сволочи и уроды

Oct. 30th, 2013 11:35 pm
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2013-10-30 09:48 pm (UTC)
From: [identity profile] avva.livejournal.com
Не знаю, кто так читает, но ваше прочтение правильно. GFE обрабатывает запрос от юзера, расшифровывает его, если надо, и пересылает настоящим серверам. Траффик между GFE и этими серверами полностью пролегает внутри Гуглевского файбера, и до недавнего времени не был шифрованным.

Смайлик поставлен потому, что этот факт означает, что подслушивая траффик между датацентрами (правое облако), они получают расшифрованные запросы юзеров.

В последнее время Гугл работает над тем, чтобы весь этот траффик был зашифрованным - эта работа началась задолго до этих откровений, я лично могу это подтвердить (работал долгое время над внутренними сетями, хоть и не над этим проектом).

Date: 2013-10-30 10:02 pm (UTC)
From: [identity profile] saccovanzetti.livejournal.com
А это сильно экономит ресурсы, если внутри не шифровать?

Date: 2013-10-30 10:27 pm (UTC)
From: [identity profile] meshko.livejournal.com
Прочитать можно по-разному. Я как раз подумал, что они делают MITM перед GFE. Иначе вообще не очень ясно в чем смысл этого слайда. Как они залазят в правое облако?

Date: 2013-10-30 10:38 pm (UTC)
From: [identity profile] avva.livejournal.com
Смысл этого слайда объяснить, почему это полезно для них - залезать в правое облако.

Как они залезают, точно неизвестно. Видимо, это делает британская GCHQ, а не NSA, а NSA получает доступ к этой информации. Оптоволокно не так-то легко подслушать, но я в этом не разбираюсь на самом деле.

Date: 2013-10-30 10:41 pm (UTC)
From: [identity profile] meshko.livejournal.com
Если они могут залезть в правое облако, не совсем ясно, чем для них SSL препятствие. Если вообще думать, что для них SSL проблема, то уж коль скоро они могут ковырять в облаке, там уж и до ключей недалеко.

Date: 2013-10-31 05:28 am (UTC)
From: [identity profile] vodianoj.livejournal.com
Ключи сидят на GFE серверах - обычно именно за этими серверами хорошо следят и влезть туда незаметно непросто.

Date: 2013-10-31 06:48 am (UTC)
From: [identity profile] legionarius.livejournal.com
Подскажите, а зачем в облако это лезть, если можно я помощью постановления суда заставить сертификационный центр выдать нужный SSL ключ, например, на домен google.com?

Date: 2013-10-31 07:11 am (UTC)
From: [identity profile] r-l.livejournal.com
Может быть, потому что кому-то нравится делать это БЕЗ постановления суда?

Date: 2013-10-31 07:50 am (UTC)
From: [identity profile] vodianoj.livejournal.com
Я ответил на технический вопрос meshko. Ваш вопрос не имеет к этому никакого отношения, извините.

Date: 2013-10-31 08:18 am (UTC)
From: [identity profile] avva.livejournal.com
Потому что NSA было бы сложно получить через суд SSL-сертификат всего google.com. В частности, потому, что у Гугла есть механизм передачи данных о конкретных юзерах с санкции суда. Мы знаем, что в тех случаях (Lavabit), когда NSA/FBI стремились получить через суд SSL-сертификат, они оправдывали это тем, что невозможно было узнать данные об отдельных юзерах, и суд считал это главной причиной, по которой он одобрил такой запрос.

Date: 2013-10-31 12:37 pm (UTC)
From: [identity profile] meshko.livejournal.com
Вот я думаю украсть ключи как раз проблема не большая. Они мелкие, их унести незаметно ничего не стоит (хоть экран сфотографируй). Сколько в Гугле работает сотрудников спецслужб? Я думаю, десятки.

Date: 2013-11-01 03:30 am (UTC)
From: [identity profile] eterevsky.livejournal.com
Доступ к ключам для сотрудников также сильно ограничен. Кто угодно не может подойти и списать ключ на флешку.

Не говоря о том, что ключи для отдельных сессий могут быть разными.

Date: 2013-10-31 05:41 am (UTC)
From: [identity profile] vodianoj.livejournal.com
Оптоволокно довольно легко прослушать. Есть масса способов. Вот тут показан наиболее простой с фотографией реального дешёвого прибора (меньше чем 1000$), делающего это:
http://www.techrepublic.com/blog/it-security/protect-your-network-against-fiber-hacks/222/

Date: 2013-10-30 10:27 pm (UTC)
From: [identity profile] kotbegemot.livejournal.com
В последнее время Гугл работает над тем, чтобы весь этот траффик был зашифрованным

Вообще странно, что до сих пор это было и есть не так!

Date: 2013-10-30 11:02 pm (UTC)
From: [identity profile] krace.livejournal.com
+100500

wtf google, really. "do no evil, do stupid"?

Date: 2013-10-31 02:32 am (UTC)
From: [identity profile] meshko.livejournal.com
Я не понимаю в чем проблема. Речь же идет о private optic links. Зачем их шифровать? Я и сейчас не убежден, что проблема в этом. Мне кажется, что либо у них прямой доступ к внутренней сети Гугла (тогда SSL не сильно поможет), любо они читают траффик еще на входе (тогда уж совсем пофиг)

Date: 2013-10-31 02:38 am (UTC)
From: [identity profile] krace.livejournal.com
define "private". quite likely, it still goes through third-party equipment or at least third-party premises - that's an attack vector right there. my guess is, securing these links costs quite a bit, so whoever's in charge just figured they could save a mil or a dozen.

Date: 2013-10-31 02:45 am (UTC)
From: [identity profile] meshko.livejournal.com
Well, yes, but there is pretty much only one entity who would be able to attack infrastructure on that scale.
Eavesdropping on Google-bandwidth data channel is too expensive if you are after an individual or a small company and non-feasible if you are after the whole thing -- unless your a the size of Google. So yeah, I don't blame them.

Date: 2013-10-31 02:55 am (UTC)
From: [identity profile] krace.livejournal.com
not necessarily "only one": there's a few other entities with capabilities kind of comparable on the order of magnitude, plus the "unknown unknowns". yes, it's a rather unlikely scenario, but not out of the realm of the possible. i mean, if you implement "encryption" and talk data safety, gotta think of such things. comm channels of all kinds have been compromised since the beginning of history, so it's really an amateurish mistake.

Date: 2013-10-31 02:56 am (UTC)
From: [identity profile] meshko.livejournal.com
I'm talking about the intersection of entities that can do it and entities that could be interested in doing it (on this scale). I can't think of anything but the government.

Date: 2013-10-31 02:58 am (UTC)
From: [identity profile] krace.livejournal.com
a number of governments. also, martians. :)

Date: 2013-10-31 12:08 am (UTC)
From: [identity profile] mi-b.livejournal.com
работает над тем, чтобы весь этот траффик был зашифрованным

Нисколько не подвергая сомнению все тобой сказанное, думаю, что многие слова в этой фразе должны быть закавычены: "работает", "весь", "был","зашифрованным". Без очень радикальных организационных изменений в Гугле и/или правительстве, дырка останется, не эта так другая, и даже чтобы проблема стала чисто технологической не допустят.

Date: 2013-10-31 12:31 am (UTC)
From: [identity profile] michaelm1234.livejournal.com
Ну когда трафик будет шифрован то парни из АНБ вежливо попросят золотой ключик.

Date: 2013-10-31 05:31 am (UTC)
From: [identity profile] michaelm1234.livejournal.com
Конечно тут проблемы, даже когда есть ключ скорее всего надо репитить/перехватывать гигабайтный трафик совсем без потерь (что наверное трудно очень !), иначе шифр в режиме CBC невозможно расшифровать.
Однако FISA суд может попросить не шифровать базар (или не использовать блок чейнинг хотя бы).

Геморрой гугла сейчас то что нельзя больше утверждать что нет оптового слива данных, ну не могут.

А может быть они (NSA) и научатся перехватывать трафик без потерь...
Я написал у себя про всю эту песню; один из выводов то что в наш век слежка и социальный контроль являются двигателем прогресса в области IT.
можно найти поиском фразы: "The secret policeman's crystal ball"

Edited Date: 2013-10-31 06:57 am (UTC)

Date: 2013-10-31 06:59 am (UTC)
From: [identity profile] michaelm1234.livejournal.com
Link: http://mosermichael.github.io/cstuff/all/blogg/2013/06/08/post-1.html
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

avva: (Default)
avva
Website

December 2025

S M T W T F S
  123 4 56
78 9 10 11 1213
1415 1617181920
21 22 23 24 2526 27
28293031   

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Dec. 29th, 2025 07:29 pm
Powered by Dreamwidth Studios