西西河

主题:观察:Google事件背后是怎样的博弈? -- SkyWalkerJ

共:💬295 🌺544 🌵24
全看分页树展 · 主题 跟帖
家园 刚发现网上已经有了蝶报版,与我在下面猜得差不多

支部已经建到google中国区里面了,

在海外的可以跟这个文学城网摘

国内看不到的可能早看到了,这里转一部份:

Google,祝贺你回到仁慈的主的怀抱。是的,我们在此祝贺而不是哀悼你。当耶路撒冷的太阳终于照耀你冷寂的坟墓之时,我们将迎接你的复活。

以下的真相,如果你有怀疑,如果你觉得其他的说法才是真的,那么请你解释这样一个事实:

Google,祝贺你回到仁慈的主的怀抱。是的,我们在此祝贺而不是哀悼你。当耶路撒冷的太阳终于照耀你冷寂的坟墓之时,我们将迎接你的复活。

以下的真相,如果你有怀疑,如果你觉得其他的说法才是真的,那么请你解释这样一个事实:

Google总部在声明退出中国之后,立刻取消了所有中国工程师访问Google代码服务器的权限。

他们都是在上班后发现服务器的home目录进不去了。事先根本没有通知。

很多人写到一半的代码,就没法动了,要等几个礼拜之后,调动到美国才能继续写

如果Google是有预谋的撤离,为什么要采取这种手段?他完全可以让员工继续工作,做一些善后工作。 比方说现在Google music,中国公司和美国做的是不一样的(music.google.cn 和 music.google.com)现在要取消中国的music了,完全可以让中国的工程师来做这个代码迁移的工作。

现在是中国的工程师全部带薪休假,由老外来接手善后事宜。

为什么Google突然那么不信任中国这边的团队?毕竟他们自己开发的代码,让他们自己来做迁移肯定效率更高啊

唯一的原因就是,Google内部的技术人员中被安插了党的特务(就在Google上海办公处)

事实真相就是,这个人在受到党的派遣,应聘Google成功之后,就把Gmail的关键代码down下来然后上交给了组织。

而这个组织破解gmail系统的目的就是为了获取“人权团体”的邮件,这些在Google官方的声明都有

这样一来会暴露gmail系统的所有漏洞,而且Google官方不能承认这个事情,否则他在国际上的声誉会大受影响。他能做的就是停止中国所有的工作,中国这边所有的工程师已经不能登陆google的代码服务器了。然后应该会抓紧几天时间修改一部分gmail代码。

其实事情就是这样简单完全是突发事件,所以Google的官方声明,你去读一读原版,写的是很仓促的,字里行间都能读出他们最高层的震惊,就是Google 三个最高层的人临时讨论一致决定的。如果是什么和美国政府商量好的,你觉得堂堂Google的官方声明会写的那么潦草,一点正式文件的套路都没有?

Google撤离也不是因为互联网审查,这个当然是一件很让Google不舒服的事情,但这几年他不也就这么忍下来了嘛。

特工这次的窃密行动,使Google有面临全面破产的危险(Google官方博客也说了,牵涉到知识产权的问题),说白了,再在中国呆下去,可能要威胁到整个公司的生存,所以才如此仓促的把中国部门的一切工作全部停掉。

所以Google一开始还说打算和中国谈判,但是今天马上就放弃谈判的打算了,因为就算政府让步,Google也不能再留了,再留就有性命危险。也不是中国市场赚钱不赚钱的问题了,赚这点小钱,把整个公司的性命搭进去,风险太大了。

关于Google工程师访问Google代码的权限,Google对于技术人员的诚信是相当信任的。即使是一个实习生,也可以访问99%以上的代码。 Google只有一个代码库,每个进去的人学到的第一条开发原则就是:搜!从代码库里面尽量搜索功能相似的代码,然后给原作者发Email。讲究这种整个公司的代码共享,才会达到有那么高的编码效率。而且Google的代码,注释,和技术说明文档是一体的,对每一个工程师都是公开的。

你可以喷我,也可以提出其他的说法,但是请你在回复之前先看完全文,然后想想自己的说法能不能自圆其说!!

我只能说,特工你太辣手了,实在逼得人家混不下去了。

补充一:

这个事情还在调查中,有一个人,他是党员,来了Google没多久,就把gmail核心代码下载下来,而且现在这个人已经不知所踪了,这些是可以肯定的。

至于他是谁指使的,我们只是猜了。。。

这两天Google总部派人过来和中国每一个工程师喝咖啡谈话,调查是不是这个人还有同伙。

同时总部在评估,这件事情造成了多少代码泄漏,哪些代码需要重写。

等这些工作做完,就会开始转移中国这里的工程师(要是没有调查就转移,岂不是让别的卧底混入美帝了嘛)

然后这个时候总部应该会给一个说法,让真相大白于天下,等再过一个月左右大家再回来看这个帖子吧!

补充二:

算了我来说吧。

里面一共三个卧底,里面居然还有共产党支部。

里面的支部书记是国安四年前就布的局。

这个朋友本科就是交大出来的,后来去了信安部。

信安部派他会交大信安学院念计算机,天天做算法题, 毕业就进了Google。

之后发展了两个内线,其中一个内鬼暴力破决Gmail的源代码系统,把代码偷出去给了政府。

政府主要是要监控用Gmail的反共分子。

里面不得了,居然还有国安局的党支部小组。

这个老兄拿了100万奖励,外加公务员待遇。

这帮人一下班就偷偷去陆家嘴开党支部会议。

后面还有从业人员的置疑等,这是其中一部份:

我把Shuo Chen和Fei Yan的帖子一并回复了吧。

很遗憾,要攻击SSL,偷key并不是什么好办法,因为private

key只在服务端存放,假设有某种能力攻陷服务器(在服务器允许远程访问的情况下)而获取private

key,其他所有数据都可以轻易获得,没有必要攻击SSL。攻击SSL比较常用的是Man-in-the-Middle Attack。

参见:

http://www.sans.org/reading_room/whitepapers/threats/ssl_maninthemidd...

<http://www.sans.org/reading_room/whitepapers/threats/ssl_maninthemidd...>

以及SSL协议分析

http://www.usenix.org/publications/library/proceedings/ec96/full_pape...<https://www.usenix.org/publications/library/proceedings/ec96/full_pap...>

注意到其中提及如果使用Unix/Linux的权限控制是可以避免Man-in-the-Middle Attack的。

先不说修改源码管理系统的日志记录(以我使用过的产品来看,有些产品里项目创建人可能可以,其他人是没有权限的,也许某些产品可以),如果能远程删除服务器的日志文件,需要root权限并且remote

access没有被禁用,对于Google这样的公司,这个可能性实在太小。

Fei

Yan提到的分布式源代码管理很常见,但是要攻击并修改这些服务器上的文件内容,要绕过硬件防火墙并且确定各台相关源代码服务器在内网的IP地址,对于这种不寻常的行为,查看路由器就可以很容易地被发现,这甚至会在获取源代码之前就被发现。

另外说一下,SSL/TLS是基于PKI的。

我所知道最著名的远程商业源代码盗取事件就是Half-life2的源码泄露,但那是通过低版本IE的一个公开漏洞造成的,Valve的某位开发人员没有给IE打补丁,并且,Valve毕竟和Google无法相提并论。

当然,生活很多事情的发生其实是不合逻辑的。我个人只是通过可以获知的一些事实和理论进行推断,类似这篇充满着类似“99%”和“100万”的文字实在是很难相信是能够自洽的。

全看分页树展 · 主题 跟帖


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河