思科卷入棱镜门：曾参建中国几乎所有军政网络

lingyang

上周，美国中央情报局前雇员爱德华·斯诺登的“棱镜泄密门”被称为现实版的美国大片，帅气的特工、美艳的钢管舞女友、尖端的国家机密、背叛与逃亡、特工系统的官僚和谎言、鱼龙混杂的香港、郁闷的黑人总统、个人隐私和国家利益的冲突……各种元素齐备，有人甚至片名都起好了：《泄密者斯诺登》。

　　这项被称为“棱镜”的项目，秘密利用超级软件监控网络用户和电话记录。现在，有关斯诺登是英雄还是叛徒的争论尚在进行中，斯诺登的去向仍悬而未决。撇开这些纷扰来看牵涉其中的公司和行业，其利益得失却是一幅相对清晰的图景。

　　在斯诺登的爆料里，谷歌[微博]、雅虎、微软[微博]、苹果、Facebook、美国在线、PalTalk、Skype、YouTube等九大公司遭到参与间谍行为的指控，这些公司涉嫌向美国国家安全局开放其服务器，使政府能轻而易举地监控全球上百万网民的邮件、即时通话及存取的数据。

　　随后，这些企业极力否认这一罪名。但到了6月14日，Facebook、微软两公司首次承认，美国政府确曾向它们索要用户数据，并公布了部分资料数据内容，以期尽早摆脱“棱镜门”泥淖。

　　与此同时，国内媒体也把视角转向了一些美国通信公司对中国潜在的信息安全威胁，比如对思科公司的指控，因为斯诺登揭露美国国家安全局通过思科路由器监控中国网络和电脑。

　　据称，思科参与了中国几乎所有大型网络项目的建设，涉及政府、海关、邮政、金融、铁路、民航、医疗、军警等要害部门的网络建设，以及中国电信[微博]、中国联通[微博](3.55,-0.02,-0.56%)等电信运营商的网络基础建设。中国电信163和中国联通169是中国最重要的两个骨干网络，两者承载着中国互联网80%以上的流量。但在这两大骨干网络中，思科占据了70%以上的份额，并把持着所有超级核心节点。

　　然而思科却是美国政府和军方的通信设备和网络技术设备主力供应商。在2006年美国115个政府部门参与的一场“网络风暴”的网络战演习中，思科是演习的重要设计者之一。因此安全专家担心一旦战争爆发，美国政府极有可能利用思科在全球部署的产品，发动网络战，对敌国实施致命打击。

　　我国通信运营商一些细微的举动或许反映了这种担心。去年10月，中国联通完成了169骨干网江苏无锡节点核心集群路由器的搬迁工程，这是通信业界首个思科集群路由器的搬迁工程。这很可能是一个标志性的事件，表明我国通信企业已经开始正视信息安全问题，并开始着手对现有网络设备进行更替。

　　就在思科被卷入“棱镜门”事件之时，市场研究公司Synergy Research Group发布的数据显示，思科已击败惠普[微博]和IBM[微博]，成为云计算市场上最大的IT产品提供商。而思科在中国市场的年收入已超过16亿美元，占公司总利润的30%。可以预计，“棱镜门”事件可能使其在华业务遭受重挫。除了思科之外，预计微软、苹果等公司的在华业务也将受到一定影响。

　　事实上，去年美国封杀华为、中兴之时，就不断有安全专家呼吁政府应重视我国的网络安全问题。因此，笔者认为，在云计算和大数据崛起、国家已经越来越重视网络信息安全之时，“棱镜门”事件是一个更大的警示，或许接下来我国将会对网络安全立法，对政府、央企、军方等采购的国产化作出明文规定。

　　从企业技术储备上来看，目前我国的通信技术水平已经达到世界水准，本土企业已经有能力承载网络的全面建设和安全运营。因此，升级的国家信息安全战略将不仅仅对华为、中兴等通信设备商是利好，还将广泛惠及涉足云计算、大数据的众多公司。

　　譬如，即将出台的云计算标准将可能更加重视安全问题，这将使本土的软硬件生产、系统集成以及云计算平台提供商迎来更大发展空间。同样，大数据方面的数据中心建设与维护、数据处理、语音识别、IT咨询、信息安全等企业也都将迎来巨大商机。

http://finance.sina.com.cn/chanj ... /090615809238.shtml

Cisco embroiled prism Door
http://www.best-news.us/news-466 ... itary-networks.html

夜游神

其实就是开放不开放操作系统源代码的问题
硬件芯片上差别不是特别大 我个人感觉

milysun

幸好我朝有英明伟大的the Great Fire Wall，还把google，非死不可都赶出了中国，android也都被深度定制，不然早就沦陷了。

lingyang

夜游神 发表于 2013-6-17 12:47
其实就是开放不开放操作系统源代码的问题
硬件芯片上差别不是特别大 我个人感觉 ...

我觉得不是你说的这个问题

lingyang

milysun 发表于 2013-6-17 12:47
幸好我朝有英明伟大的the Great Fire Wall，还把google，非死不可都赶出了中国，android也都被深度定制，不 ...

这件事情在美国造成的冲击比在中国大多了，美国民众普遍感觉被侵犯了，看政府怎么做damage control了。

不过在风口浪尖的是google， 苹果，yahoo，思科还不是主角

milysun

lingyang 发表于 2013-6-17 12:49
这件事情在美国造成的冲击比在中国大多了，美国民众普遍感觉被侵犯了，看政府怎么做damage control了。

...

切，这帮鬼子都被宠坏了，没事儿。以前只是不知道，蒙着捂着。从今往后公开侵犯她们，多侵犯侵犯，每晚都侵犯，早上起来也侵犯，上班回家蹲厕所，无时无刻不被侵犯。很快就会适应了。再往后不被侵犯还没有安全感了，对政府的存在感就得靠被侵犯才能获得。就像黑客帝国一样，不弄醒他们，谁都不知道自己后脊梁上一直插着一根管子。但是弄醒又如何，该插还得插啊。

大饼

夜游神 发表于 2013-6-17 12:47
其实就是开放不开放操作系统源代码的问题
硬件芯片上差别不是特别大 我个人感觉 ...

恰恰相反。
NSA用的后门应该都是硬件级别的。也就是说只要你用了它的芯片，后门就存在了，不论你用什么操作系统。

据说intel的cpu有这样的后门。我相信amd，思科，高通等等都有。

其实这事早就在坊间流传了，这次只不过是挑明了而已。

lingyang

挑明了好， 省的以为世界上只有蓝翔技校，哈哈

cdfei

大饼 发表于 2013-6-17 12:55
恰恰相反。
NSA用的后门应该都是硬件级别的。也就是说只要你用了它的芯片，后门就存在了，不论你用什么操 ...

不可能吧，硬件的访问总是需要建立在软件上，美国人不可能去物理联接中国的芯片吧，我觉得还是在操作系统级别。

大饼

cdfei 发表于 2013-6-17 12:58
不可能吧，硬件的访问总是需要建立在软件上，美国人不可能去物理联接中国的芯片吧，我觉得还是在操作系统 ...

呵呵。就是硬件上的。
就是说你的intel pc或思科路由器只要物理上连着网络。不论你跑什么操作系统都会被nsa控制。

更厉害的是就算物理上是隔离的，不一定安全。他们可以把rf 天线做到外壳上，主板上等等。

cdfei

大饼 发表于 2013-6-17 13:05
呵呵。就是硬件上的。
就是说你的intel pc或思科路由器只要物理上连着网络。不论你跑什么操作系统都会被n ...

那我们只要另外开发coms就行了吧

qqyang

美国还是老大，super power就是super power。

milysun

cdfei 发表于 2013-6-17 13:09
那我们只要另外开发coms就行了吧

你得彻底了解每一个硬件的接口才行吧，光是在别人告诉你的接口基础上编一个应该还是没用。

cdfei

milysun 发表于 2013-6-17 13:19
你得彻底了解每一个硬件的接口才行吧，光是在别人告诉你的接口基础上编一个应该还是没用。 ...

我只是用我限定了的指令集啊

ggmmusst

大饼 发表于 2013-6-17 12:55
恰恰相反。
NSA用的后门应该都是硬件级别的。也就是说只要你用了它的芯片，后门就存在了，不论你用什么操 ...

正解，我觉得人肯定有后门，只不过人不告诉你。所以大家就觉得这后门不存在。
这就好比你造房子，只有你自己知道什么地方用什么材料，隐蔽工程的结构布局是什么。但对外人来说，她看到的只是你的房子。
没有问题，大家相安无事。但一有问题，谁能真正的解决，这就不言而喻了。

哭天抢地宝

cdfei 发表于 2013-6-17 12:58
不可能吧，硬件的访问总是需要建立在软件上，美国人不可能去物理联接中国的芯片吧，我觉得还是在操作系统 ...

能控制火星上的机器人就能控制每一台联网的设备。

Rumpelstiltskin

金三儿他们家用啥设备，这次被后门儿了吗？

cdfei

哭天抢地宝 发表于 2013-6-17 13:28
能控制火星上的机器人就能控制每一台联网的设备。

火星上的机器人跑的是他们设计的软件，比如你的计算机，如果你补丁打完了，防火墙开着，理论上别人是入侵不了你计算机的，但如果你机器上有木马，或者操作系统上有漏洞，那就是另外一回事了。

大饼

Rumpelstiltskin 发表于 2013-6-17 13:31
金三儿他们家用啥设备，这次被后门儿了吗？

金三最牛了。
网络物理隔离，而且估计还在用286，386.
那时候还没有硬件后门。

brahmasky

我觉得思科的影响比那些软件公司的影响更甚

iamwhoami

大饼 发表于 2013-6-17 13:05
呵呵。就是硬件上的。
就是说你的intel pc或思科路由器只要物理上连着网络。不论你跑什么操作系统都会被n ...

用powerline传数据更容易一些

鱼羊鲜

目前我还没有利用价值

哭天抢地宝

cdfei 发表于 2013-6-17 13:31
火星上的机器人跑的是他们设计的软件，比如你的计算机，如果你补丁打完了，防火墙开着，理论上别人是入侵 ...

我相信是一回事。

IsDonIsGood

milysun 发表于 2013-6-17 12:53
切，这帮鬼子都被宠坏了，没事儿。以前只是不知道，蒙着捂着。从今往后公开侵犯她们，多侵犯侵犯，每晚都 ...

形象的，+1

qwertyui

基本确定是硬件后门.不用依赖软件.需要的时候激活一下,或者自我定时激活就可以.曾经看过报道说INTEL把每个CPU的ID信息发回总部.不是只发那些使用MICROSOFT,OS或者LINUX等操作系统的用户.
就象巴士汽车的逃生门.谁开车,怎么开没关系.需要的时候一脚就可以打开逃生.

闷烧锅

cpu的后门不太可能，cpu无法和外界直接通信，离开接口硬件和操作系统cpu就是废物。
最可能有后门的是不开源的网络设备和操作系统

lingyang

闷烧锅 发表于 2013-6-17 21:06
cpu的后门不太可能，cpu无法和外界直接通信，离开接口硬件和操作系统cpu就是废物。
最可能有后门的是不开源 ...

也许是角度的不同吧，如果把一段代码植入到芯片中改动了CPU逻辑门，算是OS的后门还是CPU的后门？

闷烧锅

lingyang 发表于 2013-6-17 21:36
也许是角度的不同吧，如果把一段代码植入到芯片中改动了CPU逻辑门，算是OS的后门还是CPU的后门？ ...

后门的控制和使用都离不开通信和网络，网络通信离不开协议。每层的协议处理对应操作系统的代码和网络硬件及其硬件代码（仅限底层协议）
这些代码和硬件对cpu来说都是不可知、不确定和不理解的。cpu只是逻辑运算器，对它来说它根本不知道也不关心哪些数据是网络数据，这些是操作系统的事情

所以cpu里放后门是很难的

闷烧锅

比如cpu从内存的哪个地址存取网络数据，是操作系统告诉它的，离开os，它什么都不知道。在cpu里放后门，后门知道去哪里存取网络数据不？

lingyang

闷烧锅 发表于 2013-6-17 22:22
后门的控制和使用都离不开通信和网络，网络通信离不开协议。每层的协议处理对应操作系统的代码和网络硬件 ...

我的水平实在很难讨论这个问题，


可以google以下，看起来CPU是起点。

Researchers at the University of Illinois at Urbana-Champaign have demonstrated how they could take total control of a user’s computer by altering the computer chip itself.

From ACM:
In this paper, we present the consequences on the security of operating systems and virtual machine monitors of the presence of a bug or a backdoor in x86 processors. We will not try to determine whether the backdoor threat is realistic or not, but we will assume that a bug or a backdoor exists and analyse the consequences on systems. We will show how it is possible for an attacker to implement a simple and generic CPU backdoor to be later able to bypass mandatory security mechanisms with very limited initial privileges. We will explain practical difficulties and show proof of concept schemes using a modified Qemu CPU emulator. Backdoors studied in this paper are all usable from the software level without any physical access to the hardware.