美国帮助中国黑客攻击了 Google
Google 的部分服务被中国黑客入侵的消息上了新闻头条。今天我要说的不是中国黑客参与了攻击,或者是他们用的攻击手段非常精密——大家都知道这回事了,而是美国政府在不经意间帮助了这些黑客。
编辑说明:Bruce Schneier 是一位计算机安全技术专家,以及《超越恐惧:在不确定的世界中理性思考安全》的作者。
为了遵守政府搜查用户数据的法规,Google 为 Gmail 建了一个后门。中国黑客正是利用了这个后门获取了访问权限。
并不只是 Google 有这种后门。世界各国的民主政府——瑞典、加拿大、英国,等等,都在急切地通过相关法律,使他们的警察有权监视互联网。而这种法律通常需要通讯
系统提供商重新设计他们的产品和服务。
许多国家还通过了关于强制各个公司滞留用户数据的法律。在美国,“1994 年法律执行通讯协助法案”(Communications Assistance to Law Enforcement Act,CALEA)要求各电话公司协助 FBI 进行窃听,自 2001 年开始,国家安全局就在各电话公司的帮助下建立了有效的窃听
系统。
这样的
系统很容易被滥用:侵占财产,政府滥用以及扩大窃听范围。FBI 在 2002 年到 2006 年间就曾非法窃听了美国人的电话 3500 次,通常是以恐怖袭击为借口,且没有搜查令。互联网监视和控制也毫不例外。
官方滥用已经够恶劣了,但非官方的使用让我更加忧虑。任何监控
系统必须确保自身是安全的。一个为监控而设计的基础架构会引来监控,监控者可能是你知道的,也可能是你不知道的。
中国黑客侵入了 Google 为遵从美国窃听法案而设计的后门。难道就没有人想过,罪犯也可以通过同样的
系统来窃取银行信用卡信息,进行其他攻击,或者散布垃圾邮件吗?为什么大家会认为只有经过认证的执法机关才能获取收集到的互联网数据,或者窃听电话和即时消息?
这并不只是理论上的风险。在九一一事件之后,国家安全局建立了一个窃听
系统来窃听美国国内的电话和电子邮件。尽管相关条例规定了只能窃听非美国人以及国际间的通话,实际上他们并未遵守这些条例。国家安全局分析员违规使用这些系统监听妻子、女朋友,甚至是克林顿总统的通话。
