美國幫助中國黑客攻擊了 Google
Google 的部分服務被中國黑客入侵的消息上了新聞頭條。今天我要說的不是中國黑客參與了攻擊,或者是他們用的攻擊手段非常精密——大家都知道這回事了,而是美國政府在不經意間幫助了這些黑客。
編輯說明:Bruce Schneier 是一位計算機安全技術專家,以及《超越恐懼:在不確定的世界中理性思考安全》的作者。
為了遵守政府搜查用戶數據的法規,Google 為 Gmail 建了一個后門。中國黑客正是利用了這個后門獲取了訪問權限。
并不只是 Google 有這種后門。世界各國的民主政府——瑞典、加拿大、英國,等等,都在急切地通過相關法律,使他們的警察有權監視互聯網。而這種法律通常需要通訊
系統提供商重新設計他們的產品和服務。
許多國家還通過了關于強制各個公司滯留用戶數據的法律。在美國,“1994 年法律執行通訊協助法案”(Communications Assistance to Law Enforcement Act,CALEA)要求各電話公司協助 FBI 進行竊聽,自 2001 年開始,國家安全局就在各電話公司的幫助下建立了有效的竊聽
系統。
這樣的
系統很容易被濫用:侵占財產,政府濫用以及擴大竊聽范圍。FBI 在 2002 年到 2006 年間就曾非法竊聽了美國人的電話 3500 次,通常是以恐怖襲擊為借口,且沒有搜查令。互聯網監視和控制也毫不例外。
官方濫用已經夠惡劣了,但非官方的使用讓我更加憂慮。任何監控
系統必須確保自身是安全的。一個為監控而設計的基礎架構會引來監控,監控者可能是你知道的,也可能是你不知道的。
中國黑客侵入了 Google 為遵從美國竊聽法案而設計的后門。難道就沒有人想過,罪犯也可以通過同樣的
系統來竊取銀行信用卡信息,進行其他攻擊,或者散布垃圾郵件嗎?為什么大家會認為只有經過認證的執法機關才能獲取收集到的互聯網數據,或者竊聽電話和即時消息?
這并不只是理論上的風險。在九一一事件之后,國家安全局建立了一個竊聽
系統來竊聽美國國內的電話和電子郵件。盡管相關條例規定了只能竊聽非美國人以及國際間的通話,實際上他們并未遵守這些條例。國家安全局分析員違規使用這些系統監聽妻子、女朋友,甚至是克林頓總統的通話。
