美國幫助中國黑客攻擊了 Google
Google 的部分服務(wù)被中國黑客入侵的消息上了新聞頭條。今天我要說的不是中國黑客參與了攻擊,或者是他們用的攻擊手段非常精密——大家都知道這回事了,而是美國政府在不經(jīng)意間幫助了這些黑客。
編輯說明:Bruce Schneier 是一位計算機安全技術(shù)專家,以及《超越恐懼:在不確定的世界中理性思考安全》的作者。
為了遵守政府搜查用戶數(shù)據(jù)的法規(guī),Google 為 Gmail 建了一個后門。中國黑客正是利用了這個后門獲取了訪問權(quán)限。
并不只是 Google 有這種后門。世界各國的民主政府——瑞典、加拿大、英國,等等,都在急切地通過相關(guān)法律,使他們的警察有權(quán)監(jiān)視互聯(lián)網(wǎng)。而這種法律通常需要通訊
系統(tǒng)提供商重新設(shè)計他們的產(chǎn)品和服務(wù)。
許多國家還通過了關(guān)于強制各個公司滯留用戶數(shù)據(jù)的法律。在美國,“1994 年法律執(zhí)行通訊協(xié)助法案”(Communications Assistance to Law Enforcement Act,CALEA)要求各電話公司協(xié)助 FBI 進行竊聽,自 2001 年開始,國家安全局就在各電話公司的幫助下建立了有效的竊聽
系統(tǒng)。
這樣的
系統(tǒng)很容易被濫用:侵占財產(chǎn),政府濫用以及擴大竊聽范圍。FBI 在 2002 年到 2006 年間就曾非法竊聽了美國人的電話 3500 次,通常是以恐怖襲擊為借口,且沒有搜查令。互聯(lián)網(wǎng)監(jiān)視和控制也毫不例外。
官方濫用已經(jīng)夠惡劣了,但非官方的使用讓我更加憂慮。任何監(jiān)控
系統(tǒng)必須確保自身是安全的。一個為監(jiān)控而設(shè)計的基礎(chǔ)架構(gòu)會引來監(jiān)控,監(jiān)控者可能是你知道的,也可能是你不知道的。
中國黑客侵入了 Google 為遵從美國竊聽法案而設(shè)計的后門。難道就沒有人想過,罪犯也可以通過同樣的
系統(tǒng)來竊取銀行信用卡信息,進行其他攻擊,或者散布垃圾郵件嗎?為什么大家會認為只有經(jīng)過認證的執(zhí)法機關(guān)才能獲取收集到的互聯(lián)網(wǎng)數(shù)據(jù),或者竊聽電話和即時消息?
這并不只是理論上的風(fēng)險。在九一一事件之后,國家安全局建立了一個竊聽
系統(tǒng)來竊聽美國國內(nèi)的電話和電子郵件。盡管相關(guān)條例規(guī)定了只能竊聽非美國人以及國際間的通話,實際上他們并未遵守這些條例。國家安全局分析員違規(guī)使用這些系統(tǒng)監(jiān)聽妻子、女朋友,甚至是克林頓總統(tǒng)的通話。
