安全是一个吊诡的概念。它既是已感知的,又是需预见的。韦伯斯特字典(Webster)用二分法定义这样定义安全:“远离危险,免于恐惧”。

史特凡·萨维奇

  恐惧涉及的威胁是潜在的,危险反射的威胁则实实在在。我们往往为永远不会成为现实的袭击惴惴不安,却对近在咫尺的危险浑然不知。当我们的安全焦虑涉及到技术变革这一问题时,这种不确定性还会进一步地加剧。
  确实,技术的每一次发展总伴随着对它的滥用。正如高速公路事故和汽车盗窃的源头可以追溯至内燃机的发明,在计算机技术领域,那些最醒目的卓越成就,如电子邮件、数据库、电子商务、网络等等,也将技术滥用提高到了一个全新的高度。
  但是,计算机安全的演变并非总是对技术进步的被动反应。虽然技术为制造威胁提供了可能性,但只有当开发和制造危险的动机及意义存在时,威胁才会成为真正的危险。对安全威胁的预见不仅是对新技术可能引发的风险的抽象推理,更要求理解人类的天性。
  今天,对于计算机的滥用及其导致的计算机安全问题是由商业利益驱动造成的。网络僵尸、垃圾邮件、网络钓鱼骗局、银行木马病毒及身份盗窃,已经在同计算机安全领域的军备竞赛中日臻成熟,成为利润丰厚的行业。
  而在仅仅十年前,这个生态系统还尚未存在。20世纪的计算机病毒和蠕虫,都是那些希望自己臭名远扬的黑客们放出的恶搞作品。
  但当利用计算机攻击获利成为现实后,不论是通过广告(如垃圾邮件)还是盗窃(如窃取银行账户凭证),这种盈利的渴望就绽放出了我们正在体验的网络犯罪恶之花。
  这类由经济利益驱使的袭击是不可能消失的,而且我们还可以预见到,今后在金钱的使用、转移和储存中出现的每种技术革新,都会催生相应的技术威胁。新兴的手机支付系统、银行自动转账和逐渐增长的多人在线游戏的虚拟商品流动市场,都将成为网络罪犯的重点目标。
  虽然非法营利在计算机安全格局的变化中影响甚大,但它并非唯一的威胁。对个人资料的大型收集和使用问题也相当严重。
  我们的在线购物、浏览和社交行为,都会在网络上产生前所未有的巨量足迹。收集、处理和转售这些信息的活动,已构成一个庞大的“大数据”生态系统。试从隐私的角度考虑这个问题:我希望别人对我的了解多深?这对我购买医疗保险、找工作或贷款有什么影响?
  你可能觉得这些问题已经相当严重,但事实上个人信息使用的范畴还远不止于此。从网络中的个人信息不仅可以窥视私人欲望和社会关系,还能影响个人行为。如果只用来做促销未免有些大材小用,通过它们还可以进行互联网层次的社会监督和控制。
  人们在网上建立的个性和关系都较为松散,也给计算机技术以可乘之机。先进的自然语言的处理和数据挖掘技术导致数以百万计的“社交僵尸”(social bots)出现,他们像虚拟骗子一样同目标建立网络关系,花上一段时间培养信任度,然后传送个性化的消息,以此传播信息、影响对方的意见和行为。
  我的一位同事将这个观念称为“社会架构”(social architecture),它同传统的计算机安全理念背道而驰:安全威胁并非人类控制或监测了我们的电脑,而是恰恰相反,我们将受到电脑的控制。
  最后,滥用计算机作为战争手段的潜在趋势也在增长。明显的问题包括间谍和信息盗窃,但该趋势的变革范畴还要比这宽泛得多。
  旨在破坏伊朗气体离心机的震网(Stuxnet)蠕虫病毒,让世人知道电脑攻击也可以产生物理的、现实世界的结果。这个事例之所以格外令人不安,是因为如今电脑的能力已经渗入了我们生活的每个方面。我们使用的权力,饮用的水,乘坐的汽车、飞机和火车,楼宇中的电梯和空调,甚至一些孩子们的玩具,都已由电脑控制。
  与此同时,廉价的无线连接技术带动了另一股潮流,即各种设备正在趋于联网。这些系统还不曾受到太多恶意袭击,因此他们的安全漏洞也明显更多,成为一个对外来入侵者几乎没有抵抗力的生态系统。
  今年早些时候,我和我的同事曾经论证了可以利用安全漏洞远程渗透、跟踪和控制1000英里之外的常用汽车。另一些研究人员也证实了远程袭击植入式心脏除颤器、智能电表及使用监控网络的可能性。
  关键问题在于,我们是仅仅在杞人忧天,还是危险已经近在眼前?问题的答案将不是技术问题,而是政治问题。相互敌对的权力是否会相信这样的攻击比其他方式更先进,更值得对其投入,甚至超过被报复的风险?
  目前有一种倾向认为,计算机安全不同于其他安全。原因也许在于计算是机械的且可以预见的。人们总愿意相信安全问题总归通过某种形式的确定性分析加以解决。
  但是,安全问题归根结底是人的问题,是冲突的问题,计算机仅仅是表现冲突的介质。计算机安全的未来,与其说是技术的未来,不如说是人类关系的未来。

资料来源The New York Times

责任编辑 彦 隐

――――――――――――

本文作者史特凡·萨维奇(Stefan Savage),加州大学圣迭戈分校的计算机科学与工程教授。