再贴《谷歌退出真相》,细看“技术硬伤”回击

永远不要跟我扯强国的淡

1楼 大 中 小 发表于 2010-1-19 05:36 只看该作者

再贴《谷歌退出真相》,细看“技术硬伤”回击

Google,祝贺你回到仁慈的主的怀抱。是的,我们在此祝贺而不是哀悼你。当耶路撒冷的太阳终于照耀你冷寂的坟墓之时,我们将迎接你的复活。以下的真相,如果你有怀疑,如果你觉得其他的说法才是真的,那么请你解释这样一个事实:

Google总部在声明退出中国之后,立刻取消了所有中国工程师访问Google代码服务器的权限。

他们都是在上班后发现服务器的home目录进不去了。事先根本没有通知。很多人写到一半的代码,就没法动了,要等几个礼拜之后,调动到美国才能继续写如果Google是有预谋的撤离,为什么要采取这种手段?他完全可以让员工继续工作,做一些善后工作。

比方说现在Google music,中国公司和美国做的是不一样的(music.google.cn 和

music.google.com)现在要取消中国的music了,完全可以让中国的工程师来做这个代码迁移的工作。

现在是中国的工程师全部带薪休假,由老外来接手善后事宜。为什么Google突然那么不信任中国这边的团队?毕竟他们自己开发的代码,让他们自己来做迁移肯定效率更高啊?唯一的原因就是,Google内部的技术人员中被安插了党的特务(就在Google上海办公处)。

事实真相就是,这个人在受到党的派遣,应聘Google成功之后,就把Gmail的关键代码down下来然后上交给了组织。

而这个组织破解gmail系统的目的就是为了获取“人权团体”的邮件,这些在Google官方的声明都有。

这样一来会暴露gmail系统的所有漏洞,而且Google官方不能承认这个事情,否则他在国际上的声誉会大受影响。他能做的就是停止中国所有的工作,中国这边所有的工程师已经不能登陆google的代码服务器了。然后应该会抓紧几天时间修改一部分gmail代码。

其实事情就是这样简单完全是突发事件,所以Google的官方声明,你去读一读原版,写的是很仓促的,字里行间都能读出他们最高层的震惊,就是Google三个最高层的人临时讨论一致决定的。如果是什么和美国政府商量好的,你觉得堂堂Google的官方声明会写的那么潦草,一点正式文件的套路都没有?

Google撤离也不是因为互联网审查,这个当然是一件很让Google不舒服的事情,但这几年他不也就这么忍下来了嘛

特工这次的窃密行动,使Google有面临全面破产的危险(Google官方博客也说了,牵涉到知识产权的问题),说白了,再在中国呆下去,可能要威胁到整个公司的生存,所以才如此仓促的把中国部门的一切工作全部停掉。

所以Google一开始还说打算和中国谈判,但是今天马上就放弃谈判的打算了,因为就算政府让步,Google也不能再留了,再留就有性命危险。也不是中国市场赚钱不赚钱的问题了,赚这点小钱,把整个公司的性命搭进去,风险太大了

关于Google工程师访问Google代码的权限,Google对于技术人员的诚信是相当信任的。即使是一个实习生,也可以访问99%以上的代码。Google有一个代码库,每个进去的人学到的第一条开发原则就是:搜!从代码库里面尽量搜索功能相似的代码,然后给原作者发Email。讲究这种整个公司的代码共享,才会达到有那么高的编码效率。而且Google的代码,注释,和技术说明文档是一体的,对每一个工程师都是公开的。你可以喷我,也可以提出其他的说法,但是请你在回复之前先看完全文,然后想想自己的说法能不能自圆其说!!我只能说,特工你太辣手了,实在逼得人家混不下去了

补充一:

这个事情还在调查中,有一个人,他是党员,来了Google没多久,就把gmail核心代码下载下来,而且现在这个人已经不知所踪了,这些是可以肯定的。至于他是谁指使的,我们只是猜了,这两天Google总部派人过来和中国每一个工程师喝咖啡谈话,调查是不是这个人还有同伙。同时总部在评估,这件事情造成了多少代码泄漏,哪些代码需要重写。等这些工作做完,就会开始转移中国这里的工程师(要是没有调查就转移,岂不是让别的卧底混入美帝了嘛)。然后这个时候总部应该会给一个说法,让真相大白于天下,等再过一个月左右大家再回来看这个帖子吧!

补充二:

算了我来说吧。里面一共三个卧底,里面居然还有共产党支部。里面的支部书记是国安四年前就布的局。这个朋友本科就是交大出来的,后来去了信安部。信安部派他会交大信安学院念计算机,天天做算法题,

毕业就进了Google。之后发展了两个内线,其中一个内鬼暴力破决Gmail的源代码系统,把代码偷出去给了政府。政府主要是要监控用Gmail的反共分子。里面不得了,居然还有国安局的党支部小组。这个老兄拿了100万奖励,外加公务员待遇。这帮人一下班就偷偷去陆家嘴开党支部会议。

小补充三:

google是如何发现代码被转给特工的?除非google在每个员工的电脑上装监控软件。要访问代码,必须登陆Google唯一的代码服务器。服务器端有你的浏览记录。现在只知道这个人是党员,他在很短时间内浏览了很多代码,而且这个人现在不见了,我只是根据这些猜测他是上交组织了。第一攻击了很多源代码管理服务器,第二明确地告诉你是非法弄到的。

大家再看会,我的手机就会响起了……

现在同事大部分已经开始准备离开了,少部分技术人员和法律部的会继续留下来,大家情绪非常失落,谁也没有想到会是这么个结果。


Terminusbot 整理,讨论请前往 2049bbs.xyz


永远不要跟我扯强国的淡

2楼 大 中 小 发表于 2010-1-19 06:20 只看该作者

对北京棋迷“技术质疑”的回击

引用:

原帖由 北京棋迷 于 2010-1-16 02:52 发表

一看就是不懂起码系统安全的人写的。系统安全应系于密钥的安全而不应取决于系统逻辑的安全。意思就是,一个系统如果因为算法(比如源代码)暴露而变得不再安全,那么这个系统就不是一个好的安全系统。

从这个意义上说,留后门的程序绝对不是好的安全系统,弹子锁就是好的安全系统 –

就算你了解了弹子锁的工作原理以及一切细节,没有钥匙你还是打不开它,明白么?同理,早期的磁条信用卡就不是好的安全系统。

gmail细节我不知道,但第一如果被人搞到源代码就会被破解,那gmail绝对是业余水平,我不信Google这么傻逼;第二,如果为了盗取人权斗士的邮箱就拍个人打入Google内部盗取gmail代码,那也绝对是业余水平,我不信五毛国宝有这么傻逼。

一看就是不懂起码系统安全的人写的。系统安全应系于密钥的安全而不应取决于系统逻辑的安全。意思就是,一个系统如果因为算法(比如源代码)暴露而变得不再安全,那么这个系统就不是一个好的安全系统。

————————————————————————

系于密钥的安全,是安全的组成部分,系统逻辑安全也是安全的组成部分,两者各有需要场合,也不可决然分开或偏废。按照你的说法来论,微软系统的安全是系于密钥的安全呢?还是系于系统逻辑的安全呢?这样一问,显然看出你的这种说法有荒谬之处。

微软系统漏洞颇多,经常遭受各种攻击,基于XP的应用产品,即便有系于密钥的安全防护,也不免像个破门,总是要下载更新补丁,这不是很好的例子么?那么这种系统不是一个好的安全系统,为什么还有这么多人在使用呢。所以安全不安全,是相对的。谷歌的系统或多或少会有些漏洞,说什么好的不好的,也不能否认谷歌技术存在的合理性,完全是废话。

从这个意义上说,留后门的程序绝对不是好的安全系统,弹子锁就是好的安全系统 –

就算你了解了弹子锁的工作原理以及一切细节,没有钥匙你还是打不开它,明白么?同理,早期的磁条信用卡就不是好的安全系统。

—————————————————————————

这段你看你说了个啥?貌似在讲什么技术原理,其实是驴头不对马嘴。谷歌就是有漏洞啊,世界上有绝对好的没有漏洞的安全系统么?没有,那你还费什么话?

gmail细节我不知道,但第一如果被人搞到源代码就会被破解,那gmail绝对是业余水平,我不信Google这么傻逼;第二,如果为了盗取人权斗士的邮箱就拍个人打入Google内部盗取gmail代码,那也绝对是业余水平,我不信五毛国宝有这么傻逼。

————————————————————————

第一:有漏洞如果被程序高手发现,就会被攻击,产生各种各样的系统安全麻烦和隐患,这你都不懂么?你的意思微软的操作系统更是业余水平鸟?谷歌当然不是傻逼,而是你在把看热闹不仔细看贴的人当傻逼来蒙呢。

第二:派人打入谷歌,伺机盗取谷歌核心技术源代码(可能包括gmail源代码),哪怕是一些片段,或注释文档,就可以有助于程序高手寻找到更多或致命的漏洞,这么简单的IT技术常识,国保特务明白,你也明白,可你又打算蒙看贴不细读的人,我还真不知道谁是傻逼呢。

永远不要跟我扯强国的淡

3楼 大 中 小 发表于 2010-1-19 06:47 只看该作者

引用:

原帖由 北京棋迷 于 2010-1-16 02:52 发表

一看就是不懂起码系统安全的人写的。系统安全应系于密钥的安全而不应取决于系统逻辑的安全。意思就是,一个系统如果因为算法(比如源代码)暴露而变得不再安全,那么这个系统就不是一个好的安全系统。

从这个意义 …

引用:

原帖由 albert_qhd 于 2010-1-17 19:15 发表

掌握了源代码之后,从中寻找漏洞就相对容易的多。

永远不要跟我扯强国的淡

4楼 大 中 小 发表于 2010-1-19 07:33 只看该作者

看清楚北京棋迷在自打嘴巴

引用:

原帖由 北京棋迷 于 2010-1-18 02:14 发表

和这个成本相比较,直接搞密码要便宜的多。如果连偷个邮箱都要搞人家源代码,那人月成本能吓死你。

再说了,在邮箱密码这个级别,搞源代码的帮助很小。就好比linux的源代码完全公开,放在那里好几十年,人人能看,随便一个linux你搞个root的密码我看看。

搞源代码最大的好处是clone人家的系统,换个壳搞自己的山寨系统。实在看不出gmail的源代码有什么好搞的。如果说用来技术盗窃还有可能,要说为了搞什么人权人士的邮箱密码,居然来搞源代码,纯粹驴唇不对马嘴。

补充一点,我并不是一般性的贬低源码价值,只是从这个use case里看出来,消息的制造者明显是个半瓶子醋。源码价值大甚至涉及系统安全的use

case当然很多,比如M$ Windows,我研究生同学的一个朋友就专门分析Windows的二进制码,从中寻找有可能的漏洞,最常见的是stack

overflow的地方,然后或者卖回给M$或者卖给国安,买家当然都是懂行的 –

这可是直接在二进制码级别寻找漏洞,难度比在源代码级别寻找漏洞高了不是一个数量级(Windows的源代码哪那么好搞),他曾经以此为生了一段时间。但这个太耗时间经历了,在我看这简直是上刑,非常人不能为此,这哥们的青春都花在上面了。

和这个成本相比较,直接搞密码要便宜的多。如果连偷个邮箱都要搞人家源代码,那人月成本能吓死你。

————————————————————————

哦,搞个邮箱密码便宜的话,土共怎么没搞出来啊?漫说几个人月成本,就是上千上万个人年成本,对土共来说小菜一碟,它会在乎这点成本么?济宁市搞个全运会赛区就出手十几个亿,我也没见谁被吓死啊。

派人去盗取谷歌核心技术源代码或技术文档,不过就是培养或收买几个高级程序员,应聘到谷歌还有大把美刀薪水,这对无恶不作无耻没底线的土共来说,何乐而不为呢?

再说了,在邮箱密码这个级别,搞源代码的帮助很小。就好比linux的源代码完全公开,放在那里好几十年,人人能看,随便一个linux你搞个root的密码我看看。

————————————————————————

土共急于窥窃的是Gmail中的内容信息,而不是密码,你明白么?寻找到漏洞后,什么黑客攻击,路由截获,种种后续组合手段都可以使,有什么必要非听你的摆布呢?

搞源代码最大的好处是clone人家的系统,换个壳搞自己的山寨系统。实在看不出gmail的源代码有什么好搞的。如果说用来技术盗窃还有可能,要说为了搞什么人权人士的邮箱密码,居然来搞源代码,纯粹驴唇不对马嘴。

————————————————————————

噢,你也知道搞到源代码后都可以克隆人家的系统啦,百度是不是这么山寨出来的呢?继续窥探更深的技术,山寨出更“中国”的百度、千度、万度来,不是中国人和土共的最大爱好和长项么?驴唇不对马嘴的正是你自己。

补充一点,我并不是一般性的贬低源码价值,只是从这个use case里看出来,消息的制造者明显是个半瓶子醋。源码价值大甚至涉及系统安全的use

case当然很多,比如M$ Windows,我研究生同学的一个朋友就专门分析Windows的二进制码,从中寻找有可能的漏洞,最常见的是stack

overflow的地方,然后或者卖回给M$或者卖给国安,买家当然都是懂行的 –

这可是直接在二进制码级别寻找漏洞,难度比在源代码级别寻找漏洞高了不是一个数量级(Windows的源代码哪那么好搞),他曾经以此为生了一段时间。但这个太耗时间经历了,在我看这简直是上刑,非常人不能为此,这哥们的青春都花在上面了。

————————————————————————

看看,啧啧,你不留神在自己打自己的嘴巴啦!如你所言,分析二进制码都可以寻找系统的漏洞,都卖给国安了,难度比在源代码上寻找漏洞高不止一个数量级,这都是经济上可行的,那么窃取源代码当然更有价值和必要了。

你把自己的嘴巴子自己打得这么响,可惜1984上的迷糊蛋们就只看到你满屏的技术喷,连说的什么都没看懂就为你倾倒了,可见你这套把戏还是很有效的。只是蒙不了我这认真的人。你过不了我这一关。

永远不要跟我扯强国的淡

5楼 大 中 小 发表于 2010-1-19 07:41 只看该作者

内行网友的反映

引用:

原帖由 numb.majority 于 2010-1-18 10:14 发表

搞到gmail源码和ssl证书, 原地架设一个一摸一样的钓鱼网站, 然后利用dns劫持, 让你在访问gmail的时候直接上了钓鱼网,

并主动献出密码帐号.这个twitter有人提过的思路, 十分靠谱

引用:

原帖由 numb.majority 于 2010-1-18 11:45 发表

1. 监控非https的, 肯定也会做

2. 钓鱼跟卖假古董一样, 工艺是有等级的, 成本也是十万八千里, 当然效益也完全不同

3. 动态ip又如何, 你自己上上电信的网站, 免密码登陆, 你的ip, 帐号信息全在那, 另外你打个电话给10000号, 告诉他你的网络有问题,

他们都能立即知道你ip是什么的. 除非你能不用中国的isp的服务, 否则ip是否动态都没关系. 别给我说什么tcp/ip常识, 还人月呢.

掉这书袋还真没什么意义. 实现上 我是不觉得这有多么复杂, 主要就是一些细节上要注意罢了. 另外, 这个技术也不单独针对一个人, 用得着的时候多了.

你不如说核弹, 这成本多高阿, 还用都没机会用, 不照样有人做.

小龙人

草马族族民

6楼 大 中 小 发表于 2010-1-19 07:48 只看该作者

我看就是一半桶水的国安在这里搅混水

永远不要跟我扯强国的淡

7楼 大 中 小 发表于 2010-1-19 07:48 只看该作者

其他细致看贴的网友的反映

引用:

原帖由 numb.majority 于 2010-1-18 10:14 发表

搞到gmail源码和ssl证书, 原地架设一个一摸一样的钓鱼网站, 然后利用dns劫持, 让你在访问gmail的时候直接上了钓鱼网,

并主动献出密码帐号.这个twitter有人提过的思路, 十分靠谱

引用:

原帖由 精彩在wall 于 2010-1-18 15:49 发表

看了半天,感觉这个靠谱,不过事情的真相还需要时间验证啊,大家拭目以待

zcgme

8楼 大 中 小 发表于 2010-1-19 09:19 只看该作者

极光的源代码好像发布了部分

北京棋迷

自由主义,一抓就灵

9楼 大 中 小 发表于 2010-1-19 09:25 只看该作者

给你个左拉的链接

看看搞个中间人攻击是不是需要打入敌人内部盗取什么gmail源码

https://www.zuola.com/weblog/?p=1430

北京棋迷

自由主义,一抓就灵

10楼 大 中 小 发表于 2010-1-19 09:28 只看该作者

引用:

原帖由 albert_qhd 于 2010-1-17 19:15 发表

掌握了源代码之后,从中寻找漏洞就相对容易的多。

和这个成本相比较,直接搞密码要便宜的多。如果连偷个邮箱都要搞人家源代码,那人月成本能吓死你。

再说了,在邮箱密码这个级别,搞源代码的帮助很小。就好比linux的源代码完全公开,放在那里好几十年,人人能看,随便一个linux你搞个root的密码我看看。

搞源代码最大的好处是clone人家的系统,换个壳搞自己的山寨系统。实在看不出gmail的源代码有什么好搞的。如果说用来技术盗窃还有可能,要说为了搞什么人权人士的邮箱密码,居然来搞源代码,纯粹驴唇不对马嘴。

补充一点,我并不是一般性的贬低源码价值,只是从这个use case里看出来,消息的制造者明显是个半瓶子醋。源码价值大甚至涉及系统安全的use

case当然很多,比如M$ Windows,我研究生同学的一个朋友就专门分析Windows的二进制码,从中寻找有可能的漏洞,最常见的是stack

overflow的地方,然后或者卖回给M$或者卖给国安,买家当然都是懂行的 –

这可是直接在二进制码级别寻找漏洞,难度比在源代码级别寻找漏洞高了不是一个数量级(Windows的源代码哪那么好搞),他曾经以此为生了一段时间。但这个太耗时间经历了,在我看这简直是上刑,非常人不能为此,这哥们的青春都花在上面了。

北京棋迷

自由主义,一抓就灵

11楼 大 中 小 发表于 2010-1-19 09:30 只看该作者

引用:

原帖由 numb.majority 于 2010-1-18 10:14 发表

搞到gmail源码和ssl证书, 原地架设一个一摸一样的钓鱼网站, 然后利用dns劫持, 让你在访问gmail的时候直接上了钓鱼网,

并主动献出密码帐号.这个twitter有人提过的思路, 十分靠谱

这种老掉牙的fishing site,居然需要gmail源码?

如果fishing居然需要module网站的后台源码,那fishing fraud的成本也太高了。那帮靠fishing的identity

thief可以去喝西北风了。你脑子吃屎啦?你见过定点的dns劫持,只有艾未未敲gmail.com的时候,量身定做的dns才把他给direct到fishing

site上去?如果真能做到这点,只要老艾不用https,直接在电信ISP的路由器一级截取老艾的输入的二进制流把密码筛出来就行了,还用得着偷gmail源码绕这么大圈子?国安有钱没地方花了?

原来,偷源码为了架个假gmail

(见过这么笨的贼么,这得偷多少源码哇,你以为架个Gmail镜像象运行个二进制文件这么容易呀?有这功夫直接找几个人自己写个邮件服务网站,找美工把外观做成gmail那样就行了。用gmail源码反而比这个麻烦的多,gmail一个后台源代码有多少dependency你知道么?这个库找不着,那个文件不available…

别说运行了,光调试一个make就够几个人忙活好几个礼拜的… 疯了?)

架个gmail外观的fishing就是为了在老艾上网的时候专门找一个量身定做的dns先direct他的流到这个fishing,且不说技术上这个有多麻烦,你怎么知道老艾上网的时候他的客户端ip是什么,万一丫用的是动态ip,就更麻烦了,你要有点TCP/IP的常识就知道不一定不可行但要可行的话得多费劲,姑且假定能这么做,然后这个fishing

site还要把所有的http up/down stream

direct到真正的gmail网站上去,完成一个透明的中间人攻击,由此盗取老艾密码?我的天,为这一个老艾的密码,这得是个多大的project?你找一个做过PM的人做个评估,问问他这得花多少个人月完成?

世界上人人会死,关键是how

fast;世界上没有做不出来的project,关键是要投入多少资源,花费多少时间;世界上没有不能暴力破解的密码,关键是用速度最快的超级计算机要算多长时间

– 是不是到了宇宙末日也算不出来。做事总得讲点可行性吧?

下面是个实例

中国政府如果通过劫持DNS,再加上私下获得的Thawte SGC CA签名的安全证书的private

key是可以避开浏览器的安全警告,从而构建一个SSL内容嗅探的网关,通过此跳板开成一个中间人,实现劫持密码和通信内容。吴洪声写过一张篇详细的日志介绍此思路《SSL窃听攻击实操》http://wuhongsheng.com/it/2009/09/ssl-

hijack/

北京棋迷

自由主义,一抓就灵

12楼 大 中 小 发表于 2010-1-19 09:31 只看该作者

引用:

原帖由 numb.majority 于 2010-1-18 11:45 发表

1. 监控非https的, 肯定也会做

2. 钓鱼跟卖假古董一样, 工艺是有等级的, 成本也是十万八千里, 当然效益也完全不同

3. 动态ip又如何, 你自己上上电信的网站, 免密码登陆, 你的ip, 帐号信息全在那, 另外你打个电话给10000号, 告诉他你的网络有问题,

他们都能立即知道你ip是什么的. 除非你能不用中国的isp的服务, 否则ip是否动态都没关系. 别给我说什么tcp/ip常识, 还人月呢.

掉这书袋还真没什么意义. 实现上 我是不觉得这有多么复杂, 主要就是一些细节上要注意罢了. 另外, 这个技术也不单独针对一个人, 用得着的时候多了.

你不如说核弹, 这成本多高阿, 还用都没机会用, 不照样有人做.

你监控一个https试试,知道后面那个s什么意思么? 知道在国内能用https一定用https是什么原因吧?

你说的这些都是想当然的,你说的3就是我的意思,你以上电信的isp人家就知道了,那想在路由一级截你的密码不跟玩似的?知道上银行的网站不要用proxy或者vpn是什么意思吧?这么容易还用得着找人打入google内部盗取gmail源码?

就算你用https,如果人家给你放个木马,直接截取键盘输入,你也死菜,网银大盗和好多QQ木马就是这类,艾未未这种人让人安个量身定做的木马一点也不奇怪。

总之,要达到该目的,方法太多了。

所以原文纯粹扯淡。

北京棋迷

自由主义,一抓就灵

13楼 大 中 小 发表于 2010-1-19 09:41 只看该作者

引用:

和这个成本相比较,直接搞密码要便宜的多。如果连偷个邮箱都要搞人家源代码,那人月成本能吓死你。

————————————————————————

哦,搞个邮箱密码便宜的话,土共怎么没搞出来啊?漫说几个人月成本,就是上千上万个人年成本,对土共来说小菜一碟,它会在乎这点成本么?济宁市搞个全运会赛区就出手十几个亿,我也没见谁被吓死啊。

派人去盗取谷歌核心技术源代码或技术文档,不过就是培养或收买几个高级程序员,应聘到谷歌还有大把美刀薪水,这对无恶不作无耻没底线的土共来说,何乐而不为呢?

再说了,在邮箱密码这个级别,搞源代码的帮助很小。就好比linux的源代码完全公开,放在那里好几十年,人人能看,随便一个linux你搞个root的密码我看看。

————————————————————————

土共急于窥窃的是Gmail中的内容信息,而不是密码,你明白么?寻找到漏洞后,什么黑客攻击,路由截获,种种后续组合手段都可以使,有什么必要非听你的摆布呢?

=================================================================================================================================

你的意思就是分析源代码是万金油,大力丸,包治百病。对不起,唯独对盗取邮箱密码来说,盗取源代码事倍功半,几乎没有意义。知道医生怎么治病么?你得病了,把天底下所有的药都让你吃一遍,这样不用看你得了什么病,肯定能蒙上一个。土共要是搞什么东西都这么个搞法,早破产了。国安的人力物力资源也是有限的。

搞源代码最大的好处是clone人家的系统,换个壳搞自己的山寨系统。实在看不出gmail的源代码有什么好搞的。如果说用来技术盗窃还有可能,要说为了搞什么人权人士的邮箱密码,居然来搞源代码,纯粹驴唇不对马嘴。

————————————————————————

噢,你也知道搞到源代码后都可以克隆人家的系统啦,百度是不是这么山寨出来的呢?继续窥探更深的技术,山寨出更“中国”的百度、千度、万度来,不是中国人和土共的最大爱好和长项么?驴唇不对马嘴的正是你自己。

=====================================================================

你说的这个和“google内幕”一文傻逼不傻逼有关系么?

补充一点,我并不是一般性的贬低源码价值,只是从这个use case里看出来,消息的制造者明显是个半瓶子醋。源码价值大甚至涉及系统安全的use

case当然很多,比如M$ Windows,我研究生同学的一个朋友就专门分析Windows的二进制码,从中寻找有可能的漏洞,最常见的是stack

overflow的地方,然后或者卖回给M$或者卖给国安,买家当然都是懂行的 –

这可是直接在二进制码级别寻找漏洞,难度比在源代码级别寻找漏洞高了不是一个数量级(Windows的源代码哪那么好搞),他曾经以此为生了一段时间。但这个太耗时间经历了,在我看这简直是上刑,非常人不能为此,这哥们的青春都花在上面了。

————————————————————————

看看,啧啧,你不留神在自己打自己的嘴巴啦!如你所言,分析二进制码都可以寻找系统的漏洞,都卖给国安了,难度比在源代码上寻找漏洞高不止一个数量级,这都是经济上可行的,那么窃取源代码当然更有价值和必要了。

=====================================================================

还是那个问题,你说的这个和“google内幕”一文傻逼不傻逼有关系么? 你一脑子浆糊真不是白说的。

你把自己的嘴巴子自己打得这么响,可惜1984上的迷糊蛋们就只看到你满屏的技术喷,连说的什么都没看懂就为你倾倒了,可见你这套把戏还是很有效的。只是蒙不了我这认真的人。你过不了我这一关。

你这一大坨,全在于证明土共邪恶土共有盗取源代码的动机。但我要说明的是原文那个阴谋论是个很低劣的阴谋论,其主要论调”盗取gmail源码是为了盗取若干人权卫士邮箱”以及其描述上的硬伤“暴力破解源代码”(同时同后面说的“实习生可以获得99%源代码的访问权”相矛盾)。

你的论点是“土共邪恶,土共混蛋,土共偷源代码”;

我的论点是“google内幕一文纯粹就是捕风捉影的阴谋论,根本就是一瓶子不满半瓶子晃悠的外行瞎琢磨出来的”;

你居然以为你的这个论点能用来批驳我的观点,太傻比了。土共就算再邪恶一万倍,也没法证明“google内幕”这篇文章不傻逼呀?难道土共邪恶是事实,就天然证明了任何给造谣的阴谋论只要是反土工的就一定是正确的?

另外,你这一大坨里,全是想当然的抬杠,看不到一点技术内容。你肚子里那点墨水由此暴露的差不多了。到真是无知者无畏。

[ 本帖最后由 北京棋迷 于 2010-1-18 20:47 编辑 ]

北京棋迷

自由主义,一抓就灵

14楼 大 中 小 发表于 2010-1-19 09:45 只看该作者

引用:

原帖由 numb.majority 于 2010-1-18 10:14 发表

搞到gmail源码和ssl证书, 原地架设一个一摸一样的钓鱼网站, 然后利用dns劫持, 让你在访问gmail的时候直接上了钓鱼网,

并主动献出密码帐号.

这个twitter有人提过的思路, 十分靠谱

DNS劫持不需要架设一摸一样的钓鱼网站。

从他的回复来看,他比你懂的多一些,但也就是这个程度。居然认为到源代码是为了clone网站钓鱼。

下面是另一个人的说明,简洁明了直刺要害

引用:

伟大的大伟

那些盗窃银行卡密码的人也没有架设一个假的提款机吧?他们只是在提款机前面再装了点什么东西。

如果能把gmail.com转向一个假页面,那只需要搞一个假页面就可以了嘛,到时候再把用户的账号密码数据传到gmail.com登录就行了

阿慕

爱巴蒂,爱军棋,爱1984,更爱自由,爱唱歌,不爱说话,我不是什么家庭煮妇,我和你一样,我是凡客

15楼 大 中 小 发表于 2010-1-19 09:47 只看该作者

哇!华山论剑

孤独的圣诞

良心派

16楼 大 中 小 发表于 2010-1-19 09:49 只看该作者

财新传媒报道:谷歌单方面取消 Gphone在华合作计划. http://3.ly/eoM #googlecn

北京棋迷

自由主义,一抓就灵

17楼 大 中 小 发表于 2010-1-19 09:56 只看该作者

引用:

一看就是不懂起码系统安全的人写的。系统安全应系于密钥的安全而不应取决于系统逻辑的安全。意思就是,一个系统如果因为算法(比如源代码)暴露而变得不再安全,那么这个系统就不是一个好的安全系统。

————————————————————————

系于密钥的安全,是安全的组成部分,系统逻辑安全也是安全的组成部分,两者各有需要场合,也不可决然分开或偏废。按照你的说法来论,微软系统的安全是系于密钥的安全呢?还是系于系统逻辑的安全呢?这样一问,显然看出你的这种说法有荒谬之处。

微软系统漏洞颇多,经常遭受各种攻击,基于XP的应用产品,即便有系于密钥的安全防护,也不免像个破门,总是要下载更新补丁,这不是很好的例子么?那么这种系统不是一个好的安全系统,为什么还有这么多人在使用呢。所以安全不安全,是相对的。谷歌的系统或多或少会有些漏洞,说什么好的不好的,也不能否认谷歌技术存在的合理性,完全是废话。

系统安全系于密钥完全而非系于系统逻辑安全是系统安全中最基本的概念,你连这个都不理解,还和我抬什么杠。

system

security有很多内容,密码不被暴力破解和缓冲区不被溢出完全是两个不同的概念。你以为微软那些补丁是因为某个密码被破解了才打的补丁么?根本是驴唇不对马嘴的两个不同概念。你基础差的太远了。微软的系统本身安全性就是不高,他那么多补丁正好说明了如果把系统安全寄托在系统逻辑的安全上是多么危险,哪怕是二进制码,照样可以被高手反汇编出来从中寻找漏洞,除非你把所有的二进制码都加密,给所有的系统逻辑都加一把锁。这倒是安全了,但想象一下这要耗多少系统资源,可能么,值得么?安全与效率永远都是个trade

off。

这就好比你要加锁,一般会把重要的文件放在保险柜里,然后给保险柜加锁,而不那么需要保密的文件就不加锁,这样便于取用。谁会傻逼到把自己所有的抽屉都加锁呢?还不懂么?

引用:

从这个意义上说,留后门的程序绝对不是好的安全系统,弹子锁就是好的安全系统 –

就算你了解了弹子锁的工作原理以及一切细节,没有钥匙你还是打不开它,明白么?同理,早期的磁条信用卡就不是好的安全系统。

—————————————————————————

这段你看你说了个啥?貌似在讲什么技术原理,其实是驴头不对马嘴。谷歌就是有漏洞啊,世界上有绝对好的没有漏洞的安全系统么?没有,那你还费什么话?

这段就是给你这种民科科普一下,帮助你理解。

引用:

gmail细节我不知道,但第一如果被人搞到源代码就会被破解,那gmail绝对是业余水平,我不信Google这么傻逼;第二,如果为了盗取人权斗士的邮箱就拍个人打入Google内部盗取gmail代码,那也绝对是业余水平,我不信五毛国宝有这么傻逼。

————————————————————————

第一:有漏洞如果被程序高手发现,就会被攻击,产生各种各样的系统安全麻烦和隐患,这你都不懂么?你的意思微软的操作系统更是业余水平鸟?谷歌当然不是傻逼,而是你在把看热闹不仔细看贴的人当傻逼来蒙呢。

第二:派人打入谷歌,伺机盗取谷歌核心技术源代码(可能包括gmail源代码),哪怕是一些片段,或注释文档,就可以有助于程序高手寻找到更多或致命的漏洞,这么简单的IT技术常识,国保特务明白,你也明白,可你又打算蒙看贴不细读的人,我还真不知道谁是傻逼呢。

搞到源代码就能破解邮箱密码和搞到微软源代码就寻找系统漏洞,根本是两个概念。我上面已经说的很清楚了。好比你要登陆别人的xp账号,不知道密码,你需要把微软源代码偷来分析一番么?就算你偷来分析一番,除非微软傻逼的留了后门,否则在搞别人xp密码这个方面八成是没戏的。至于是不是能发现别的什么漏洞当成意外之喜,那是另外一回事。所以,偷代码动机可能有很多,但第一,绝不可能是你说的“先偷了再说,偷过来再看也许有用”;第二,绝不可能是为了破几个邮箱密码。

你车轱辘话来会说,也只能说明土共偷代码可能会有意外的好处,这和证明原文“偷代码为了破邮箱密码”这种傻逼阴谋论还差了十万八千里呢。

[ 本帖最后由 北京棋迷 于 2010-1-18 21:01 编辑 ]

北京棋迷

自由主义,一抓就灵

18楼 大 中 小 发表于 2010-1-19 10:03 只看该作者

华山论剑是高手和高手在相同背景下探讨技术问题,我这叫和一个什么都不懂得科盲抬杠,实在是件很痛苦的事。

他根本就不是想把问题搞清楚,纯粹就是在这里胡搅合,不停的想当然的抬杠而已。对系统安全根本没概念。

引用:

原帖由 阿慕 于 2010-1-18 20:47 发表

哇!华山论剑

智商六十

有点傻,待启蒙

19楼 大 中 小 发表于 2010-1-19 10:04 只看该作者

一头雾水,咱看不懂,只看到一堆堆术语在眼前晃来晃去,以后让俺孙子也去学这个东东,我觉得这个东东蒙人可好用了。:)

memoryz

20楼 大 中 小 发表于 2010-1-19 10:19 只看该作者

探讨一下

获得源代码对网络渗透究竟有什么意义?我曾经在某大公司的一个大型web项目里做过一段时间,我的理解和猜测是这样的:

google的源代码服务器里存放的,并不只是代码,还包括了各种配置文件和部署程序。写过网站的人应该知道,有了配置文件加上部署程序,整个网站的拓扑结构大致上就可以推断出来了。而掌握网站的拓扑结构对渗透是很有帮助的,假如渗透者同时掌握着电信资源或者somehow掌握着对方通信密钥的话。

永远不要跟我扯强国的淡

21楼 大 中 小 发表于 2010-1-19 11:15 只看该作者

内行网友穿透土共网特制造的迷雾,清晰地补充技术细节

引用:

原帖由 memoryz 于 2010-1-19 10:19 发表

获得源代码对网络渗透究竟有什么意义?我曾经在某大公司的一个大型web项目里做过一段时间,我的理解和猜测是这样的:

google的源代码服务器里存放的,并不只是代码,还包括了各种配置文件和部署程序。写过网站的人应该知道,有了配置文件加上部署程序,整个网站的拓扑结构大致上就可以推断出来了。而掌握网站的拓扑结构对渗透是很有帮助的,假如渗透者同时掌握着电信资源或者somehow掌握着对方通信密钥的话。

我在软件公司干过(不是程序员),认为这段说的很有道理。

丝丝兔

专业围观群众

22楼 大 中 小 发表于 2010-1-19 11:30 只看该作者

我发现北京棋迷什么都懂耶。

lxr1207

23楼 大 中 小 发表于 2010-1-19 11:31 只看该作者

引用:

原帖由 立春 于 2010-1-19 11:15 发表

我在软件公司干过(不是程序员),认为这段说的很有道理。

你在软件公司干过?要点脸没?昨天被我揭穿计算机二级的东西都不知道,现在又吹,你在软件公司干的是前台吧?

萧易寒

24楼 大 中 小 发表于 2010-1-19 12:06 只看该作者

没什么好争的

支持谷歌起诉上海国安

必要时我可以出庭作证

numb.majority

很乐意在意想不到的时候捅你一刀的沉默看客

25楼 大 中 小 发表于 2010-1-19 12:24 只看该作者

- -“

我说的那个假设也是在别人那看来的, 觉得有一定的可能性, 不过讨论之后仔细想想这的确有点不靠谱. 我收回.

不过我觉得获得ssl的根证书 这个大概还是有价值的.

FIFA会员

(%@¥守正不辟邪¥@%)别自作多情了,我又不是为了你

26楼 大 中 小 发表于 2010-1-19 12:33 只看该作者

google作为一个国际性大公司,内部的安全措施居然如此脆弱,简直令人发指。我不信,继续求真相

永远不要跟我扯强国的淡

27楼 大 中 小 发表于 2010-1-19 12:36 只看该作者

北京棋迷再次被我抓住卑劣的歪曲手法

引用:

原帖由 北京棋迷 于 2010-1-19 09:56 发表

这和证明原文“偷代码为了破邮箱密码”这种傻逼阴谋论还差了十万八千里呢。

《谷歌退出真相》原文并无“偷代码为了破邮箱密码”这个论点。

土共窃取谷歌源码技术机密,是有获取Gmail邮件内容的动机和目的。

卑劣的歪曲手法再次说明,北京棋迷很紧张窃密这个话题,但是纯打技术牌已经不太济事了。

lxr1207

28楼 大 中 小 发表于 2010-1-19 12:38 只看该作者

引用:

原帖由 立春 于 2010-1-19 12:36 发表

《谷歌退出真相》原文并无“偷代码为了破邮箱密码”这个论点。

土共窃取谷歌源码技术机密,是有获取Gmail邮件内容的动机和目的。

卑劣的歪曲手法再次说明,北京棋迷很紧张窃密这个话题,但是纯打技术牌已经不太 …

立春,你还是不要这么说了。因为你还没回答我上面的问题

试想,一个没有诚信的人,我怎么不能怀疑他是破坏论坛的五毛

何况,你的文化素质确实符合政府招收五毛大军的平均值

albert_qhd

29楼 大 中 小 发表于 2010-1-19 13:52 只看该作者

为什么总在源代码有用没用这点讨论呢?当然很有用。

窃取了源代码之后,攻击将容易的多。

举个例子,假设看代码发现某一处用了strcpy而不是strncpy,就可以从这一点寻找堆栈溢出漏洞。

假设windows系统的源代码公开,其漏洞将更容易找到。

永远不要跟我扯强国的淡

30楼 大 中 小 发表于 2010-1-19 14:03 只看该作者

的确如此

引用:

原帖由 albert_qhd 于 2010-1-19 13:52 发表

为什么总在源代码有用没用这点讨论呢?当然很有用。

窃取了源代码之后,攻击将容易的多。

举个例子,假设看代码发现某一处用了strcpy而不是strncpy,就可以从这一点寻找堆栈溢出漏洞。

假设windows系统的源代码公开,其漏洞将更容易找到。

微软的东西经常要打补丁,源码泄漏出来的话都有崩溃的可能。

为什么总在源代码有用没用这点讨论呢?因为北京棋迷纠缠于此,目的是制造争论不休的质疑谜团,以使不仔细看贴的人相信“窃取源代码”即不可行也无必要的谎言,掩盖土共在谷歌窃密被发现的真相。

[ 本帖最后由 立春 于 2010-1-19 14:04 编辑 ]

lxr1207

31楼 大 中 小 发表于 2010-1-19 14:07 只看该作者

引用:

原帖由 立春 于 2010-1-19 14:03 发表

微软的东西经常要打补丁,源码泄漏出来的话都有崩溃的可能。

为什么总在源代码有用没用这点讨论呢?因为北京棋迷纠缠于此,目的是制造争论不休的质疑谜团,以使不仔细看贴的人相信“窃取源代码”即不可行也无必 …

真相?你的真相就是主观臆测

棋迷仅仅是证伪,他的观点很有说服力,但是你无论正反两面都完全没有任何拿得出来的能说服人或者驳斥棋迷的哪怕有点理的论点,现在还说真相,真相这两个字是这样玷污得来的么?

灼眼のSABER

“君有疾在蛋上,不治将疼” “操,滚!”

32楼 大 中 小 发表于 2010-1-19 14:09 只看该作者

引用:

原帖由 lxr1207 于 2010-1-19 14:07 发表

真相?你的真相就是主观臆测

棋迷仅仅是证伪,他的观点很有说服力,但是你无论正反两面都完全没有任何拿得出来的能说服人或者驳斥棋迷的哪怕有点理的论点,现在还说真相,真相这两个字是这样玷污得来的么?

反正观点大家心里都有数了 再啰嗦也没什么实际意义了 你也撤了吧

langhua9527

大家好吗,我是小浪花!大家好吗,我是小浪花!大家好吗,我是小浪花!大家好吗,我是小浪花!大家好吗,我是小浪花!大家好吗,我是小浪花!大家好吗,我是小浪花!大家好吗,我是小浪花!大家好吗,我是小浪花!大家好吗,我是小浪

33楼 大 中 小 发表于 2010-1-19 14:10 只看该作者

哇,北京棋迷我是搞开发的,能给我列一个书单么,关于安全方面的。。。我一本一本的去看看

albert_qhd

34楼 大 中 小 发表于 2010-1-19 14:37 只看该作者

北京棋迷应该对安全这一块比较精通。

我们不谈论到底有没有窃取google源代码,更不用谈论窃取了源代码要干什么。

有一点咱们应该是可以达成一致的,那就是:如果想要攻击的话,掌握了源代码之后将相对容易的多。至于是不是有更好的办法,咱们可以另当别论。

albert_qhd

35楼 大 中 小 发表于 2010-1-19 14:42 只看该作者

再说几句吧。

虽然窃取源代码是有用的,但我感觉这个事太离奇。如果真有此事并公开出来的话,将震惊世界。所以,我倾向于不太相信。

时八响

36楼 大 中 小 发表于 2010-1-19 14:43 只看该作者

深奥不是问题,只是不想听毛狗叫

nofer

37楼 大 中 小 发表于 2010-1-19 15:23 只看该作者

没见过如此念念不悔搞臭自己ID的。

kb2771976

38楼 大 中 小 发表于 2010-1-19 16:15 只看该作者

引用:

原帖由 FIFA会员 于 2010-1-19 12:33 发表

google作为一个国际性大公司,内部的安全措施居然如此脆弱,简直令人发指。我不信,继续求真相

同求

chwng

39楼 大 中 小 发表于 2010-1-19 16:19 只看该作者

今天的疼训 上 2b青年对谷歌退出中国的评价太让人蛋疼了 ,

everyman88

40楼 大 中 小 发表于 2010-1-19 18:32 只看该作者

北京棋迷不是一个人在战斗啊。

杂食

@buluo89

41楼 大 中 小 发表于 2010-1-19 20:00 只看该作者

当然是有可能的, 搞过安全的都知道, 那叫 " 社会工程" .

外部防得再严,内部总有松懈的时候.google也一样 .

再说了,当年苏联冷战时期防的那么严, 德国小伙子还不是飞机降落红场了?

杂食

@buluo89

42楼 大 中 小 发表于 2010-1-19 20:05 只看该作者

为了一个人去搞源码, 确实成本太高, 但是 国内那么多不安分份子 ,有点知识的都用

gmail了, 搞到源码当然是一劳永逸的事情.

再说, 国安内部运作, 也许某个处长突发奇想,就是要搞,也没有不可能. 反正经费总要找个名目

花出去.

我只是说有可能.

永远不要跟我扯强国的淡

43楼 大 中 小 发表于 2010-1-19 20:11 只看该作者

路透上海1月18日电:谷歌对内部员工或协助黑客攻击展开调查

谷歌对内部员工或协助黑客攻击展开调查–消息人士

2010年 1月 18日 星期一

路透上海1月18日电—两位消息人士周一表示,谷歌(GOOG.O:

行情)正在调查公司一名或多名员工是否参与协助了12月中旬的网络黑客攻击,谷歌此前声称为此次袭击的受害者.

谷歌上周表示,其正考虑退出中国,并称公司互联网遭遇”复杂的”黑客攻击,并导致其知识产权被盗.

熟悉情况的消息人士告诉路透,此次黑客袭击锁定了使用谷歌互联网特定内容的目标人物,袭击或得到谷歌中国办公室员工的协助.

谷歌的一位女发言人表示,”我们对传闻和臆测不予置评.目前调查正在进行,我们不能评论相关细节.”

网络安全分析师告诉路透,用于袭击谷歌的恶意软件是改进後的特洛伊木马程序–Hydraq.分析师表示,袭击的复杂性在于难以获知攻击方,而非恶意软件本身.

本地媒体报导援引未具名消息人士称,一些谷歌中国员工在1月13号之後被取消进入内部网络的权限,而另一些员工则开始休假,并有人被调往谷歌亚太区其他业务部门.谷歌拒绝对此置评.(完)

--编译 尹嫄婷; 审校 张荻

踢牙恶僧

去死去死团神风特攻小队长

44楼 大 中 小 发表于 2010-1-19 20:58 只看该作者

唉,立春连“系统安全应系于密钥的安全而不应取决于系统逻辑的安全”这种常识都不晓得,到处东拉西扯

讨论技术问题不打技术牌难道打政治牌?

真是毫无营养的辩论

敢问您以前在软件公司干的是什么职务?

永远不要跟我扯强国的淡

45楼 大 中 小 发表于 2010-1-19 21:17 只看该作者

不要动不动就摆出自以为是的“常识”剖司来吓唬人好嘛?

微软的东西密匙安全不安全你回答?

永远不要跟我扯强国的淡

46楼 大 中 小 发表于 2010-1-19 21:27 只看该作者

驴唇不对马嘴的所谓“常识”

“系统安全应系于密钥的安全而不应取决于系统逻辑的安全”

我请朋友来家玩结果被盗了,有人说什么“防盗门的安全系于钥匙的安全而不取决于装门程序的安全”废话常识,这是在掩盖有贼混入故意设的迷惑圈套。你一辩论,他就问了:你以前在防盗门家装公司是干什么的?前台么?

我讲述家里失窃的事情经过时,有贼同伙与我激辩,撬你家防盗门需要费这么大劲与你交往几年么?“防盗门的安全系于钥匙的安全而不取决于装门程序的安全”这个常识你也不知道么?

引用:

原帖由 踢牙恶僧 于 2010-1-19 21:30 发表

RSA算法够简单了吧?你要是不知道,上网一搜就有。

就算你说的是牛顿三定律,也行。

关键是这与谷歌有内鬼的解释或否定无关。换句话说,这是驴唇不对马嘴的“质疑”欺骗。

你能否回答我为什么要破你的RSA???

引用:

原帖由 灼眼のSABER 于 2010-1-19 21:28 发表

其实我有个事挺好奇的 姑且问一下 没别的意思你别多想

为什么你能这么牛逼的坚定认为自己一定是对的 错的一定是别人呢?你就不会怀疑一小下也许错的是自己?

再次声明没别的意思 我只是对这种心态以及产生这种心 …

因为你经常错,所以你恨别人牛逼。

我不像你,什么地方都插一腿,不问自己有没有底。

我没有成算的话题我不参与。所以,就是比你牛逼!

[ 本帖最后由 立春 于 2010-1-19 21:51 编辑 ]

灼眼のSABER

“君有疾在蛋上,不治将疼” “操,滚!”

47楼 大 中 小 发表于 2010-1-19 21:28 只看该作者

引用:

原帖由 立春 于 2010-1-19 21:17 发表

不要动不动就摆出自以为是的“常识”剖司来吓唬人好嘛?

微软的东西密匙安全不安全你回答?

其实我有个事挺好奇的 姑且问一下 没别的意思你别多想

为什么你能这么牛逼的坚定认为自己一定是对的 错的一定是别人呢?你就不会怀疑一小下也许错的是自己?

再次声明没别的意思 我只是对这种心态以及产生这种心态的原因突然很感兴趣 如果你能据实回答我将不胜感激

踢牙恶僧

去死去死团神风特攻小队长

48楼 大 中 小 发表于 2010-1-19 21:30 只看该作者

回复 45楼 立春 的话题

RSA算法够简单了吧?你要是不知道,上网一搜就有。

您破一个我看看?

这确实是常识,不是小僧在自以为是

我承认不是学计算机的

但这句话在我们大一全校必修的“计算机基础”课本里面就有,您非得跟我争这个,我也不知道该怎么回答。

灼眼のSABER

“君有疾在蛋上,不治将疼” “操,滚!”

49楼 大 中 小 发表于 2010-1-19 21:31 只看该作者

我刚发现楼上是死死团的同志= =

踢牙恶僧

去死去死团神风特攻小队长

50楼 大 中 小 发表于 2010-1-19 21:37 只看该作者

回复 49楼 灼眼のSABER 的话题

握手!

93 12››