Here's to Edward Snowden who made paranoia diagnosis obsolete

[jsn]

Если вы покупаете какой-нибудь хайтек с доставкой из Штатов, NSA может вашу посылочку перехватить, добавить в неё незаметно что-нибудь от себя, и отослать вам:

A June 2010 report from the head of the NSA's Access and Target Development department is shockingly explicit. The NSA routinely receives – or intercepts – routers, servers and other computer network devices being exported from the US before they are delivered to the international customers.

The agency then implants backdoor surveillance tools, repackages the devices with a factory seal and sends them on.

The NSA thus gains access to entire networks and all their users. The document gleefully observes that some "SIGINT tradecraft … is very hands-on (literally!)".

Eventually, the implanted device connects back to the NSA. The report continues: "In one recent case, after several months a beacon implanted through supply-chain interdiction called back to the NSA covert infrastructure. This call back provided us access to further exploit the device and survey the network."

(emphasis mine) [источник, Guardian]

Меня особенно впечатляет вот это intercepts. Т.е. даже если ваш американский контрагент на 100% порядочен, бэкдор в посылке от него вам всё равно прилетит. После этого, конечно, предыдущая дискуссия о том, допустимо ли массированно прослушивать коммуникации, выглядит смешно и безнадёжно.

Comments

[juan-gandhi.livejournal.com]

Probably same with stuff from China, right?
I wonder if you buy something in Fry's, does it already have a spy inside...

[jsn.livejournal.com]

Re: China -- yeah, definitely a possibility. Funny though how U.S. have lost whatever moral high ground they had wrt such [hypothetical] Chinese practices.

[ostap.livejournal.com]

Installed by the company on the company's own facilities according to a secret service requirement and installed by a secret service itself are two big differences, as they say in Odessa.

[minimificence.livejournal.com]

wtf "moral ground" has to do with it? то, что я слышал, и то, что гринвальд цитирует - чисто практические соображения, "нас могут подслушивать, давайте бдить".

[jsn.livejournal.com]

Да вы забыли просто, наверное? Вот тут типичный сентимент до-Сноуденовской эры, например: http://www.npr.org/2012/02/18/147077148/chinas-hacking-of-u-s-remains-a-top-concern -- во-первых, как обоснование для требований увеличения усилий/финансирования/полномочий/etc, во-вторых, вот, прямо же: "it's important to hold China particularly responsible".

[minimificence.livejournal.com]

вполне вменяемое обоснование.

а полная фраза таки будет "they want people to understand that cybertheft is real, that it's getting worse, and that it's important to hold China particularly responsible" - т.е. предупреждает граждан, чтобы особенно бдили в отношении китайских продуктов.

[bbb.livejournal.com]

А я вообще не знаю - действительно ли много серверов, раутеров и подобного железа физически экспортируется из США? Мне казалось, что такое железо чаще всего едет в противоположном направлении.

[jsn.livejournal.com]

Не знаю. Было бы логично, чтобы хайэнд таки как минимум иногда ехал из Штатов, не говоря уже о всяких crypto-heavy вещах, которые, мне казалось, американским компаниям где попало производить и кому попало продавать вообще-то нельзя. Но не знаю, может, кто из российских интеграторов забредёт, расскажет. Я лично встречал лавки, которые себе возили из штатов железки, но это anecdotal, конечно.

[a48.livejournal.com]

а почему обязательно надо чтобы железо физически проходило территорию США для вышеуказанных действий? например, cisco к нам приходит через Амстердам. что может помешать сделать все необходимое с ним там? :)

[jsn.livejournal.com]

Отсутствие юрисдикции, например? А что значит "через Амстердам" -- откуда, из Китая?

[a48.livejournal.com]

откуда они приходят туда я достоверно не знаю.