搜索

2010年11月24日星期三

千里之堤,毁于蚁穴

《信息安全:目录》

前文大概废话了一堆,现在重复一下:

上回说到信息系统至少可以分为:
  1. 输入
  2. 处理
  3. 输出
如果下列判断成立,则该系统是安全的:1、未经用户授权,用户的任何信息都处于保密状态;2、用户可以授权特定客体获取特定信息;3、用户可以授权公布该信息。


为什么用户信息会泄露?

因为与日常经验不符,所以一些人不理解为什么自己的信息会被泄露。举个小例子说明这个过程:

如果你经常去自己家附近的小商店买酒,日子久了,店员自然会记住你,很可能以后你去,他就会直接给你拿出平常买的品种。

这里,你的嗜好显然就泄露了。这很正常,传统理发店、商店、茶馆……他们都这么干,这个世界本来就这么运转。这些信息泄露不会给你造成困扰,一方面因为:
  • 你很清楚你泄露了哪些信息
  • 信息的自然传播速度有限,范围有限
但是信息时代打破了这个界限。

太多的人不知道自己在使用计算机的时候泄露了些什么(尽管通常,美国产品的隐私协议写得非常精确,但是很多人压根儿不会看),他们对互联网的信息传播机制和速度范围也缺乏想象力。

还是举刚才的例子:

现在你在某个卖酒的网站买酒,不用日子久了,你只需要一次购买,网站就至少获得了你的:
  • 电子信箱
  • 地址
  • 从现在起的所有购买记录(过一阵子他们就会用精确的数学模型分析出你的购买习惯)
  • ……
然后,假设这家网站毫无道德,或者它自己管理不善,导致网站数据泄露(例如黑客入侵,然后公布偷到的数据),然后你的这些信息就可能被公布。

然后,至少有一种可以确定的危害:
  • 你的邮箱从此被塞满无数酒类推销广告
  • 其它危害,要看你的哪些信息被公布,和你个人的情况了
这些问题之所以出现,因为互联网带来了新的信息传播机制:
  • 人们,现在不熟悉互联网,并且很难准确了解自己的哪些信息在网络应用过程中被泄露了(过程是那样简单、流畅且坐在私密空间敲键盘的伪私密错觉,以致于信息泄露被忽略)
  • 信息传播的时空局限现在被打破了
为什么我们不能保守自己的秘密?

通常人们对这种新情况的第一反应就是:那么停止使用这些服务,保守秘密。但是这种因噎废食的做法显然是不可行的:使用信息技术的好处远远大于隐私泄露的坏处

只要使用信息技术,隐私必然被泄露,但是传统生活也是如此,而且人类的伟大在于我们可以建立起信任……

让我们回溯到使用计算机的最开始阶段:

我们打算使用计算机处理文字,那么显然你得使用至少:
  • 基本的硬件
  • 操作系统
  • 文字编辑软件
  • 输入法软件
如果你自己制造硬件,编写软件,那么没问题,没有信息泄露的可能,但是如果由第三方提供这些东西,那么:

在这个过程中,硬件,例如键盘,他知道你的每一次敲击;操作系统,硬件会告诉它你的每一次敲键,它还知道你用了哪个文字编辑软件;文字编辑软件,它知道你的正文内容,你保存在哪里,用什么格式;输入法,它也知道你的每一个字符。

除非你自己制造硬件、编写软件,那么你的信息就有可能泄露给上述各方。如果你的电脑不联网,那么还好,就算这些第三方打算窃取资料,它至少没法发送,但是很不幸,现在没有电脑不联网了吧?

这其实很传统商业没有任何区别:

在传统商业中,你购买衣服,那么服装店就知道了您的身材尺码,如果商店愿意,它显然有可能将之公布或者用做它途; 你买菜,那么菜贩们很可能会记住老主顾的口味……

如前所述,区别只在于,信息时代,传播速度和范围更快更大了。

那么如何确保隐私权呢?信任

你得购买可信的硬件,制造商承诺不会预设窃听器;你得安装可信的操作系统,制造商承诺不会预设窃听器;你得使用可信的文字处理器、输入法……他们的作者承诺不会窃取用户信息。

它们都有能力窃取用户信息,只是他们承诺不这么做。你可以相信它们的承诺吗?

自由市场确保淘汰信誉差的,留下信誉好的,这是世间最伟大的力量——这力量不是经济,它来源于人心——人们爱遵守承诺的人。

一套计算机系统由很多组件(硬件和软件系统)构成,它们由不同的作者完成,它们可以配合的当,完成任务;

你在使用计算机的过程中,会用到所有这些组件,它们都可能会接触到你处理的信息,他们中任何一个有窃取信息的恶意,都可能会得手。

这犹如你雇佣了一个团队去完成某任务,那么这个团队中的任何一个人不可靠,则该任务就不再是秘密。

计算机系统中(软件、硬件)的任何一个组件如果有恶意,都可能会窃取信息,若存在这样的组件(哪怕就一个),则整个系统是不可靠的。

这个系统的所有组成部分都可能接触信息,他们的作者只是承诺不窃取信息,他们的作者绝对有能力窃取信息——因为你的信息就是委托他们在处理!

这和日常生活中,你委托某打字员打印文稿,则该打字员显然就知道该文稿的内容完全一样,如果是机密文档,你得找机要秘书打印才行——他承诺不泄密。

因为你没有制造硬件,因为你没有编写软件,所以你委托第三方处理这些文档,那么受委托方值得信任吗?
  • 只安装可信软件
  • 系统中只要存在一个不可信软件,则整个系统不可信

    没有评论:

    发表评论