五千年(敝帚自珍)

主题:我所了解的中国“棱镜”情况 -- 汴梁牛二

共:💬146 🌺1539 🌵8
全看树展主题 · 分页首页 上页
/ 10
下页 末页
家园 这个不对

"而CA的寻址是通过NS服务器的,只需要改变DNS解析到政府伪造的CA,浏览器端就会验证为google的证书无误"

NO, CA是你的OS或者browser预加载的。而且Chrome现在有pinning,你就算从一个真正的CA那里设法拿到一个gmail的证书也没用

家园 是的,CA的根证书是预设的;但靠DNS不能搞定

但是,CA是可以再安装的,而通常普通人在使用电脑的时候,都CA根证书的安装很少仔细去看是装了神马。

现在网银、国内预装的操作系统,甚至是一些商业软件,都可以成为植入政府证书的途径。

实际中,很多企业都对员工的上网行为进行记录,其中包括SSL数据;使用的方法就是,在企业的终端上增加一个预制的CA根证书(企业通常可以直接通过AD域推送),让浏览器信任企业自签发的证书,再在监听网关上安装一个企业自签发的证书。而实际这一块的问题是,SSL加解密非常消耗性能,如果这样做必须配置昂贵的硬件加解密设备,所以企业中采用的较少。但是,政府在这块的经费应该不是问题。

另外,SSL协议本身是足够安全的,现在可以采用中间人的是针对其只认证服务器端的模式,对于客户端和服务器双方都必须进行身份验证的模式,几乎无法进行攻击。所以,带证书客户端的VPN是足够可信任的。

家园 我猜你是想说“单靠?”

不然意思我看不懂了。

enterprise MITM我知道是怎么回事,没什么稀奇的,Cisco都有专门的产品来干这个,小点的公司的产品更是数不胜数。

CA在企业内部电脑上当然是可以预装的,但我们前面的讨论并没有限制这个前提,对于占绝大多数的私人电脑而言,预装上的CA也就是Microsoft或者Mozilla或者Apple的root store。

家园 但是要植入一个CA根证书到普通用户,对于政府来讲并不困难

从现象上讲,最明显的就是前些年访问gmail还会弹出证书不授信,现在一点感觉都没有。我相信不是因为政府放弃对这块的监控造成的。

家园 主要是还大张旗鼓、理直气壮地立牌坊,这就恶心人了。
家园 老兄但转无妨。
家园 我所了解的中国“棱镜”情况(二)

进入20世纪以来,从事情报监听和分析的公众公司越来越少。以前以色列的一些高技术公司是业界翘楚,现在也逐渐式微。归根到底,主要的原因是911以来,通信情报的采集和分析,已经由过去的定向,定点,目的性和规则很强的工作方式,转向了针对海量公众数据的无差别攻击。通信情报监听日益强调大数据采集和行为模式分析。这一转变使得对公众的隐私侵犯日渐增强,政府和安全机关自然倾向于将此类项目交给自己严密控制的合约承包商,而不是公众公司(有的甚至是上市公司)。例如以色列的一家著名从事通信情报监控的公司,就因为将他国的监控数据私下交给CIA而名声扫地,从此彻底失去了国际市场。最近这个公司宣布转向金融犯罪数据监控市场,不知道是否还能够东山再起。

对于这个转变穆斯林激进主义者和美国都负有责任。前者将恐怖行动从组织行为变成人民战争,后者过分追求安全感导致行为超越边界。无论如何,通信监听逐步从公开的,商业化的,有规则和流程的技术领域,变成了无规则的秘密行动。

在国内方面,公安和国安各种有自己的监控系统,在类似Skype这种应用的监听方面,公安部X所做了很多的工作,特别是在客户端方面入手,以图破解端到端加密带来的监控问题。最近这10多年,国内官员高层大案叠出,而公安和国安的监控手段没能给予足够的支撑使得中央震怒。正如有河友说的,最大的泄密因素是人。高层认为国安和公安和地方纠葛太多,通信监听结果屡屡泄露,所以总参又建了一套侦听系统,按照一般的理解,军队系统和地方利益瓜葛较少,所以可以保证信息获取的及时性和保密性。

就通信侦听的实施密度而言,美国的E911等法案明确要求对通信者进行监控。HLS的要求是,任何一个地点有可疑事件发生,可以迅速知道在此事件的前后T时间段内,有谁在X范围内,有谁进入或者离开了,从哪里来,去了哪里,运动规计是什么,有过哪些通信行为,并且有完备的通信文本记录或语音录音。从本质上说,是将所有通信设备,特别是移动通信设备看成了一个电子跟踪器。在06年的时候,Sprint成为第一个满足HLS要求的运营商,据说光硬件设备就投资7亿美金。

国内的一些安全机关也曾经想实现这一目标,但是后来都因为经费或者协调的原因放弃了。只有在北上广一些大城市进行了有限的部署。总的来说,实际上国内对通信的监控远不如美国彻底。

综合的看,世界上所有国家,对于通信监控的力度都差不多,差别的产生不在于这个国家的制度或者道德,而仅仅在于资金是否充沛。如果按照通信监控的密度来衡量民主程度的话,恐怕非洲很多国家遥远领先,哪里完全没有监控,导致尼日利亚的电信诈骗全球出名。

但是尽管此次棱镜事件让我们看到了美国的通信侦察行为和中国没有区别,我们只能说他们对于中国的批评是虚伪和傲慢的。但是,在这种侦察行为的目的,或者说技术手段的运用目的上,还是有很大差别的。美国尽管有庞大的通信监控网络,但是要承认他主要还是运用在反恐和犯罪调查的目的上,至少目前看没有在其他方面滥用的迹象。类似我国太原公安局长利用技术手段监控举报他儿子酒驾的民警,或者重庆方面利用监控达到政治目的的事件,在美国从未发生过。在例如,台湾在实施了电信监听法案之后,以前十分猖獗的网络电话钓鱼诈骗事件几乎绝迹;而在中国,这种事件几乎天天发生。考虑到大家的监控技术手段几乎相同,不得不说这是技术运用的目的差异造成的。

以现在的电话和网络诈骗而言,实际上目前公安的通信监听系统可以通过行为分析轻而易举的发现从事这种活动的电话并且锁定其位置,无论是网络还是电话。遗憾的是,目前公安的通信监听系统主要还是用于维稳或者其他目的,类似这种诈骗行为根本没人关心,相关部门也不愿投资在这一方面。这是目前存在的最大的问题。

通宝推:渡泸,南京老萝卜,梓童,每周虎,Leono1,daharry,donghan,北纬42度,阿蒙2008,远航,foureyes,韩信点兵,海底鼠拨土,jboyin,西行的风,2313234454dfsd,cngood,奥森,墨里荀,presario2200,鳄鱼眼泪,
家园 楼主有宝

送花赞扬 关闭

送花成功。感谢:作者获得通宝一枚。

作者,声望:1;铢钱:16。你,乐善:1;铢钱:-1。本帖花:1

家园 身为专业人士,有意无意地混淆电信网和互联网,不出所料

楼主开始夹带私货了。

我相信第三篇,就是对某系统、某制度的大力吹捧了。

通宝推:每周虎,侧翼,
家园 和历史原因是两码事,关键是绝大多数专家不相信谁能对

互联网进行完全监控。

家园 有个问题,监控光纤接口,这数据流量和对处理能力的要求也

太大了吧。

工作关系,接触过类似的东西,一般都是在某几个接口采集信令。

采集所有的数据包,语音,那得多大的服务器和处理能力?

应该是采取监控信令,和监控监听重点用户的语音的方式。

家园 Chrome现在有内置的探测,当它探测到你是从公司内网

上网的时候,如果发现gmail的证书不对,是不会报警的。

家园 而且root CA就那么多,政府偷偷塞一个进去的话迟早是

要被发现的,被发现了就是丑闻,证据确凿的丑闻

家园 美帝拍得自己政府很坏的电影也是多的一塌糊涂啊

上到总统杀人,下到各种情报局作案多了去了。。。

家园 是滴,大量作品一直在讲“狼来了,狼来了”

是滴,大量作品一直在讲“狼来了,狼来了”,现在这个算不算真的“狼来了”呢?

情报收集工作是不是应当摒弃“阴谋模式”,改走“阳谋模式”呢?

俺以极大的恶意揣测,能出现斯诺登、维基揭秘这些顺走大把情报走人爆料。就能出现暗鬼顺走大把情报干些恶心的事情,比如出售给商业机构出售给敌国牟利,比如迫害公民个人(信息黑帮)……这些事远比斯诺登之流干的哗众取宠的事可怕,让人不寒而栗……希望我是杞人忧天……

全看树展主题 · 分页首页 上页
/ 10
下页 末页


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河