佩林:对安全概念的炒作只会让罪犯得利

ZDNet安全频道原创翻译 转载请以文字链形式注明出处

作者：乍得·佩林

在“后911世界”里，“安全”在很多人眼里有了戏剧化的新含义。这也是后SQL Slammer病毒的世界出现的现象，在这个世界中，数字化的身份欺诈手段如同隐藏在我们头脑中黑暗阴影里的一个不断活动的食人妖一样，在每次我们打开了一个网页浏览器的时间出现。

提高安全意识是一件好事，我非常支持努力增加这样的意识。这也是我为什么撰写文章以试图改善他人的安全意识。“如何自主进行安全操作”和“让加密更加普及”这样的文章，在一定程度上可以帮助改善我的读者的安全意识。

但对安全字面的关注并不能改善安全的实际情况。大部分的安全方面的危言耸听都是为了加剧一种恐惧的气氛，以便支持某人的议程。很多时间，其实际的安全状况没有任何改善（政治家的就业保障可能是例外）。

这个世界需要清醒了

好处

在某些方面，越来越多的和安全相关的法律是一件好事。公司在个人信息泄露的时间通知其客户，是很好的改变。当违反安全措施导致了损失，第三方有权进行起诉，也是很好的方式。

关于这方面内容，非常不幸的是，很短。

坏处

日益增长的侧重于安全方面的法律，也有不利的一面。德国、英过，甚至美国的一些司法管辖区都在采取取缔安全工具的措施，甚至在很大程度上影响到网络业的发展：

·德国禁止了所谓的“黑客工具”

根据规定，凡是可以建立、利用和发布攻击的软件都属于所谓的“黑客工具”。评论家指出，许多这种工具实际上是被系统管理员和安全顾问合法使用，以便找出企业系统的漏洞。

·英国政府则是要取缔很多网络工具

Wireshark这样的网络分析工具实际上是没有任何坏处的。但是散发这种可以进行黑客攻击的工具，仍然是一项罪行，这让安全专家们非常懊恼。

·北达科他州的法官判决使用主机命令host -l属于“黑客”犯罪

在判决中（是由原告律师准备和递交给法官的），使用host -l命令被认为属于计算机劫持和黑客犯罪。

不过，这只是冰山的一角。还有很多的我们没有看到。

丑恶之处

你怎么看待Napster的真正效果呢？你认为它会有助于“艺术家” ？请仔细考虑。事实的真相是，它为比以往任何时候都更加严苛的限制如何使用电脑，甚至包括限制方式铺平了道路。尽管BitTorrent并不是为这个目的产生的，但分布式下载模式为偷窥档案提供了非常好的机会和手段。

考虑现在在北达科他州你只要使用host -l命令就会被以电脑犯罪定罪，美国联邦调查局开始利用自己建立的连接追踪访问色情网站的人这样的事情就是意料中的了。想想这样的后果，一天你点击标示“古董家具出售请按这里”的连接，结果到了一个性犯罪者登记处，联邦调查局的“蜜罐”圈套。

另一个可怕的可能性是邻居盗用你的无线网络，下载儿童色情类信息，从事网上“恐怖主义”活动，或其它违反法律的事情，你可能也需要承担责任。如果你在无线网络上运行了一个没有加密或者不安全的服务，如果你错误地设置了无线接入点，如果你的无线网络并不安全，或者有人已经入侵了你的无线网络，你可能会在某台计算机上一个良好的隐藏文件夹中发现大量丑恶的资料。

德比·谢尔顿的计算机使用中可能违法的十种途径让你只要一点点的想象力就可以了解一些令人不安的可能性。

现在考虑到这样的事实，对于受感染的电脑来说，是有可能隐藏恶意工具的。如果你不是精通计算机安全的话，是无法判断系统的安全性。因此，你怎么保证攻击别人电脑的犯罪行为，不是源自你自己的电脑呢？

关于整个社会的安全问题，还有更危言耸听的。被指控犯罪将变得更加普遍和对确凿证据的依赖将变少，使用别人的网络导致可疑的活动会增加，从而把无关的人置于危险之中，由于非法活动的增加，合法活动将受到更大的限制。对商业操作系统里的软件、音乐和视频进行备份将变得更加困难。

后果

当“安全”的价值变得可疑，当无辜的合法活动受到限制甚至迫害，我们不知道什么才是我们正在努力争取的安全。结果就是，为了了保存它只好把它消灭了。

有人认为在一百个或许是十个罪犯被绳之以法的时间，一个错误定罪的无辜者是可以接受的损失。如果这是你的观点的话，就不必担心前面的问题了。如果你感到担心的话，就多思考一下，什么是真正的安全意识。如果不是，请随时忽略它。还有另外一个问题需要被提出，就是成功率。

尽管调查的机会在增加，但由于越来越多的人在未经证实的信息科技有关的罪行中作为潜在的嫌疑人被调查，刑事调查将继续下降，利用挑选出的过剩数据找出实际犯罪将变得越来越困难。

谁将取得胜利？

最终的结果是，随着更多的资源被浪费，对可疑证据的调查（即在几年前会被认为太软弱不理会的），更少的资源被用在有效的方面。由于越来越难以筛选，以确定什么值得密切注意，最后的结果就不言而喻了。这就象利用粗体字强调重点，如果所有的都被强调了，就不存在重点了。

关于计算机犯罪“该做点事情”这样越来越大的压力可能会导致放弃正确的调查手法而变得越来越草率，只是为了满足上级的要求或者达到相关的目的。如同，亚历山大·索尔仁尼琴谈到的苏联内务人民委员部一样：

他们只有具体逮捕人数的要求。这些人数是完全随意无秩序的而且可以顶替。在一九三七年，一名女子来到内务人民委员部在新切尔卡斯的接待室询问关于她被逮捕邻居饥饿的还在吃奶的的婴儿该怎么办。他们说：“坐下来，我们会找出答案。” 她坐在那里两个小时，就被抛到一间囚室里。他们有一个已经执行的总计划，而在匆忙中没有一个可用的人被送到这个城市，这名女子却已经在他们手中！

你可能会认为在一个“明智的”西方民主国家的执法机构中这类行为是不可能发生的，事实的真相是政府的结构是一样的，在美国这种事件只是不太常见，更容易获得法律界的帮助。但这不等于这样的事情不会发生。

这就是为什么认识到安全意识和安全的危言耸听之间的差异是如此的重要：什么时间需要做什么样的事情才是正确的，正确的事情往往不是看上去那个样子。如何在安全和合理之间找到一条平衡之路。

当我们让安全的危言耸听超越了真正的安全意识，只有坏人会获得胜利。

促进安全意识

促进安全意识的工作的一个重要组成部分，就是防止安全危言耸听，去除表面上的安全威胁，了解真正合理的关注，展示我们所面对的实际风险以及如何最好地作出回应。如果你是一名网络管理员，一位安全专业人士，执法者，甚或只是一个愿意尝试影响公共政策的选民，请注意安全危言耸听的危险。在各种场合，包括服务器机房、公司董事会，消除安全危言耸听，促进安全意识是非常重要的。

不要让恐惧控制安全。促进安全意识，才能消除安全危言耸听。