Here's to Edward Snowden who made paranoia diagnosis obsolete

[jsn]

Если вы покупаете какой-нибудь хайтек с доставкой из Штатов, NSA может вашу посылочку перехватить, добавить в неё незаметно что-нибудь от себя, и отослать вам:

A June 2010 report from the head of the NSA's Access and Target Development department is shockingly explicit. The NSA routinely receives – or intercepts – routers, servers and other computer network devices being exported from the US before they are delivered to the international customers.

The agency then implants backdoor surveillance tools, repackages the devices with a factory seal and sends them on.

The NSA thus gains access to entire networks and all their users. The document gleefully observes that some "SIGINT tradecraft … is very hands-on (literally!)".

Eventually, the implanted device connects back to the NSA. The report continues: "In one recent case, after several months a beacon implanted through supply-chain interdiction called back to the NSA covert infrastructure. This call back provided us access to further exploit the device and survey the network."

(emphasis mine) [источник, Guardian]

Меня особенно впечатляет вот это intercepts. Т.е. даже если ваш американский контрагент на 100% порядочен, бэкдор в посылке от него вам всё равно прилетит. После этого, конечно, предыдущая дискуссия о том, допустимо ли массированно прослушивать коммуникации, выглядит смешно и безнадёжно.

Comments

[1master.livejournal.com]

Не думаю, что явление имеет массовый характер. Но если есть чего скрывать, то да, риски повышаются.

[jsn.livejournal.com]

Массовый всяко вряд ли (для массового в любом случае значительно более эффективно продавить вендора какой-нибудь фирмвари или ещё чего-нибудь такого, на предмет воткнуть бэкдор или vulnerability). Однако, вполне может иметь смысл для некоторых классов оборудования (таких, которые в основном используются для крупных сетей, например) время от времени бэкдорить случайные железки, чисто из расчёта, что некоторый процент из них приземлится в больших сетях и, когда такая необходимость возникнет, даст к ним доступ. Необязательно, то есть, ограничиваться только таргетированными операциями.