“棱镜”这个事情出了,不少人哗然说美国政府也会如此。其实真正业内人士反而会觉得莫名其妙,因为从理论上说每个人都应该知道政府肯定会监控通信网络,如果美国政府没有这么做反而是不负责任,纳税人的钱交给政府就是换取政府的安全保证的。所谓被监控的一点点不便或者受侵犯的感觉,实在是没人在乎的。从这个角度来说,美国人要么是在装傻,要么是天真的不可理喻。
从另一个方面说,对通信系统的监控系统,或者叫LI系统,早就不是什么秘密。在电信联盟的技术规范里面,通信侦听有一整套公开的技术规范。任何一个通信系统设备如果不满足这个规范是无法投入市场的。对语音通信网络的侦听,录音从来就不是一个秘密,绝大多数国家的相关部门可以在自己的终端上直接监听任何一个号码的通话。目前引起轩然大波的,可能主要还是数据通信网络,或者说互联网通信。人们总是有一个莫名其妙的感觉,似乎Email,SNS,IM通信内容更加隐秘一些,所以就应该更加安全,不能说不是一种感知错位。
在中国的电信网络里面,所有通信光缆都要有一个镜像接口复制所有内容给相关部门,这是公开的。至于有关部门是不是检查所有的内容则看他们的需要。美国国土安全部(好像叫HLS)的要求更加变态,要求能够短时间内获取通信内容发送方的详细位置。这是一个浩大的工程,对于一个可能四处移动的设备来说,跟踪起来难度极大。国内政府控制力度要强一些,所以对技术手段的依赖不是那么高,这就是为什么我们现在走到哪里,用Wifi上网总是要输入手机号码的原因。
问题在于,目前越来越多的通信手段,你获取了数据包也无法复原。例如Gmail使用了SSL加密通信,截取数据包是无法恢复文件内容的。Google和中国政府闹翻的导火索,就是国安部门用“中间人攻击”的方法去获取一些藏独分子的Gmail内容。例如一个监控目标A用Gmail发送信息,安全部门虽然有他通信的数据包,但是恢复不回来。但是相关部门可以全权控制网络,所以他们做了一个网关,这位A君以为自己在用Gmail,实际是先登到安全部门的服务器上,然后再转发给Google的服务器的,这样就获取的相关内容。这种方法存在一个问题,就是Gmail采用端到端SSL加密,如果中间插入网关进行劫持,会导致安全证书弹出。比较低级的做法是伪造一个安全证书,例如伪造一个Gooogle公司的安全证书,比较粗枝大叶的人也许就会忽略这个不同。但是安全部门应该不会采用这种低劣的手段,也许他们攻破了MD5或者SHA-1,能够真正伪造出一个证书来。但是最后Google还是发现了这种行为,所以就有了几年前退出中国市场大义凛然的举动,因为这种对Gmail邮箱的工具"突破了Google的底线"。
现在美国棱镜计划的曝光让google最为尴尬的是,我们现在知道了为何美国政府不需要用这种“中间人攻击”的方法了。原来美国政府可以直接命令Google交出Gmail的内容。相比之下,Google对中国政府的指责就显得有些可笑了。
相关阅读:风言风语--你所不知道的IPhone
对于现在越来越多的通信应用来说,美国政府最大的优势其实不是思科或者IBM这样的硬件制造商,而在于Google,Facebook,Twitter这些大型ICP都要听从美国政府的命令。从这点说,除了中国以外,其他所有国家的信息命脉都掌握在美国人手里。中国政府的态度很明确,一个ICP如果不肯被监控,就不要进入中国。这方面Skype就是一个例子。Skype是P2P语音应用,刚开始监听和跟踪起来极难。FBI甚至专门有一个funding对支持对Skype监听的研究,这方面有不少的论文发表。中国政府的做法则是,如果不给我监听,你就不能在中国顺利的应用,不要说落地,连顺畅的通话都做不到。Skype虽然很难监听,但是却很容易干扰。最后的结果大家都看到了,在国内你要下载一个Tom Skype才行,这可是特制的版本哦。
作者:汴梁牛二
延伸阅读:
----何为棱镜门?
据美国中情局前职员爱德华·斯诺登爆料:“棱镜”窃听计划,始于2007年的小布什时期,美国情报机构一直在九家美国互联网公司中进行数据挖掘工作,从音视频、图片、邮件、文档以及连接信息中分析个人的联系方式与行动。监控的类型有10类:信息电邮,即时消息,视频,照片,存储数据,语音聊天,文件传输,视频会议,登录时间,社交网络资料的细节,其中包括两个秘密监视项目,一是监视、监听民众电话的通话记录,二是监视民众的网络活动。
英国《卫报》和美国《华盛顿邮报》6日报道,美国国家安全局和联邦调查局于2007年启动了一个代号为“棱镜”的秘密监控项目,直接进入美国网际网路公司的中心服务器里挖掘数据、收集情报,包括微软、雅虎、谷歌、苹果等在内的9家网际网路巨头皆参与其中。
2013年6月,前中情局(CIA)职员爱德华·斯诺顿将两份绝密资料交给英国《卫报》和美国《华盛顿邮报》,并告之媒体何时发表。按照设定的计划,6月5日,英国《卫报》先扔出了第一颗舆论炸弹:美国国家安全局有一项代号为"棱镜"的秘密项目,要求电信巨头威瑞森公司必须每天上交数百万用户的通话记录。6月6日,美国《华盛顿邮报》披露称,过去6年间,美国国家安全局和联邦调查局通过进入微软、谷歌、苹果、雅虎等九大网络巨头的服务器,监控美国公民的电子邮件、聊天记录、视频及照片等秘密资料。美国舆论随之哗然。
美国决策者意识到,互联网在越来越多的国际事件上可以成为达到美国政治目的、塑造美国全球领导力的有效工具。2011年,以“脸谱”和“推特”为代表的新媒体,贯穿埃及危机从酝酿、爆发、升级到转折的全过程,成为事件发展的“催化剂”及反对派力量的“放大器”。同样,类似的事件也在突尼斯和伊朗等国都上演过。如今,以谷歌为首的美国IT巨头一方面标榜网络自由,反对其他国家的政府监管本国的互联网;另一方面又与美国政府负责监听的机构结盟,这无形之中就把自己献到祭坛上去了。
这项代号为“棱镜”(PR ISM)的高度机密行动此前从未对外公开。美国国家安全局与联邦调查局参与了该项目。与政府机构合作的九家互联网公司分别是:微软、雅虎、谷歌、Facebook、PalTalk、美国在线、Skype、YouTube、苹果。《华盛顿邮报》获得的文件显示,美国总统的日常简报内容部分来源于此项目,该工具被称作是获得此类信息的最全面方式。一份文件指出,“国家安全局的报告越来越依赖‘棱镜’项目。该项目是其原始材料的主要来源。报道刊出后外界哗然。保护公民隐私组织予以强烈谴责,表示不管奥巴马政府如何以反恐之名进行申辩,不管多少国会议员或政府部门支持监视民众,这些项目都侵犯了公民基本权利。
“也许他们攻破了MD5或者SHA-1”SSL协议采用非对称算法交换通讯密钥,哈希算法是用来完整性保护和机密性无关;政府一级的中间人攻击可以非常简单,使用电信运营商的proxy和ns即可。具体来说,政府可以在自己proxy上放置google的假证书,因为用户的浏览器其实也就是去默认的CA验证证书的真假,而CA的寻址是通过NS服务器的,只需要改变DNS解析到政府伪造的CA,浏览器端就会验证为google的证书无误;然后,proxy再替代用户去和google交互就完成了整个中间人攻击。上述实现起来其实很简单,如果你共享一个免费的wifi信号出去,在自己的网络里面照着做一次,也可以把所有逞你网的小白的信息一览无遗。所以,去咖啡馆那些什么的,接入wifi后最好自己再拨一次VPN。SKYPE一开始,其实美国政府也很头痛。FCC曾经对其发出最后通牒,限期提供可以被监控的技术途径。所以,比流氓美国政府一点都不差。从技术对比来讲,我们实在处于太大的劣势,从芯片、操作系统、网络全是别人的,现在能做的只能是先用我们信得过的设备把边界守起来,再慢慢替换。
电话监听自自贝尔发明电话之时就有了。土八路在军用电话线加挂一个话机,就能监听日军的通讯。军统、中统这样的机构都对监听电话很在行,不要说TG的社会部以及总参下属某部了,小儿科。解放战争中,陈赓本人百忙之余就经常很休闲地亲自监听国军的无线通讯。90年代模拟电话变成程控电话之后,国内设备商自从有了开发程控电话交换机的能力,也就有了自动全面监听通过网络交换的通话的能力。现在监控不仅廉价、成熟,更是智能化了。可以把某些敏感号码的全部通话自动录成MP3格式存储起来,可以全面分析语音通话中敏感词(比如您突然说了一句“李老师托我带了一本书”,鬼知道计算机会如何识别解析这句话),还可以根据号码之间的通话记录,自动计算分析其中的关系以增加监听号码。存储的语音信息自然是海量的。手机语音通讯,除非专门加密,比有线更容易监听。可以在网络交换侧监听,可以监听同一个蜂窝小区的无线信号,可以监听传输(含光缆)及信号接口(比如如果中移动在南沙设了一个GSM基站,用Abis口联系卫星,美国可以轻松截获通过A口与卫星的通讯获知我海军陆战队士兵与家人的通话)。不仅强力部门可以监听你,你的商业竞争对手以及关系不睦的同事也可以监听你,您基本是裸奔。
假如您用了苹果iphone,又开通了手机的无线数据服务,那您是主动在苹果面前裸奔。当然裸奔的人多了,光屁股看花眼了,就不叫侵犯隐私,而叫datamining了。苹果很善意地分析一下众多屁股蛋数据的差异、关联性并分析您扭屁股姿势的可预测性。
传真是很落后的机器,需要实现信号的同步才能传输模拟图像。老式的传真机有时未放到接收传真状态,对方就要电话打过来,要求“给个信号”。然后你一按接收键,传真机稀里哗啦一阵乱叫,这其实就是解决信号的同步问题。但恰恰这个信号经常是手动给出的模拟信号,同步问题成了大问题,国内的传真监听比交换机监听晚解决好几年。不过现在已完全没有技术问题。您的传真不管模拟的数码的,会丝毫不差地自动存储到监听系统的硬盘上。
真正比较难监听的是数据通讯。问题就在于楼主提到的,数据通讯是数据分散打包。这个问题楼主已经讲得很详尽,本人就不赘述了。不过,在这里强调一点,对FACEBOOKapple的主动裸奔,然后加上上述厂商对美国政府的半推半就、投怀送抱,省了美国政府多少事、多少经费啊。中国的大小贪官们,只要在海外有账户(哪怕是用开曼匿名公司在瑞士银行开的离岸账户),手机及网上有活动,美国政府会把他们了解得门清的。有些人说中国的贪污犯胃口太大,美国根本没有那么多钱把他们收买过来。其实错了,很多人根本不用收买,只要拿出贪腐证据恐吓一下,就被策反了。所谓的微博反腐–其实就是纵容公知们打一些倒霉的小苍蝇如“表叔”之流,真正的大鱼是要CIA登门拜访的。
中国有世界最大的防火墙(GFW),但中国的网络绝不是公知们污蔑的所谓的中华大局域网。至少物理上中国的网络和互联网是有很多大型接口的。真正保密的网络,是物理上断绝关系的独立网络。比如我国军方全国的光纤网络,是和民用网络可以物理断绝关联的。核武、防空、军事科研,都是有物理完全隔绝的网络的。据说美帝在开发非常科幻的技术,可以介入物理隔绝的网络。这个我真不懂,如果连我都懂了,就不叫科幻技术了。
现代通信系统,物理隔离并不是特别重要。 随着通信数字化和终端智能化,端到端加密成为主流方式。所以在大多数情况下,光获取通信信号是没有用的。对于GSM系统来说,Abis接口和A接口的侦听是不难,但是前提是运营商要配合,如果运营商不配合,那么侦听还是非常困难的。美国著名的Blue Bird系统,能够在GSM无线环境下不经运营商提供解码秘钥就暴力破解通信语音,算是很不错的产品。但是其侦听的范围很小,基本上要离被监听人很近才行。
互联网一个根服务器,还有辅根服务器,全部控制在美国自己和盟国手里。掌握这种网络的决定性资源基本上还不是想打击谁就打击谁。在根服务器被美国控制的情况下,想在国家行为级别上网络攻击美国基本是根本不可能发生的事情。美国一再指责别的国家尤其是中国对美国形成了黑客攻击威胁,这不过是为美国采用网络攻击或其他敌意对待其他国家尤其是中国寻找借口。大国之间不好再拿核生化违禁品说事,只好换个花样。美国现在捅出和强调中国的网络威胁,看来未必和军费调整有直接关系,反而从侧面说明美国有将网络遭到攻击为借口对中国进行直接反应(从制裁等各种外交、经济反应,机会合适的时候,可以一直升级到物理打击。只要美国判断中国的威慑力下降不会对美国造成威胁的时候,就有非常大的概率。)的准备。归根到底,目前网络战各种平台的军费消耗,比起各种昂贵的硬件设备的军费消耗要小的多,军费削减未必会直接威胁到网络战的相关建设。相关的直接利益攸关方(军队的网络战部门,民间相关等)没有必要用那么大的力气。
现在IPv4的网络资源已经消耗殆尽,IPv6已经是大势所趋了。随之而来的互联网2代,美国很难独占鳌头了。所以现在不断造势tg是互联网里的危险分子,这样可以最大限度上限制和打压中国在互联网2代里的地位。
在IPv4的时代,美国哈佛大学拥有的地址资源和中国大陆差不多。这也是facebook,goolge,yahoo诞生在美国的基础。IPv6时代,估计tg不会碰到现在一天到晚虚拟地址的窘境。在IPv6的时代,由于地址会变成按需分配并具有唯一性,现在盛行的电话诈骗,电信诈骗,网络洗钱会受到极大的约束,这些都是美国不愿意看到的。但是对地址的编码权等等一系列问题还是需要谈的。至于得罪不得罪客户,对于唯一的垄断的资源提供者没啥实际约束能力。