avva | сволочи и уроды

avva

NSA infiltrates links to Yahoo, Google data centers worldwide, Snowden documents say

Слайд уродов из NSA:

Well, fuck :(

Flat | Top-Level Comments Only

From:

squadette.livejournal.com

не понимаю.

я читаю эту фразу как "здесь включается и выключается SSL", имея в виду что GFE именно это и делает.

почему все читают ее как "здесь мы включаем и выключаем SSL"?

From:

squadette.livejournal.com

но смайлик действительно непонятен

From:

avva.livejournal.com

Не знаю, кто так читает, но ваше прочтение правильно. GFE обрабатывает запрос от юзера, расшифровывает его, если надо, и пересылает настоящим серверам. Траффик между GFE и этими серверами полностью пролегает внутри Гуглевского файбера, и до недавнего времени не был шифрованным.

Смайлик поставлен потому, что этот факт означает, что подслушивая траффик между датацентрами (правое облако), они получают расшифрованные запросы юзеров.

В последнее время Гугл работает над тем, чтобы весь этот траффик был зашифрованным - эта работа началась задолго до этих откровений, я лично могу это подтвердить (работал долгое время над внутренними сетями, хоть и не над этим проектом).

From:

saccovanzetti.livejournal.com

А это сильно экономит ресурсы, если внутри не шифровать?

From:

meshko.livejournal.com

Прочитать можно по-разному. Я как раз подумал, что они делают MITM перед GFE. Иначе вообще не очень ясно в чем смысл этого слайда. Как они залазят в правое облако?

From:

avva.livejournal.com

Смысл этого слайда объяснить, почему это полезно для них - залезать в правое облако.

Как они залезают, точно неизвестно. Видимо, это делает британская GCHQ, а не NSA, а NSA получает доступ к этой информации. Оптоволокно не так-то легко подслушать, но я в этом не разбираюсь на самом деле.

From:

meshko.livejournal.com

Если они могут залезть в правое облако, не совсем ясно, чем для них SSL препятствие. Если вообще думать, что для них SSL проблема, то уж коль скоро они могут ковырять в облаке, там уж и до ключей недалеко.

From:

vodianoj.livejournal.com

Ключи сидят на GFE серверах - обычно именно за этими серверами хорошо следят и влезть туда незаметно непросто.

From:

legionarius.livejournal.com

Подскажите, а зачем в облако это лезть, если можно я помощью постановления суда заставить сертификационный центр выдать нужный SSL ключ, например, на домен google.com?

From:

r-l.livejournal.com

Может быть, потому что кому-то нравится делать это БЕЗ постановления суда?

From:

vodianoj.livejournal.com

Я ответил на технический вопрос meshko. Ваш вопрос не имеет к этому никакого отношения, извините.

From:

avva.livejournal.com

Потому что NSA было бы сложно получить через суд SSL-сертификат всего google.com. В частности, потому, что у Гугла есть механизм передачи данных о конкретных юзерах с санкции суда. Мы знаем, что в тех случаях (Lavabit), когда NSA/FBI стремились получить через суд SSL-сертификат, они оправдывали это тем, что невозможно было узнать данные об отдельных юзерах, и суд считал это главной причиной, по которой он одобрил такой запрос.

From:

meshko.livejournal.com

Вот я думаю украсть ключи как раз проблема не большая. Они мелкие, их унести незаметно ничего не стоит (хоть экран сфотографируй). Сколько в Гугле работает сотрудников спецслужб? Я думаю, десятки.

From:

eterevsky.livejournal.com

Доступ к ключам для сотрудников также сильно ограничен. Кто угодно не может подойти и списать ключ на флешку.

Не говоря о том, что ключи для отдельных сессий могут быть разными.

From:

vodianoj.livejournal.com

Оптоволокно довольно легко прослушать. Есть масса способов. Вот тут показан наиболее простой с фотографией реального дешёвого прибора (меньше чем 1000$), делающего это:
http://www.techrepublic.com/blog/it-security/protect-your-network-against-fiber-hacks/222/

From:

kotbegemot.livejournal.com

В последнее время Гугл работает над тем, чтобы весь этот траффик был зашифрованным

Вообще странно, что до сих пор это было и есть не так!

From:

krace.livejournal.com

+100500

wtf google, really. "do no evil, do stupid"?

From:

meshko.livejournal.com

Я не понимаю в чем проблема. Речь же идет о private optic links. Зачем их шифровать? Я и сейчас не убежден, что проблема в этом. Мне кажется, что либо у них прямой доступ к внутренней сети Гугла (тогда SSL не сильно поможет), любо они читают траффик еще на входе (тогда уж совсем пофиг)

From:

krace.livejournal.com

define "private". quite likely, it still goes through third-party equipment or at least third-party premises - that's an attack vector right there. my guess is, securing these links costs quite a bit, so whoever's in charge just figured they could save a mil or a dozen.

From:

meshko.livejournal.com

Well, yes, but there is pretty much only one entity who would be able to attack infrastructure on that scale.
Eavesdropping on Google-bandwidth data channel is too expensive if you are after an individual or a small company and non-feasible if you are after the whole thing -- unless your a the size of Google. So yeah, I don't blame them.

From:

krace.livejournal.com

not necessarily "only one": there's a few other entities with capabilities kind of comparable on the order of magnitude, plus the "unknown unknowns". yes, it's a rather unlikely scenario, but not out of the realm of the possible. i mean, if you implement "encryption" and talk data safety, gotta think of such things. comm channels of all kinds have been compromised since the beginning of history, so it's really an amateurish mistake.

(no subject)

From:

meshko.livejournal.com - Date: 2013-10-31 02:56 am (UTC) - Expand

(no subject)

From:

krace.livejournal.com - Date: 2013-10-31 02:58 am (UTC) - Expand

From:

mi-b.livejournal.com

работает над тем, чтобы весь этот траффик был зашифрованным

Нисколько не подвергая сомнению все тобой сказанное, думаю, что многие слова в этой фразе должны быть закавычены: "работает", "весь", "был","зашифрованным". Без очень радикальных организационных изменений в Гугле и/или правительстве, дырка останется, не эта так другая, и даже чтобы проблема стала чисто технологической не допустят.

From:

michaelm1234.livejournal.com

Ну когда трафик будет шифрован то парни из АНБ вежливо попросят золотой ключик.

From:

michaelm1234.livejournal.com

Конечно тут проблемы, даже когда есть ключ скорее всего надо репитить/перехватывать гигабайтный трафик совсем без потерь (что наверное трудно очень !), иначе шифр в режиме CBC невозможно расшифровать.
Однако FISA суд может попросить не шифровать базар (или не использовать блок чейнинг хотя бы).

Геморрой гугла сейчас то что нельзя больше утверждать что нет оптового слива данных, ну не могут.

А может быть они (NSA) и научатся перехватывать трафик без потерь...
Я написал у себя про всю эту песню; один из выводов то что в наш век слежка и социальный контроль являются двигателем прогресса в области IT.
можно найти поиском фразы: "The secret policeman's crystal ball"

Edited Date: 2013-10-31 06:57 am (UTC)

From:

michaelm1234.livejournal.com

Link: http://mosermichael.github.io/cstuff/all/blogg/2013/06/08/post-1.html

Flat | Top-Level Comments Only

Profile

avva

Website

December 2025

S	M	T	W	T	F	S
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30	31

Page Summary

squadette.livejournal.com - (no subject)

Style Credit

Style: Neutral Good for Practicality by timeasmymeasure

Expand Cut Tags

No cut tags

Page generated Dec. 29th, 2025 07:29 pm

Ни о какой безапелляционности в моих высказываниях не может быть и речи!

(...)

сволочи и уроды

сволочи и уроды

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

(no subject)

(no subject)

no subject

no subject

no subject

no subject

Profile

December 2025

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags