Google 的部分服务被中国黑客入侵的消息上了新闻头条。今天我要说的不是中国黑客参与了攻击,或者是他们用的攻击手段非常精密——大家都知道这回事了,而是美国政府在不经意间帮助了这些黑客。
编辑说明:Bruce Schneier 是一位计算机安全技术专家,以及《超越恐惧:在不确定的世界中理性思考安全》的作者。他的更多文章可在 http://www.schneier.com/ 找到。
为了遵守政府搜查用户数据的法规,Google 为 Gmail 建了一个后门。中国黑客正是利用了这个后门获取了访问权限。
并不只是 Google 有这种后门。世界各国的民主政府——瑞典、加拿大、英国,等等,都在急切地通过相关法律,使他们的警察有权监视互联网。而这种法律通常需要通讯系统提供商重新设计他们的产品和服务。
许多国家还通过了关于强制各个公司滞留用户数据的法律。在美国,“1994 年法律执行通讯协助法案”(Communications Assistance to Law Enforcement Act,CALEA)要求各电话公司协助 FBI 进行窃听,自 2001 年开始,国家安全局就在各电话公司的帮助下建立了有效的窃听系统。
这样的系统很容易被滥用:侵占财产,政府滥用以及扩大窃听范围。FBI 在 2002 年到 2006 年间就曾非法窃听了美国人的电话 3500 次,通常是以恐怖袭击为借口,且没有搜查令。互联网监视和控制也毫不例外。
官方滥用已经够恶劣了,但非官方的使用让我更加忧虑。任何监控系统必须确保自身是安全的。一个为监控而设计的基础架构会引来监控,监控者可能是你知道的,也可能是你不知道的。
中国黑客侵入了 Google 为遵从美国窃听法案而设计的后门。难道就没有人想过,罪犯也可以通过同样的系统来窃取银行信用卡信息,进行其他攻击,或者散布垃圾邮件吗?为什么大家会认为只有经过认证的执法机关才能获取收集到的互联网数据,或者窃听电话和即时消息?
这并不只是理论上的风险。在九一一事件之后,国家安全局建立了一个窃听系统来窃听美国国内的电话和电子邮件。尽管相关条例规定了只能窃听非美国人以及国际间的通话,实际上他们并未遵守这些条例。国家安全局分析员违规使用这些系统监听妻子、女朋友,甚至是克林顿总统的通话。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
如何处理云端特权用户管理?
很多企业正在试图保护员工使用的各种云应用和服务中的用户账户,这样做是因为:攻击者越来越多地通过钓鱼攻击和路过式下载等方式获取云账户和登录凭证,以试图获取对企业IT环境的访问权限。
-
玩游戏须谨慎:Pokémon GO可获取谷歌完整账户访问权限
热门游戏Pokémon GO可通过令牌获取用户谷歌账户的完整账户访问权限,而不需要用户许可。
-
访问控制的演进:挖掘基于属性的身份管理的潜能
TechTarget记者采访了Radiant Logic公司销售和业务发展副总裁Dieter Schuller,与其共同探讨了基于属性的身份管理的潜能。
-
为企业网络上的智能手机和平板电脑提供安全保障
企业要想从移动工作获得最大的利益,他们就必须考虑可以给员工多大的访问权限,而不是限制。本文介绍的三层安全保障法可供企业采用。