可以在网络交换侧监听,可以监听同一个蜂窝小区的无线信号,可以监听传输(含光缆)及信号接口(比如如果中移动在南沙设了一个GSM基站,用Abis口联系卫星,美国可以轻松截获通过A口与卫星的通讯获知我海军陆战队士兵与家人的通话)。不仅强力部门可以监听你,你的商业竞争对手以及关系不睦的同事也可以监听你,您基本是裸奔。

不过上述裸奔是被动裸奔。假如您用了苹果iphone,又开通了手机的无线数据服务,那您是主动在苹果面前裸奔。当然裸奔的人多了,光屁股看花眼了,就不叫侵犯隐私,而叫datamining了。苹果很善意地分析一下众多屁股蛋数据的差异、关联性并分析您扭屁股姿势的可预测性。

传真是很落后的机器,需要实现信号的同步才能传输模拟图像。老式的传真机有时未放到接收传真状态,对方就要电话打过来,要求“给个信号”。然后你一按接收键,传真机稀里哗啦一阵乱叫,这其实就是解决信号的同步问题。但恰恰这个信号经常是手动给出的模拟信号,同步问题成了大问题,国内的传真监听比交换机监听晚解决好几年。不过现在已完全没有技术问题。您的传真不管模拟的数码的,会丝毫不差地自动存储到监听系统的硬盘上。

真正比较难监听的是数据通讯。问题就在于楼主提到的,数据通讯是数据分散打包。这个问题楼主已经讲得很详尽,本人就不赘述了。不过,在这里强调一点,对FACEBOOK\apple的主动裸奔,然后加上上述厂商对美国政府的半推半就、投怀送抱,省了美国政府多少事、多少经费啊。中国的大小贪官们,只要在海外有账户(哪怕是用开曼匿名公司在瑞士银行开的离岸账户),手机及网上有活动,美国政府会把他们了解得门清的。有些人说中国的贪污犯胃口太大,美国根本没有那么多钱把他们收买过来。其实错了,很多人根本不用收买,只要拿出贪腐证据恐吓一下,就被策反了。所谓的微博反腐--其实就是纵容公知们打一些倒霉的小苍蝇如“表叔”之流,真正的大鱼是要CIA登门拜访的。

中国有世界最大的防火墙(GFW),但中国的网络绝不是公知们污蔑的所谓的中华大局域网。至少物理上中国的网络和互联网是有很多大型接口的。真正保密的网络,是物理上断绝关系的独立网络。比如我国军方全国的光纤网络,是和民用网络可以物理断绝关联的。核武、防空、军事科研,都是有物理完全隔绝的网络的。据说美帝在开发非常科幻的技术,可以介入物理隔绝的网络。这个我真不懂,如果连我都懂了,就不叫科幻技术了。

就扯到这里吧。

通宝推:Leono1,五角星帽子,foureyes,半江瑟瑟半江红,迷途笨狼,
家园 说到底,美国利用IT技术的垄断地位

来监控全球的信息,随着大数据技术的发展,无论是针对特定人群、社团、思潮,......,一切原来物理社会难以监控的活动,现在通过虚拟世界能够发现、跟踪、分析、干扰乃至控制。这就是默克尔也要急的原因,要么你别监控,要么监控的原始信息大家共享。

家园 与其贪官被人家恐吓策反,那还不如免罪更有利于中国梦

CIA:科长先生,你不为我们服务我们就公开你在瑞士银行的账户哦。

科长:小样!上午传达了,为防止大小官员们被CIA恐吓策反,海外账户与房屋等财产同属私密,受法律保护,暂不谈公示啥的。

CIA:......

家园 彻底的物理隔绝,要做电磁屏蔽。

不是光不联网就可以解决的,河里以前有讲过,没有电磁屏蔽,通过电磁泄漏,隔条街可以同步你的电脑画面。

家园 现代通信系统,物理隔离并不是特别重要。

随着通信数字化和终端智能化,端到端加密成为主流方式。所以在大多数情况下,光获取通信信号是没有用的。

对于GSM系统来说,Abis接口和A接口的侦听是不难,但是前提是运营商要配合,如果运营商不配合,那么侦听还是非常困难的。美国著名的Blue Bird系统,能够在GSM无线环境下不经运营商提供解码秘钥就暴力破解通信语音,算是很不错的产品。但是其侦听的范围很小,基本上要离被监听人很近才行。

家园 建议哥么到钓鱼岛上去揭露中国棱镜项目:)
家园 真的吗

真的吗??那就什么都不安全了。

家园 补充一下

“也许他们攻破了MD5或者SHA-1”

SSL协议采用非对称算法交换通讯密钥,哈希算法是用来完整性保护和机密性无关;政府一级的中间人攻击可以非常简单,使用电信运营商的proxy和ns即可。

具体来说,政府可以在自己proxy上放置google的假证书,因为用户的浏览器其实也就是去默认的CA验证证书的真假,而CA的寻址是通过NS服务器的,只需要改变DNS解析到政府伪造的CA,浏览器端就会验证为google的证书无误;然后,proxy再替代用户去和google交互就完成了整个中间人攻击。

上述实现起来其实很简单,如果你共享一个免费的wifi信号出去,在自己的网络里面照着做一次,也可以把所有逞你网的小白的信息一览无遗。所以,去咖啡馆那些什么的,接入wifi后最好自己再拨一次VPN。

SKYPE一开始,其实美国政府也很头痛。FCC曾经对其发出最后通牒,限期提供可以被监控的技术途径。所以,比流氓美国政府一点都不差。

从技术对比来讲,我们实在处于太大的劣势,从芯片、操作系统、网络全是别人的,现在能做的只能是先用我们信得过的设备把边界守起来,再慢慢替换。

家园 电信网和互联网不能混淆

电信网监听虽然是常态,但互联网不尽然。

现在美国政府开始个坏头,只能说:

自由的互联网精神已死!

家园 伪造CA不行吧,这是预置在浏览器里面的

但是国家层面,应该可以强制要求国内的证书颁发单位认可这个中间人攻击。我怀疑美国政府也会要求Verisign这么干。

家园 关于Gmail的内容

是否意味着在国内用Gmail通信要比网易数据更安全?

家园 同问LZ,可以转载否?
全看树展主题 · 分页首页 上页
/ 10
下页 末页


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河