編者按:對物聯(lián)網(wǎng)的討論有很多,但考慮到目前有那么種類型的電子產(chǎn)品被連上網(wǎng)時(shí)不僅令人感到心生恐懼���。燈泡、DVR、攝像頭���、麥克風(fēng)等都接入了互聯(lián)網(wǎng),但有誰真正思考過其隱含的意義嗎?時(shí)至...
![]()
編者按:對物聯(lián)網(wǎng)的討論有很多,但考慮到目前有那么種類型的電子產(chǎn)品被連上網(wǎng)時(shí)不僅令人感到心生恐懼���。燈泡、DVR、攝像頭���、麥克風(fēng)等都接入了互聯(lián)網(wǎng),但有誰真正思考過其隱含的意義嗎���?時(shí)至今日���,一切都是計(jì)算機(jī)——我們正在建設(shè)一個(gè)可感知���、思考和行動的互聯(lián)網(wǎng)���。我們在建造一個(gè)世界規(guī)模的機(jī)器人���,但我們甚至還沒有意識到這一點(diǎn)���。密碼學(xué)家���、《應(yīng)用密碼學(xué)》的作者Bruce Schneier從技術(shù)和政治的層面審視了物聯(lián)網(wǎng)給我們帶來的巨大挑戰(zhàn)���,里面提出的東西值得所有人認(rèn)真思考:在準(zhǔn)備好之前,我們真的需要一個(gè)萬物互聯(lián)的世界嗎?
去年的10月21日���,你的數(shù)字視頻錄像機(jī),或者至少是一個(gè)跟你的類似的DVR,把Twitter從互聯(lián)網(wǎng)上踢下線了���。有人用你的DVR,再加上數(shù)百萬不安全的網(wǎng)絡(luò)攝像頭���、路由器等連接設(shè)備,來發(fā)動了一場攻擊���,這場攻擊引起了連鎖反應(yīng),導(dǎo)致了Twitter���、Reddit、NetFlix等眾多網(wǎng)站從互聯(lián)網(wǎng)下線���。你可能并沒有意識到你的DVR還有這么一種能力。但它的確是有���。
所有的計(jì)算機(jī)都是可以被黑掉的。這既與技術(shù)有關(guān),也與計(jì)算機(jī)市場脫不開干系。我們都希望我們的軟件什么功能都有���,而且價(jià)格還要很便宜,其代價(jià)就是安全和可靠性。也就是說���,你的計(jì)算機(jī)會影響到Twitter的安全是一個(gè)市場失靈。這個(gè)行業(yè)到處都是市場失靈,但直到現(xiàn)在���,基本上還為人所忽視。隨著計(jì)算機(jī)繼續(xù)滲透到我們的家庭、汽車���,企業(yè),這些市場失靈將不再可容忍���。我們唯一的解決方案是管制,而這種管制會被一個(gè)在災(zāi)難面前不顧一切想要“做點(diǎn)什么”的政府強(qiáng)加給我們���。
在本文中我希望能概括一下這些問題���,無論是從技術(shù)上還是政治上���,并指出一些管制的解決方案���。管制這個(gè)詞在當(dāng)今的正值氣候下也許有點(diǎn)臟���,但安全是對我們的小政府偏見的例外���。隨著計(jì)算機(jī)的威脅越來越大且愈發(fā)的災(zāi)難性���,管制是不可避免的���。所以現(xiàn)在是時(shí)候開始考慮這個(gè)問題了���。
Wimbledon還需要扭轉(zhuǎn)把一切都連上互聯(lián)網(wǎng)的趨勢���。如果我們會有危害甚至死亡的風(fēng)險(xiǎn)時(shí),我們需要再三考慮我們連接的是什么���,我們故意放著避免計(jì)算化的是什么。
如果這件事情弄錯(cuò)的話���,計(jì)算機(jī)業(yè)看起來就會像制藥業(yè)或者航空業(yè)一樣。但如果我們把這件事情做對的話���,我們就能維持給了我們那么多東西的互聯(lián)網(wǎng)的創(chuàng)新環(huán)境。
現(xiàn)在不再是計(jì)算機(jī)嵌入東西里面了���,而反過來���,是將東西附加到計(jì)算機(jī)上面���。
你現(xiàn)在的冰箱是一臺讓東西保持冷凍的計(jì)算機(jī)���。類似地���,你的烤箱是一臺能讓東西發(fā)熱的計(jì)算機(jī)���。而ATM是一臺里面裝有錢的計(jì)算機(jī)���。你的汽車不再是里面裝有一些計(jì)算機(jī)的機(jī)械設(shè)備���,而是有4個(gè)輪子和一個(gè)引擎的計(jì)算機(jī)���。實(shí)際上���,這是一個(gè)擁有超過100臺計(jì)算機(jī)���,另外帶有4個(gè)輪子和一套引擎的分布式系統(tǒng)���。當(dāng)然���,你的手機(jī)在2007年���,也就是iPhone誕生那年���,已經(jīng)變成了一臺火力全開的通用計(jì)算機(jī)���。
我們還穿戴計(jì)算機(jī):比如我們會佩戴健身跟蹤器和計(jì)算機(jī)使能的醫(yī)療設(shè)備���,還有當(dāng)然���,我們都隨身攜帶著智能手機(jī)���。我們的家庭有智能恒溫器���、智能家電���、智能門鎖���,甚至連智能燈泡都有���。工作時(shí)���,許多這些智能設(shè)備���,以及可偵測客戶行動的傳感器CCTV攝像頭等東西連接在一起的���。城市開始給道路���、路燈���、人行道���、廣場嵌入智能傳感器���,還有智能電網(wǎng)和智能交通網(wǎng)絡(luò)���。核電站其實(shí)就是一臺可發(fā)電的計(jì)算機(jī)���,并且就像我們前面所列的其他東西一樣���,它也是連上互聯(lián)網(wǎng)的���。
互聯(lián)網(wǎng)不再是我們連接的web���。相反���,它已經(jīng)變成一個(gè)我們生活在里面的計(jì)算化���、聯(lián)網(wǎng)化且互聯(lián)的世界���。這就是未來���,也就是我們所謂的物聯(lián)網(wǎng)���。
寬泛而言,物聯(lián)網(wǎng)有三個(gè)部分���。有收集我們以及我們環(huán)境相關(guān)數(shù)據(jù)的傳感器:智能恒溫器、街道和高速公路傳感器���,還有那些帶有運(yùn)動傳感器和GPS接收機(jī)的、無所不在的智能手機(jī)���。然后還有“智能”的部分,這部分的工作是找出數(shù)據(jù)意味著什么���,以及對此該做些什么。這包括了這些設(shè)備上的所有的計(jì)算機(jī)處理器���,以及云端的計(jì)算機(jī)(越來越往云端遷移),以及存儲所有這些信息的存儲���。最后,還有影響我們環(huán)境的致動器���。智能恒溫器的要點(diǎn)不是記錄溫度,而是控制爐子和空調(diào)���。無人車收集道路和環(huán)境數(shù)據(jù)是為了讓它們能安全地駛向目的地。
你可以把傳感器看作是互聯(lián)網(wǎng)的眼睛和耳朵���。你可以把致動器看作是互聯(lián)網(wǎng)的手和腳。你還可以把中間那部分東西看作是它的大腦���。我們正在建設(shè)一個(gè)能感覺、會思考���、可行動的互聯(lián)網(wǎng)。
這不就是機(jī)器人的典型定義嘛���。的確,我們正在建造一個(gè)世界規(guī)模的機(jī)器人���,而我們甚至還沒有意識到這一點(diǎn)。
當(dāng)然���,這不是典型意義的機(jī)器人。我們把機(jī)器人視為具體的自治實(shí)體���,在一個(gè)金屬外殼里面包裹著傳感器、大腦和致動器���。但世界規(guī)模的機(jī)器人是分布式的。它沒有單一的身軀���,而且它的不同部分是由不同的人用不同的方式控制的。它沒有一個(gè)集中化的大腦���,甚至稍微類似意識的東西也沒有。它沒有單個(gè)的目標(biāo)或者焦點(diǎn)���。它甚至都不是我們刻意設(shè)計(jì)的什么東西。它是我們無意間從日常生活并認(rèn)為理所當(dāng)然的東西里面打造出來的一個(gè)東西���。它是我們的計(jì)算機(jī)和網(wǎng)絡(luò)到現(xiàn)實(shí)世界的延伸。
世界規(guī)模的機(jī)器人實(shí)際上不僅僅是物聯(lián)網(wǎng)���。它還是有著幾十年歷史的計(jì)算機(jī)趨勢的結(jié)合:包括移動計(jì)算、云計(jì)算���、永遠(yuǎn)在線計(jì)算、個(gè)人信息大型數(shù)據(jù)庫、物聯(lián)網(wǎng)等���,或者更確切地說,是信息物理系統(tǒng)(cyber-physical systems)——它是自治的,人工智能的。盡管它還不是很智能���,但會變得越來越智能。聽歌我們編織的所有這些互聯(lián),它會變得越來越強(qiáng)大���、越來越有能力。
它也會變得越來越危險(xiǎn)���,造成極大威脅���。
自從計(jì)算機(jī)誕生以來就有了計(jì)算機(jī)安全問題���。雖說安全不是原來互聯(lián)網(wǎng)設(shè)計(jì)考慮的問題之一���,但卻是我們從一開始就想要實(shí)現(xiàn)的東西���。
我搞計(jì)算機(jī)安全已經(jīng)超過了30年:先是做密碼學(xué)���,然后是更通用一點(diǎn)的計(jì)算和網(wǎng)絡(luò)安全���,現(xiàn)在則是做一般安全技術(shù)���。我們已經(jīng)觀察到計(jì)算機(jī)變得無所不在���,并且見證了保證這些復(fù)雜機(jī)器和系統(tǒng)安全的第一手的問題和解決方案���。我可以告訴你這一切是因?yàn)檫^去屬于一個(gè)技術(shù)專門領(lǐng)域的東西現(xiàn)在已經(jīng)影響到了一切���。計(jì)算機(jī)安全現(xiàn)在是一切安全���。但有一個(gè)關(guān)鍵的不同:其威脅更大了���。
傳統(tǒng)上們計(jì)算機(jī)安全被分為三個(gè)類別:機(jī)密性���、完整性以及可用性���。大多數(shù)情況下���,我們對安全的主要關(guān)心都是以機(jī)密性為中心的���。我們擔(dān)心我們的數(shù)據(jù)以及誰訪問這些數(shù)據(jù)——這是一個(gè)隱私與監(jiān)視的世界���,與數(shù)據(jù)盜竊和濫用有關(guān)���。
但威脅會以很多形式出現(xiàn)���?��?捎眯酝{:刪除我們數(shù)據(jù)的計(jì)算機(jī)病毒���,或者加密我們數(shù)據(jù)并要求付費(fèi)解鎖的勒索軟件���。完整性威脅:黑客操縱數(shù)據(jù)實(shí)體可以進(jìn)行從改變某類的等級到改變銀行賬戶里面的金額之類的事情���。其中的一些威脅時(shí)相當(dāng)糟糕的���。因?yàn)槔账鬈浖﹃P(guān)鍵病歷進(jìn)行了加密���,醫(yī)院被迫支付給犯罪分子上萬美元的錢���。摩根大通每年要投入5億美元用于對付網(wǎng)絡(luò)安全問題���。
今天���,完整性和可用性威脅要比機(jī)密性威脅糟糕得多���。一旦計(jì)算機(jī)開始以直接和物理的方式影響到世界���,就會對生命和財(cái)產(chǎn)造成真正的風(fēng)險(xiǎn)���。搞垮你的計(jì)算機(jī)盜走你的電子表格數(shù)據(jù)與黑掉你的起搏器和奪走你的生命有著根本性的不同���。這并不夸張���,最近研究人員在發(fā)現(xiàn)St. Jude Medical公司的可植入心臟設(shè)備中發(fā)現(xiàn)了嚴(yán)重的安全漏洞���。只要賦予互聯(lián)網(wǎng)以手和腳���,它就有能力出拳和踢腿���。
舉個(gè)具體的例子:現(xiàn)代的汽車���,那些有輪子的計(jì)算機(jī)���。方向盤不再轉(zhuǎn)動車軸了���,油門踏板也不再改變速度。你在車內(nèi)的每一個(gè)動作都由計(jì)算機(jī)來處理,實(shí)際控制汽車的是它���。中央計(jì)算機(jī)控制著儀表盤。還有一個(gè)在控制著無線電。引擎大概有20臺左右的計(jì)算機(jī)在控制���。所有這些都是聯(lián)網(wǎng)的,而且越來越自動化。
現(xiàn)在,讓我們開始列舉那些安全威脅。我們不希望汽車導(dǎo)航系統(tǒng)被用于大規(guī)模監(jiān)視,而不希望麥克風(fēng)被用于大規(guī)模監(jiān)聽���。我們也許希望在撥打911電話時(shí)它被用來確定汽車的方位,可能再用來收集一下高速公路的擁堵情況。我們不希望有人黑自己的汽車或者繞開排放控制限制���。我們不希望制造商或者經(jīng)銷商也能這么做,就像大眾做了很多年那樣���。我們可以想象希望賦予經(jīng)常遠(yuǎn)程地���、安全地讓一輛移動中的汽車喪失能力的能力���;這能夠讓高速追逐成為過去���。但我們當(dāng)然不希望黑客能夠做這件事���。我們絕對不希望他們能在毫無預(yù)警���、以任何速度行駛的情況下讓剎車失靈���。隨著我們從駕駛員控制過渡到各自駕駛輔助能力乃至于無人車���,我們不希望上述任何關(guān)鍵部件被破壞���。我們不希望有人會意外地撞上你的車���,故意就更不用不說了���。同樣地���,我們不希望他們能操縱導(dǎo)航軟件來改變你的路線���,或者操縱車鎖控制來阻止你打開車門���。這個(gè)列表可以列得很長���。
有很多不同的安全需求���,而把它們搞錯(cuò)的影響從非法監(jiān)視到勒索軟件敲詐乃至于大規(guī)模死亡不等���。
我們的計(jì)算機(jī)和智能手機(jī)之所以表現(xiàn)出應(yīng)有的安全水平是因?yàn)槲④?��、蘋果以及Google等公司在發(fā)布之前花費(fèi)了大量時(shí)間來測試自己的代碼���,并且的漏洞被發(fā)現(xiàn)時(shí)迅速打上補(bǔ)丁���。那些公司可以支持大型的專門團(tuán)隊(duì)是因?yàn)樗麄円粗苯右撮g接通過自己的軟件賺了很多的錢���,并且部分由于他們攀比自己的安全���。不幸的是���,在DVR或者家庭路由器這樣的嵌入式系統(tǒng)情況就不是這樣了���。那些系統(tǒng)賣出的利潤本來就很低���,而且往往是外包給第三方生產(chǎn)的���。參與的公司根本就沒有確保其安全的專業(yè)知識���。
在最近的一次安全會議上���,一位安全研究人員分析了30款家庭路由器���,結(jié)果有一半都可以滲透進(jìn)去���,其中的一些還是最流行和常見的品牌���。去年10月迫使Reddit和Twitter等熱門網(wǎng)站下線的拒絕服務(wù)攻擊就是由網(wǎng)絡(luò)攝像頭和DVR等設(shè)備的漏洞引起的���。去年8月���,兩位安全研究人員演示了用一款勒索軟件攻擊智能恒溫器的例子���。
更糟糕的是���,這些設(shè)備大多數(shù)都沒有任何打補(bǔ)丁的方式���。像微軟和蘋果這樣的公司不斷推出安全補(bǔ)丁給你的計(jì)算機(jī)���。一些家庭路由器在技術(shù)上是可以打補(bǔ)丁的���,但實(shí)現(xiàn)的方式卻很復(fù)雜���,只有專家才會做這樣的嘗試���。而你更新自己會被黑掉的DVR固件的唯一方式就是把它扔掉然后買個(gè)新的���。
市場無法修補(bǔ)這個(gè)是因?yàn)橘I家和賣家都不關(guān)心這一點(diǎn)���。被用于執(zhí)行拒絕服務(wù)攻擊的網(wǎng)絡(luò)攝像頭和DVR的主人不關(guān)心���。他們的設(shè)備買下來的時(shí)候很便宜���,它們還能工作,而且他們并不認(rèn)識攻擊受害者中的任何一個(gè)。那些設(shè)備的賣家也不關(guān)心:他們現(xiàn)在賣的是更新更好的型號���,而原來的買家只關(guān)心價(jià)格和功能���。這里沒有市場解決方案,因?yàn)檫@種不安全是經(jīng)濟(jì)學(xué)家所謂的外部性:這是一種影響到別人的購買決定效應(yīng)���。可以把這看作是看不見的污染。
安全是攻擊者和防御者之間進(jìn)行的一場軍備競賽���。技術(shù)通過改變攻擊者和防御者之間的平衡來擾亂這場軍備競賽���。理解這場軍備競賽是如何在互聯(lián)網(wǎng)上展開的���,對于理解為什么我們正在建造的世界規(guī)模的機(jī)器人是如此的不安全���,以及我們可以如何去保證它的安全必不可少���。為此���,我提出5個(gè)觀點(diǎn)���,這些都屬于老生常談���,是我們已經(jīng)了解到的有關(guān)計(jì)算機(jī)和互聯(lián)網(wǎng)安全方面的東西���。它們很快就會影響到誒一個(gè)地方的安全軍備競賽���。
常識1:在互聯(lián)網(wǎng)上���,攻擊比防御更容易
這一點(diǎn)有很多理由,但最重要的是這些系統(tǒng)的復(fù)雜性。更多的復(fù)雜性意味著涉及到更多的人���,更多的部件,更多的交互,設(shè)計(jì)和開發(fā)過程更多的錯(cuò)誤,更多的不安全因素的藏身之處���。計(jì)算機(jī)安全專家喜歡談系統(tǒng)的攻擊界面(attack surface):攻擊者可能瞄準(zhǔn)的所有可能點(diǎn),這些點(diǎn)必須確保安全。防御者必須保證整個(gè)攻擊界面的安全���。而攻擊者只用找到一個(gè)漏洞——找到一條不安全的攻擊大道���,然后選擇如何和何時(shí)攻擊即可���。這根本就不是一場公平的戰(zhàn)爭���。
攻擊比防御更容易還有其他一些更一般的原因���。攻擊者有著防御者往往缺乏的天然敏捷性���。他們不關(guān)心法律���,往往對道德或倫理也不在乎���。他們不需要對付官僚主義���,可以更迅速地利用技術(shù)創(chuàng)新���。攻擊者還有先發(fā)優(yōu)勢���。作為社會���,我們往往厭惡主動安全���;我們很少會采取主動安全措施直到攻擊真的來了���。所以攻擊者的優(yōu)勢更多���。
常識2:大多數(shù)軟件寫得都很糟糕而且不安全
如果復(fù)雜性還不夠的話���,我們通過制作差勁的軟件加重了問題���。寫得好的軟件���,就像在飛機(jī)航電設(shè)備上面的那些���,都是既昂貴編寫又耗時(shí)的���。我們不想要那種軟件���。在很大程度上來說���,寫得糟糕的軟件一直都是足夠好的了���。我們寧愿忍受有漏洞的軟件也不愿支付好軟件所需要的價(jià)格���。我們不在乎自己的游戲會不會經(jīng)常崩潰���,或者我們的商業(yè)應(yīng)用時(shí)不時(shí)會行為怪異���。因?yàn)檐浖恢币詠砘旧隙际菧睾偷?��,基本上都沒什么問題���。這已經(jīng)滲透到行業(yè)的各個(gè)層面���。在大學(xué)���,我們不教學(xué)生如何寫好代碼���。公司不像獎勵(lì)快和便宜那樣獎賞優(yōu)質(zhì)的代碼���。我們作為消費(fèi)者也不要求這個(gè)���。
但寫得糟糕的代碼漏洞百出���,有時(shí)候多到每千行代碼就有一個(gè)漏洞���。其中一些是軟件的復(fù)雜性固有的問題���,但大多數(shù)都是程序錯(cuò)誤���。不是所有的bug都是漏洞���,但有些就是���。
常識3:讓一切通過互聯(lián)網(wǎng)相互連接會暴露漏洞
我們聯(lián)網(wǎng)的東西越多���,某個(gè)東西的漏洞對其他東西的影響就越多���。去年10月21日,多種嵌入式設(shè)備的漏洞被通通利用了起來,建立一個(gè)黑客所謂的僵尸網(wǎng)絡(luò)。這個(gè)僵尸網(wǎng)絡(luò)被用來發(fā)動一次針對Dyn這家公司的分布式的拒絕服務(wù)攻擊���。Dyn為許多重要的互聯(lián)網(wǎng)網(wǎng)站提供了一項(xiàng)關(guān)鍵的互聯(lián)網(wǎng)功能。所以當(dāng)Dyn下線時(shí),所有那些流行網(wǎng)站也一并下線了���。
這些漏洞鏈到處都是。2012年,記者M(jìn)at Honan也因?yàn)槠渲幸粋€(gè)而遭遇了大規(guī)模的個(gè)人攻擊���。他的Amazon賬號的一個(gè)漏洞導(dǎo)致黑客可以進(jìn)入他的蘋果賬號,后者又讓黑客進(jìn)入了他的Gmail賬號���。2013年,因?yàn)橛腥藦淖约旱呐照{(diào)承包商那里偷走了證書���,塔吉特也被黑掉了。
像這樣的漏洞尤其難以修復(fù)���,因?yàn)閷?shí)際上可能沒有一個(gè)系統(tǒng)有責(zé)任。問題可能出在兩個(gè)分別安全的系統(tǒng)不安全的交互上���。
常識4:每個(gè)人都必須阻止全世界最好的攻擊者
互聯(lián)網(wǎng)最強(qiáng)大的屬性之一是它讓東西可伸縮。對于我們訪問數(shù)據(jù)或者控制系統(tǒng)或者做任何我們用互聯(lián)網(wǎng)來做的那些酷事的能力來說這是對的���,但對于攻擊來說也一樣如此。一般而言���,由于技術(shù)越來越好,更少的攻擊者就能導(dǎo)致更大破壞。這不僅僅是因?yàn)楝F(xiàn)代的攻擊者效率更高���,還因?yàn)榛ヂ?lián)網(wǎng)讓攻擊擴(kuò)大到?jīng)]有計(jì)算機(jī)和網(wǎng)絡(luò)無法做到的規(guī)模。
這與我們過去習(xí)慣的東西有著根本的不同。在提防夜賊入室時(shí)���,我只會擔(dān)心住得離我家足夠近的竊賊有沒有打劫的想法就行了。互聯(lián)網(wǎng)卻不一樣���。當(dāng)我考慮自己的網(wǎng)絡(luò)安全時(shí),我必須把最好的攻擊者考慮在內(nèi),因?yàn)檫@個(gè)人會開發(fā)人人都會使用的攻擊工具。發(fā)現(xiàn)用于攻擊Dyn的漏洞的攻擊者把代碼發(fā)布給了全世界���,一周之內(nèi)利用它的十多種攻擊工具就冒出來了���。
常識5:法律禁止安全研究
數(shù)字千年著作權(quán)法案(DMCA)是一項(xiàng)糟糕的法律,并未能達(dá)到其阻止大面積音樂影視盜版的目的���。更糟糕的是,它的一個(gè)條款存在嚴(yán)重的副作用���。根據(jù)該法律,繞開保護(hù)有版權(quán)作品的安全機(jī)制都是犯罪���,哪怕本該是合法的繞開也算。由于所有軟件都可以有版權(quán)���,所以在這些設(shè)備上進(jìn)行安全研究并發(fā)表成果也是非法的了。
盡管這項(xiàng)法律的確切邊界有待商榷���,但許多公司都利用DMCA這一條款來威脅研究人員公布其嵌入式系統(tǒng)中的漏洞。這使得研究人員逐漸感到害怕���,對研究產(chǎn)生了寒蟬效應(yīng),這意味著兩件事情:(1)這些設(shè)備的供應(yīng)商更有可能放任設(shè)備的不安全不管���,因?yàn)闆]人會注意,他們也不會在市場上受到處罰,(2)按去昂城市學(xué)不到如何更好地確保安全。
不幸的是,公司一般都喜歡DMCA���。針對逆向工程的條款讓他們避免了粗劣的安全曝光所帶來的尷尬。這還使得他們可以開發(fā)專有系統(tǒng)來鎖定競爭���。(這一點(diǎn)很重要。現(xiàn)在���,你的烤面包機(jī)還不能強(qiáng)迫你智能購買特定品牌的面包。但因?yàn)檫@項(xiàng)法律以及嵌入式計(jì)算機(jī)���,你的Keurig咖啡機(jī)可以強(qiáng)制你購買特定品牌的咖啡。)
通常而言���,安全有兩種基本范式���。我們要么第一時(shí)間就努力確保某樣?xùn)|西的安全���,要么我們可以讓我們的安全敏捷化���。第一種范式來自危險(xiǎn)東西的世界:飛機(jī)���、醫(yī)療設(shè)備���、建筑���。這種范式為我們提供安全設(shè)計(jì)和安全工程���,安全測試和認(rèn)證���,執(zhí)業(yè)證明���,詳細(xì)的預(yù)先計(jì)劃以及復(fù)雜的政府許可���,以及漫長的進(jìn)入市場時(shí)間���。這種安全是給危險(xiǎn)世界準(zhǔn)備的���,確保事情搞對至高無上���,因?yàn)槿绻鲥e(cuò)的話是要出人命的���。
第二種范式來自于快節(jié)奏且迄今屬于良性的軟件世界���。在這個(gè)范式中���,我們有快速原型開發(fā)���,實(shí)時(shí)更新���,持續(xù)改進(jìn)���。在這一范式中���,時(shí)刻都會有新的漏洞被發(fā)現(xiàn)���,安全災(zāi)難經(jīng)常會發(fā)生���。這里我們強(qiáng)調(diào)的是存活的能力���,可恢復(fù)性���,緩解���,適配性以及應(yīng)付過去���。這是為只要你的響應(yīng)足夠快搞錯(cuò)也OK的世界準(zhǔn)備的安全���。
這兩個(gè)世界正在發(fā)生碰撞���。它們在我們的汽車身上發(fā)生碰撞���,在我們的醫(yī)療設(shè)備���、我們的建筑控制系統(tǒng)���、我們的交通控制系統(tǒng)以及我們的投票系統(tǒng)發(fā)生碰撞���,這一點(diǎn)都沒有夸張���。而盡管這些范式之間極為不同互不相容���,我們也需要找出如何讓它們協(xié)作的辦法���。
到目前為止���,我們做得還不是很好���。我們?nèi)匀换旧弦繛槠?��、飛機(jī)以及醫(yī)療設(shè)備內(nèi)危險(xiǎn)的計(jì)算機(jī)準(zhǔn)備的第一種范式���。因此,就出現(xiàn)了不能有安全補(bǔ)丁的醫(yī)療設(shè)備���,因?yàn)檫@會導(dǎo)致其手上的政府許可無效。2015年���,克萊斯勒找回了140萬輛汽車以修復(fù)一個(gè)軟件漏洞。2016年9月���,Tesla在一夜間遠(yuǎn)程發(fā)送了一個(gè)安全補(bǔ)丁給其所有的Model S汽車。Tesla當(dāng)然覺得自己做得沒錯(cuò)���,但這一遠(yuǎn)程打補(bǔ)丁的功能又會打開了什么樣的漏洞呢?
直到現(xiàn)在我們基本上還是把安全交給市場���。因?yàn)槲覀冑徺I和使用的計(jì)算機(jī)和網(wǎng)絡(luò)產(chǎn)品實(shí)在是太差勁了,導(dǎo)致了一個(gè)龐大的計(jì)算機(jī)安全后市市場的出現(xiàn)���。政府���、公司和用戶購買自己認(rèn)為需要的安全來保護(hù)自己���。我們目前還算應(yīng)付得過去���,但嘗試確保這一世界規(guī)模機(jī)器人的安全所固有的市場失靈很快就會變得大到無法忽視���。
光靠市場也解決不了我們的安全問題���。市場是由利潤和短期目標(biāo)推動的���,社會將為此付出代價(jià)���。它們不能解決集體行動問題。它們不能處理經(jīng)濟(jì)的外在性問題���,比如DVR的漏洞導(dǎo)致了Twitter的下線。而且我們也需要對企業(yè)勢力進(jìn)行平衡。
這一切都指向了政策���。盡管任何計(jì)算機(jī)安全系統(tǒng)的細(xì)節(jié)都是技術(shù)性的,但讓技術(shù)得到廣泛部署卻牽涉到法律���、經(jīng)濟(jì)、心理學(xué)以及社會學(xué)���。而且政策制訂得當(dāng)跟技術(shù)做得到位一樣重要,要想互聯(lián)網(wǎng)安全行之有效���,法律好技術(shù)必須攜手合作。這可能是我們從斯諾登曝光NSA獲得的最重要的教訓(xùn)了���。我們已經(jīng)知道技術(shù)會顛覆法律。斯諾登則證明了法律也會顛覆技術(shù)���。這兩方面都有效才能成功,任何一方不行都會失敗���。所以僅僅靠技術(shù)是不行的。
盡管很多人會提出反對���,但要想確保這一世界規(guī)模機(jī)器人的安全,政府監(jiān)管是唯一可能的解決方案���。但在互聯(lián)網(wǎng)上實(shí)施會特別困難,因?yàn)槠錈o需許可(permissionless)的屬性正是它最好的東西之一���,是其最具顛覆性創(chuàng)新的基礎(chǔ)。但是如果互聯(lián)網(wǎng)以直接和物理的方式影響到世界時(shí),我看不到這還何以為繼。
我們還應(yīng)該開始斷開系統(tǒng)���。如果復(fù)雜系統(tǒng)的安全還不足以達(dá)到現(xiàn)實(shí)世界所需的水平,那我們就不應(yīng)該建設(shè)一個(gè)一切都是計(jì)算化和互聯(lián)的世界。
我們還有別的模式���。我們可以推動僅進(jìn)行本地通信���。我們可以對數(shù)據(jù)采集和存儲做出限制���。我們可以精心設(shè)計(jì)系統(tǒng)讓它們不能互操作���。我們可以審慎地束縛設(shè)備���,扭轉(zhuǎn)當(dāng)前把一切變成通用計(jì)算機(jī)的趨勢���。還有���,最重要的是���,我們可以朝著更少中心化更多分布式系統(tǒng)邁進(jìn)���,這正是互聯(lián)網(wǎng)當(dāng)初的愿景。
在大家競相連接一切的今天,這聽起來像是異端邪說���,但大型中心化的系統(tǒng)不是不可避免的。技術(shù)精英正在把我們往那個(gè)方向推,但除了自己那不斷壯大的跨國企業(yè)的利潤外,他們拿不出任何有力的證據(jù)來證明自己���。
我的猜想是我們很快就會達(dá)到計(jì)算化和連接性的高水位線,此后我們就會對連接什么以及如何連接做出有意識的決定。但目前我們還處在連接性的蜜月期���。
世界規(guī)模的機(jī)器人更像是造出來而不是設(shè)計(jì)出來的。它的出現(xiàn)未經(jīng)任何事先考慮或者架構(gòu)設(shè)計(jì)或規(guī)劃。我們當(dāng)中的大多數(shù)完全都沒有意識到我們正在建造什么。實(shí)際上,我不相信我們能造出這么一個(gè)東西來���。當(dāng)我們試圖設(shè)計(jì)像這樣復(fù)雜的社會技術(shù)系統(tǒng)時(shí),我們經(jīng)常會對它涌現(xiàn)出來的屬性感到驚訝。我們能做的頂多是盡可能觀察和引導(dǎo)這些屬性���。
市場思維有時(shí)候讓我們忽略了人的選擇���,自主化已經(jīng)危在旦夕���。在我們被這個(gè)世界規(guī)模的機(jī)器人控制或者干掉之前���,我們需要對我們共同的管理體系重建信心���。法律和政策看起來也許沒有數(shù)字化技術(shù)那么酷���,但它們也是關(guān)鍵創(chuàng)新之處���。它們是我們?yōu)榱讼M钤诘氖澜绻餐瑤淼臇|西���。
盡管我看起來可能像是一位兇事預(yù)言家���,但我對未來仍然樂觀���。我們的社會曾經(jīng)解決過比這還要大的問題���。這需要付出而且并不容易���,但我們最終會做出必要的艱難抉擇來解決我們真正的問題���。
唯有在我們開始對所生活的互聯(lián)世界做出真正選擇時(shí)���,我們正在建造的世界規(guī)模的機(jī)器人才能得到負(fù)責(zé)任的管理���。是的���,我們需要安全系統(tǒng)如威脅板塊般健壯���。但我們還需要法律對這些危險(xiǎn)技術(shù)進(jìn)行有效監(jiān)管���。還有我們需要對這些系統(tǒng)的運(yùn)作機(jī)制做出道德���、倫理以及政治決策���。直到現(xiàn)在���,我們還是把互聯(lián)網(wǎng)晾在一邊的���。我們賦予程序員特別的權(quán)力���,讓他們按照自己的想法來構(gòu)造網(wǎng)絡(luò)空間���。在網(wǎng)絡(luò)空間是獨(dú)立且相對不那么重要時(shí)這沒關(guān)系���。但現(xiàn)在情況變了���,我們不能再給程序員和公司這些權(quán)力了���。無論如何���,那些道德���、倫理和政治決定都應(yīng)該由我們共同做出���。我們需要以連接機(jī)器同樣的熱枕連接我們大家���?��!斑B接一切東西”必須用“連接我們大家”來進(jìn)行反擊���。
粵公網(wǎng)安備 44010602004352號