<div dir="ltr">On Tue, Oct 29, 2013 at 3:56 AM, John Gilmore <span dir="ltr"><<a href="mailto:gnu@toad.com" target="_blank">gnu@toad.com</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
> Many DSL modems contain a small switch, which if it's the only switch<br>
> in a small home or office network, would make all packets among local<br>
> nodes accessible to malware running in that DSL modem.<br>
<br>
And most DSL modems are provided by your giant telco DSL provider --<br>
such as AT&T -- which we already know has a long history of covertly<br>
sucking up to NSA.  Besides their longstanding cooperation on domestic<br>
and foreign fiber taps, they also produced the first-and-only Clipper<br>
Chip subverted "telephone security device" for making voice calls that<br>
"nobody but NSA" could listen to.  How hard would it be, really, for<br>
them to subvert all their DSL modems to wiretap your LAN?<br>
</blockquote></div><br></div><div class="gmail_extra">Easier than you think. Nearly all DSL modems use the ATM protocol to</div><div class="gmail_extra">connect to the telco network. The ATM switch, if not the modem itself, can usually be configured to setup virtual circuits that mirror traffic from an</div>
<div class="gmail_extra">interface or another virtual circuit. </div><div class="gmail_extra"><br></div><div class="gmail_extra">So all that would be needed is for your local Older Brother to get the telco to setup their network to allow them to turn up virtual circuits that are</div>
<div class="gmail_extra">pre-configured to send either local LAN switchport traffic or mirror your WAN traffic. It's a config option, no subversion needed. My past life in network engineering let me confirm in a minute or 3 via google that at </div>
<div class="gmail_extra">the very least Juniper gear can do this. I doubt Cisco would leave out such a feature. There are of course non-surveillance use cases given for all such things.</div><div class="gmail_extra"><br></div>
<div class="gmail_extra">And we're now off in infosec land off of the crypto path, and I'll just leave it there.</div><div class="gmail_extra"><br></div><div class="gmail_extra">-David Mercer</div><div class="gmail_extra">
<br></div></div>