google退出中国了?买baidu股票了没?
昨天看facebook和twitter上都有人在说google对中国政策不满,考虑退出中国市场,甚至关闭中国的办公室。想不到动作还真快,国内的消息是说google中国员工,上午开大会,下午看电影(还是阿凡达),晚上吃散伙饭。其实都不知道真假,唯一真的是,今天google股票跌了,baidu涨了,涨了10%!后悔呀,得知传言的第一时间没有把股票这事反应过来,炒个短线赚一把也不亏噻。
闲话打住,装模作样说说正事。google一向号称不作恶,虽然进入中国后配合政府也开始干些有损形象的事,但现在是虎作伥不下去,要浪子回头了,这大义凌然的,博得叫好声一片。我也忍不住把他们CLO (Chief Legal Officer) 的公开博文找来看了,读完一遍,以我有些engnineering的大脑,竟然觉得有些道理好像说不通,不得不写下来,请看的懂的朋友解释解释。
一,文章从google受到攻击开始写起的。CLO David同学说去年十二月有来自中国的攻击,攻击是"highly sophisticated and targeted"(“高尖端有针对性?”)的,导致了知识产权的泄漏。我在此处的理解是,有来自中国IP的高手入侵了他们的企业内网,偷了代码或数据。然后,David展开说去,说他们发现这个攻击不只是针对google,还有其他至少二十个跨各种那个行业的大型企业也受类似的攻击了。好吧,既然高手开始是对你有"针对性"的入侵,现在高手对其他至少二十家也有"针对性"的入侵。等一下,到底是啥针对性?targeted是指公司本身,还是指入侵获得的东西?我想google还不可能这么快知道其他企业入侵都丢了啥,所谓针对性必然是针对公司,而不是什么代码或数据。
二,文章接下来继续写道,攻击者的首要目标是获取中国人权活动者的Gmail帐号信息,这是他们从目前掌握的证据得来的,但是呢又说攻击者的目标没有达成,因为只有两个Gmail帐号被进入,但泄漏的信息很有限,只有帐号创建日期,和邮件标题(原文此处用的是单数形式),邮件的内容(原文此处用的是复数)都没有泄漏。读到此处我已经产生了若干个问题,有些迷惑了。
问题一,开始说攻击google和其他企业是有针对性的,我认为我的理解针对是指针对企业本身,然后又说攻击目标是Gmail帐号信息,可是Gmail是你google家才有的啊,其他企业(按你的说还有不做互联网的企业)用的又不是你家的Gmail,怎么就给你并联在一起了呢?要么入侵你家偷Gmail帐号和攻击别家不是一回事,要么你知道别家也在攻击中丢了什么(至少得和你家丢的东西一样或类似),不然不至于被你并联在一起吧?或者说你拉上二十家说事,只是想表明事情的严重性?可是凭什么说其他二十家和你被攻击就是一回事呢?
问题二,攻击的首要目标是获取人权活动者的Gmail帐号信息,但是只有两个帐号的创建日期和邮件标题(既然是单数,应该只有一封)泄漏。等一下,你google怎么知道这两个Gmail帐号是人权活动者的,你怎么知道攻击者也知道被攻击者是人权活动者?你看了人家两个帐号的信件就认为用户就是人权活动者?那攻击者从拿到的信息很难知道吧,只有帐号创建日期和一封邮件的标题怎么判断这两位不幸的用户就是呢,除非你google先假设了攻击者已经知道这两个帐号的真实用户是谁,就是针对这两个帐号而来的。再等一下,又出现了个“针对”,可是“针对”的对象越来越迷糊了,企业,数据,邮箱用户?说实话,我真的迷糊了。
问题三,我先邪恶的假设你google看了人家用户的信(你们不作恶,不应该看啊),然后判定人家是人权活动者,可是你怎么判定的呢?或者说判定的标准是什么?发愣功没事也经常给我的信箱塞什么酒瓶,三退,迫害上访的邮件,如果你们翻了我的信箱的话,我是否也会被你们判定成人权活动者?这个问题不是针对David同学的博文,只是看到这里我邪恶的联想到的。不邪恶的联想的话,就是你们主动联系了两个信箱的用户,两个用户都主动告知他们的真实身份,可是也说不通啊,就像我信箱要是被hack了,服务商通知我时,我说我的邮箱被窃是因为我在从事慈善事业一样完全不合常理吧。
问题四,从技术角度分析,攻击者不是入侵的邮箱,而是直接入侵的google的数据存储,google庞大的分布式数据存储。如果David同学讲的都属实的话,入侵了信箱,不可能只拿到帐号创建日期和一封邮件标题,只有入侵你们分布数据存储的某一部分才可能盗取帐号的部分信息。说到这里,就更迷糊了,刚才不是还说有针对性嘛,现在则完全变随机了,因为攻击者怎么知道他入侵的哪一部分才能获取他想要的帐号信息呢?除非他是内鬼,不然怎么可能做到有针对性?就像你放了一条鱼到海里,让我去捕捞,我不知道你到底是放到大西洋还是太平洋,我在哪里下网都不知道,我怎么可能抓得到这只鱼的只鳞片角?除非我真是神通广大,在各大洋都勤撒网,不抓到鱼誓不罢休。可是就算如此我真的这么干了,按你google的说法,我也只抓到了只鳞片角。除非是内鬼,不然这个技术问题真说不通。
三,问题先打住,继续读David的博文。接下来又说,google发现在美国,中国,欧洲的为中国人权奔走的Gmail用户都经常被第三方光顾,但是google的技术保证了账户在服务器端都完好,但是用户自己机器上就可能被钓鱼或者流氓软件导致其被光顾。哎呀呀,问题又来了,一个是老问题,你怎么知道这些Gmail用户都是人权活动者,你看人家信了?你看了信怎么判断的呢?一个是新问题,你怎么知道人家的账户是如此被光顾的,你不可能知道人家被钓鱼啊,因为钓鱼是钓到其他网站去了,你也不可能知道人家机器被装了流氓软件啊,你一个浏览器应用怎么可能扫描人家机器呢?用户的帐号被光顾你们是能知道的,但是你们怎么知道是第三方而不是用户自己?还有,如果这些人权活动者如果已经因为自己机器的安全原因被光顾了,那还有人劳神费力攻击你们窃取服务器上的信息干嘛呢?
四,继续读博文。读到后面,话题一转,David把这个安全问题转到言论自由上了。说实话,作为一名engineer,个人读到这里开始反感了,不是反感安全问题,也不是反感言论自由,而是反感博文前面大段的描述铺垫终于在这里把这两个问题联系到了一起。读到这里,突然觉得,作为一名engineer真可悲,在读前面时各种问题不断冒出,读到这里一下意识到什么问题不重要了,人家写那么多只为了把安全问题引向言论自由。你一个engineer哪有一个CLO如此高屋建瓴啊?
五,主题继续跳转,从言论自由,说了句不痛不痒赞中国经济的话,马上就说我们google中国的事了。当如解铃还须系铃人,先得说我们google进入中国时,就是不愿意的迎合了你们的政策的,不得不对搜索内容动动手脚过滤。然后马上说,我们现在对网络攻击和言论监督很不满!这里也让我反感,攻击是攻击,你David寥寥几句话就把攻击描上了政治色彩,我那么多为什么都还没有解答呢,现在已经是把网络攻击和言论监督抬到了一起。安全问题->言论自由->政府控制,这逻辑让我一个engineer来写,绝对写不出