如果你還記得“古老”的Concept、Melisa病毒,也許你會發現現在的Facebook“隱私門”事件,和二十年前的微軟有著驚人的相似之處。區別在於,Facebook正在嘗試主動做出一些改進的舉措,並做出微軟無法做到的根本性的架構改變......
作者 | Benedict Evans
譯者 | 蘇本如
出品 | CSDN(ID:CSDNnews)
發生在Facebook上的有組織的數據濫用和Facebook在過去24個月的試圖回應,與20年前發生在微軟身上的Windows和Office上的惡意軟件,以及微軟的試圖回應之間——存在著驚人的相似之處。
對於這兩次危機,兩家公司最初的反應都是採取了兩條措施:
- 對系統開發和API實踐作一些策略性的改變,使現有的模型更安全;
- 同時掃描已知的惡意行為人和他們的惡意行為(類似當時的病毒掃描程序和現在的人工干預程序)。
然而,對於微軟的惡意軟件問題,這並不是一個最終的解決之道。相反這個問題得以解決是因為整個軟件行業轉向了SaaS和雲端,然後又轉向了完全不同於微軟的操作系統(如ChromeOS、iOS),使得惡意軟件的威脅變得無關緊要,最終問題得以解決。
Facebook將重心轉向消息傳遞和端到端加密(部分)是為了實現同樣的目標:改變模式,使得威脅變得無關緊要。但是不同的是,轉向SaaS和新操作系統的變革並不是微軟的參與和推動,而這一次,Facebook試圖自己來主動推行這一變革。
時間回溯到1995年,當時地球上只有一億五千萬臺個人電腦,有人想出了一個好主意。或者,就像Grinch(電影綠毛怪的主角)說的那樣,一個美妙的,但非常可怕的主意。
微軟付出了巨大的努力,把Office變成了一個開放的開發平臺。各式各樣的大大小小的企業都創建了嵌入在Office文檔中的程序(我們稱之為“宏”),以便他們創建出美妙的自動化的工作流。圍繞著宏的創建和擴展,一個龐大的開發人員社區形成了。
但是Grinch看到了,我們有了一個用於查看地址簿的API,一個用於發送電子郵件的API,以及一個用於在打開文檔時自動運行宏的API。如果你把這些API按正確的次序放在一起,那麼你就創造了一種病毒,這個病毒會通過一個看似無害的Word文檔,向你認識的每一個人發送電子郵件,一旦對方打開這個電子郵件,它就會繼續傳播給他們認識的每一個人。
這就是被稱為“Concept”的病毒,實際上它只感染了大約35000臺計算機。但四年後的“Melisa”做了很多同樣的事情,那一次它真的像病毒一樣傳播開來了,甚至在某個時間,導致了五角大樓不得不關閉它的部分設施。
在過去的一兩年裡,當我在Facebook、YouTube和其他社交平臺上看到有關濫用平臺和其它負面活動的新聞時,我經常想起這段古老的歷史。因為就像微軟的宏病毒一樣,Facebook上的“壞蛋們”也做了用戶手冊裡寫的事情。他們並沒有撬開大樓後面的鎖著的窗戶,他們只是敲了敲前門,就輕易地走了進來。然後做了一些你也能夠做到的事情,只不過他們以一種人們很難預料到的次序和惡意的意圖將這些事情結合在了一起。
在這些事件發生之前, 比較一下對微軟和Facebook的公開討論是一件很有趣的事。在20世紀90年代,微軟被稱之為一個“邪惡帝國”,科技界的許多討論都集中在如何使微軟變得更加開放,讓人們更容易開發一些與微軟Office這個壟斷軟件一起工作的軟件,以及使得和它們與Office之間的信息交換更為容易。如果微軟做了什麼讓開發者的生活更艱難的事情,那麼它就是邪惡的。不幸的是,無論你如何看待這些公開討論,針對這些場景,它給微軟指向了一個錯誤的方向。事實是微軟是太開放了,而不是太封閉。
同樣地,在過去的10年裡,許多人都認為Facebook太像一個“有圍牆的花園”,人們很難獲取你的信息,研究人員也很難跨平臺獲取所需的信息。人們普遍認為Facebook對第三方開發者使用這個平臺的限制太嚴格了。人們也普遍反對Facebook試圖強制用戶使用單一的真實身份。像微軟一樣,這些指控可能都是公正的,但是同樣像對微軟一樣,當涉及到這個特定的場景時,這些指控也是指向了一個錯誤的方向。因為這使得一些研究機構太容易開發針對Facebook的應用,太容易從Facebook獲取數據,太容易改變你的身份。所以,Facebook這個“有圍牆的花園”遠遠不夠封閉。
當我們想到這些公司及其周圍的行業如何試圖對這些濫用平臺的行為做出反應時,這種情況仍在繼續:
2002年,比爾蓋茨在公司範圍內寫了一份題為“可信計算”的備忘錄,這標誌著公司對其產品安全性的看法發生了轉變。微軟將試圖更加系統地考慮如何避免製造系統漏洞,以及如何減少"壞蛋們"使用漏洞製造工具的機會。
與此同時,安全軟件(首先是來自第三方,然後是來自微軟)迅猛發展,這些安全軟件試圖掃描已知的惡意軟件,並掃描計算機上已有軟件的行為,以發現可能做出惡意行為的惡意軟件。
從概念上講,這幾乎正是Facebook所做的:消除現有的濫用的可能,避免創造新的濫用機會,並掃描/審查惡意行為者(“壞蛋們”)。
值得注意的是,這些步驟正是人們以前堅持認為是“邪惡的”東西:微軟決定我們可以自己的電腦上運行什麼代碼,微軟決定開發人員可以使用什麼API,Facebook決定誰能發佈和發佈什麼。
然而,儘管微軟為了使已有的軟件模式不被惡意利用做出了很多努力 ,但在過去20年裡,軟件行業已經轉向了新的模式,這使得針對微軟軟件的各種類型的惡意利用變得越來越無關緊要。開發環境從Win32轉移到了雲端,客戶機從Windows(有時是Mac)轉移到了Web瀏覽器,然後又轉移到了病毒和惡意軟件不可能出現或者出現難度高出幾個數量級的設備上,比如 ChromeOS、 iOS,甚至還包括Android系統。
如果你的計算機上沒有存儲任何數據,那麼對計算機的攻擊不會有太大的危害。如果一個應用程序是沙箱式的,並且不能讀取其他應用程序的數據,那麼它就不能竊取你的數據。如果應用程序不能在後臺運行,那麼應用程序就不能在後臺運行,並竊取你的密碼。如果不用應用程序,那麼誰也不能欺騙一個用戶去安裝一個“壞”程序。當然,人類的創造力是無限的,這種變化只是導致了新的攻擊模式的產生,最明顯的是網絡釣魚的出現。但不管怎樣,這一切都與微軟無關。我們通過移動到新的架構,讓微軟不再出現,消除了病毒產生需要的土壤,就這樣“解決了”病毒問題。
換句話說,微軟在窗戶上安裝了更好的鎖和活動檢測傳感器,但世界卻正在朝著這樣的模式轉變:窗戶離地面200英尺,並且不能打開。
所以——前不久,Mark Zuckerberg(馬克·扎克伯格)寫了他的比爾·蓋茨式的“信任計算”備忘錄:“關注隱私的社交網絡願景”。這裡面有很多有趣的事情,但是在這個討論的背景下,有兩件事很重要:
- (他希望)Facebook的大部分使用都是個人對個人的信息傳遞,而不是一對多的分享。
- 所有這些消息傳遞都將使用端到端加密。
就像從Windows轉移到雲端和Chromeos一樣,你可以將其視為移除問題而不是修補問題的嘗試。如果沒有News Feed,俄羅斯人就不可能在你的News Feed中走紅。如果Facebook沒有你的數據,“研究人員”就無法獲取你的數據。你想要解決問題,就要使問題變得無關緊要。
這是通過改變核心機制來解決問題的一種方法,但還有其他方法。例如,Instagram確實有一對多的訂閱源(feed),但它不會把你沒有關注的人在主訂閱源中發佈的內容推薦給你,也不允許你把它轉發到朋友的訂閱源中。你的訂閱源中可能有反對疫苗接種的內容,那是因為你的一個真正的朋友決定分享給你的。與此同時,諸如危險謠言在印度蔓延等問題的原因卻是信息傳遞而非共享。所以信息傳遞也並不是靈丹妙藥。
事實上,扎克伯格的備忘錄提出的問題和答案一樣多。最明顯的是,廣告是如何運作的?在信息傳遞中有廣告嗎?如果有,它是如何定位目標受眾的?加密意味著Facebook不知道你在說什麼,但你手機上的Facebook應用程序應該知道(在加密之前),那麼目標定位將在本地設備上發生嗎?與此同時,加密也給解決其他類型的濫用帶來了問題:如果你不能讀懂兒童剝削者的信息,你如何幫助執法部門解決剝削兒童的問題? (備忘錄明確地將這稱為一個挑戰)?而Facebook的區塊鏈項目又在這一切中扮演什麼角色?
有很多大問題亟待解決。當然,如果在2002年你說所有的企業軟件都將進入雲端,當然同樣也有很多的問題。但這裡的區別在於,Facebook正在嘗試(或者說正在談論嘗試)主動做出這些改進的舉措,並做出微軟無法做到的根本性的架構改變。
原文:https://www.ben-evans.com/benedictevans/2019/3/13/0mboxl0imfh636ggky829vnweu2qpv
本文為 CSDN 翻譯,如需轉載,請註明來源出處。
閱讀更多 CSDN 的文章
